BGP AS_PATH循环预防解决方法
50172
Created On 07/16/20 21:09 PM - Last Modified 03/26/21 18:30 PM
Symptom
基于 RFC 4271, BGP AS 循环检测是通过扫描完整 AS 路径(如AS_PATH属性中指定的),并检查路径中未显示本地系统的自主系统编号 AS 来完成的。
Environment
- 帕洛阿尔托 Firewall .
- PAN-OS 8.1 及以上。
- BGP已配置为默认对等设置。
- Firewall 正在与两个或两个以上的eBGP同行进行对等。
Cause
与其他平台不同 PAN-OS ,(默认情况下)如果同侪存在于该前缀的AS_PATH属性中,则不会在从一个对等值到另一个对 AS 等值的前缀上做广告。 原因之一是 PAN-OS 假设前缀广告将被同行删除(由于循环预防机制),因此 firewall 保留处理器周期不广告前缀/s 上。
网络 - >虚拟路由器 - >更多的运行时间统计 - > BGP - >本地 RIB: 网络
- >虚拟路由器 - >更多的运行时间统计 - > BGP - RIB >:
Resolution
- 取消选中接收上行对等方的"启用发送方循环检测":
网络 - >虚拟路由器 - > BGP - >对等组 - >对等器 - >高级:
- 验证路由是否正在播发。 如下图所示, firewall 正在发送路线并将其附加 AS 到路线广告中:
- 在接收点,可以破例允许设备/系统接受来自的前缀广告 firewall - 即使这些路线 AS 包含AS_PATH属性中的本地。 例如在思科 IOS IOS-XE /,配置如下:
路由器#show 运行 | i bgp|
允许在路由器 bgp 100
bgp 日志邻居更改
邻居 192.168.122.175 允许在
- 验证系统是否正在安装从前 firewall 缀到前缀的路线/前缀:
Router#show ip bgp
BGP table version is 7, local router ID is 192.168.122.83
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.20.30.1/32 192.168.122.175 0 200 100 ?
r> 192.168.122.0 192.168.122.175 0 200 100 ?
Router#ping 10.20.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/11 msAdditional Information
- 在可能无法允许本地入境的平台 AS 上,可以将导出规则配置在 firewall 前缀的匹配标准上,路径类型设置为 AS "删除和预置"的操作。 这意味着 firewall 将覆盖原来的AS_PATH与它自己的 AS ,然后宣传路线。 同行设备将安装此路线,因为广告不包含它自己的本地 AS 。 在下面的示例中, firewall 该实例与 AS 第一个对等符中的任何 100 个实例相匹配,并且此操作设置为"删除和预设"。
- 这只是一个例子,并假设读者熟悉常规表达式(RegEx)。这也假定读者熟悉出口规则,因为 BGP BGP 如果没有经过深思熟虑或设计,这会打破同行的广告。