BGP AS_PATH ループ防止の回避方法

• パロ アルト Firewall .
• PAN-OS 8.1以上。
• BGPは、既定のピアリング設定で構成されます。
• Firewall は、2 つ以上の eBGP ピアでピアリングしています。

1. 受信上位のピアの [送信者側ループ検出を有効にする] のチェック を外します。

2. ルートが現在アドバタイズされていることを確認します。 以下に示すように、ルート firewall を送信し、ルート AS アドバタイズに独自のルートを追加しています。

3. 受信側のピアでは、デバイス/システムが AS_PATHプレフィックスアドバタイズを受け入れるように例外を作成できます firewall AS 。 たとえば、Cisco IOS / IOS-XE の設定は次のとおりです。

ルーター#ショーは i bgp|allowas-in
ルーター bgp 100 bgp
ログネイバー変更
ネイバー 192.168.122.175 allowas-in |実行

4. システムが からルート/プレフィックスをインストール firewall しており、プレフィックスにルーティングできることを確認します。

Router#show ip bgp
BGP table version is 7, local router ID is 192.168.122.83
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>  10.20.30.1/32    192.168.122.175                        0 200 100 ?
 r>  192.168.122.0    192.168.122.175                        0 200 100 ?

Router#ping 10.20.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/11 ms

• ローカルの受信を許可できない可能性があるプラットフォームでは AS 、エクスポート ルールを、 firewall プレフィックスの一致条件と AS 、パスの種類のアクションを [Remove and Prepend] に設定して構成できます。 つまり firewall 、元のAS_PATHが独自のAS_PATH上書き AS され、ルートがアドバタイズされます。 アドバタイズメントには独自のローカル が含まれていないため、ピア デバイスはこのルートをインストール AS します。 次の例では、 firewall は AS 最初のピアから 100 のインスタンスと一致し、このアクションは 'Remove and Prepend' に設定されています。

• これは単なる例であり、読者が正規表現 (RegEx) に精通していることを前提としています。これはまた、読者が輸出ルールに精通していることを前提としています - これは BGP BGP よく考えられていないか、設計されていない場合、仲間への広告を壊す可能性があるためです。