BGP solution de contournement de la prévention AS_PATH boucle d’AS_PATH
50176
Created On 07/16/20 21:09 PM - Last Modified 03/26/21 18:30 PM
Symptom
Basé sur RFC 4271, la BGP AS détection de boucle est effectuée en scannant le chemin complet (tel que spécifié dans AS l’attribut AS_PATH), et en vérifiant que le numéro de système autonome du système local n’apparaît pas dans le AS chemin.
Environment
- Palo Alto Firewall .
- PAN-OS 8,1 et plus.
- BGPest configuré avec des paramètres de peering par défaut.
- Firewall peering avec deux pairs eBGP ou plus.
Cause
Contrairement à d’autres PAN-OS plates-formes, (par défaut) ne fera pas de publicité d’un préfixe d’un pair à un autre pair AS si le pair est présent dans l’attribut AS_PATH de ce préfixe. Une raison en est parce que suppose que la PAN-OS publicité préfixe sera abandonnée par le pair (en raison du mécanisme de prévention des boucles) d’où les cycles de processeur conserve en ne firewall annonçant pas le préfixe / s sur.
Réseau --> Routeurs virtuels --> Plus de statistiques d’exécution --> BGP --> Local RIB:
Réseau --> Routeurs virtuels --> Plus de statistiques d’exécution --> BGP --> RIB Out:
Resolution
- Décochez la détection de la boucle latérale de l’expéditeur pour le pair en amont qui reçoit :
Réseau --> routeurs virtuels --> BGP --> Peer Group --> Peer --> Advanced:
- Vérifiez que les itinéraires sont maintenant annoncés. Comme illustré ci-dessous, firewall le est l’envoi des itinéraires et l’appending son AS propre à la publicité itinéraire:
- Sur le pair de réception, une exception peut être faite pour permettre à l’appareil / système d’accepter les publicités préfixe de la - même si firewall ces itinéraires contiennent le local AS dans l’attribut AS_PATH. Par exemple sur Cisco IOS / , la configuration est la IOS-XE suivante:
Routeur#show run | i bgp|allowas-in
routeur bgp 100
bgp log-neighbor-changes voisin
192.168.122.175 allowas-in
- Vérifiez que le système est l’installation des itinéraires / préfixes de la firewall et est en mesure d’acheminer vers les préfixes:
Router#show ip bgp
BGP table version is 7, local router ID is 192.168.122.83
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.20.30.1/32 192.168.122.175 0 200 100 ?
r> 192.168.122.0 192.168.122.175 0 200 100 ?
Router#ping 10.20.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/11 msAdditional Information
- Sur les plates-formes où il n’est peut-être pas possible d’autoriser AS l’arrivée locale, une règle d’exportation peut être configurée sur le avec firewall un critère de correspondance pour le préfixe et une action pour le type de chemin définie sur AS « Supprimer et prépender ». Cela signifie que firewall la volonté d’écraser l’AS_PATH d’origine avec elle est AS propre, puis la publicité de l’itinéraire. L’appareil pair installera cet itinéraire puisque la publicité ne contient pas son propre local AS . Dans l’exemple ci-dessous, firewall le correspond à n’importe quelle instance AS de 100 du premier pair et l’action pour cela est définie sur « Supprimer et prépender.
- Ce n’est qu’un exemple et suppose que le lecteur est familier avec les expressions régulières (RegEx.) Cela suppose également que le lecteur est familier avec les règles d’exportation - car cela peut briser BGP les publicités à BGP leurs pairs si elle n’est pas bien pensé ou conçu.