BGP: Firewall, die Netzwerkschicht-Erreichbarkeitsinformationen über die Kapazität ihres Peers hinaus sendet

• Unerwartete BGP weiterleiten -Rekonvergenz oder häufiges BGP weiterleiten Flapping.

> show routing route type bgp

• Von der NGFW angekündigte BGP Routen werden nicht im lokalen BGP RIB des Peers angezeigt, obwohl kein Exportfilter die Routen einschränkt.
• Im routed.log generiert die NGFW den folgenden Protokolleintrag:

qbnmmsg.c 1466 :at 18:04:41, 17 February 2022 (1392686 ms)
A NOTIFICATION message has been received from a neighbor.
NM entity index = 1
Local address = 10.249.246.50
Local port = 0
Remote address = 10.249.246.49
Remote port = 0
Scope ID = 0
Remote AS number = 6461
Remote BGP ID = 0X407D019C
Error code = Cease (6)
Error subcode = Maximum Number of Prefixes Reached (1) 

• Firewalls von Palo Alto Networks .
• Unterstütztes PAN-OS.
• BGP Routing konfiguriert.

• Standard(-) teilt jeder Peer seine gesamte Routing-Tabelle mit dem anderen.
• Das Problem tritt auf, wenn die NGFW Network Layer Reachability Information (NLRI) sendet, die die Kapazität des Peers überschreiten.
• Beachten Sie, dass die maximale Anzahl von BGP -Routen, die ein Remote-Peer empfangen kann, seinem BGP Nachbarn in keiner Nachricht mitgeteilt wird.

1. Routen über BGP aggregieren und bekannt geben : Verwenden Sie die Anleitung „ So aggregieren und bekannt geben Sie Routen über BGP “, um die Routen von der NGFW zusammenzufassen.
2. Konfigurieren Sie den BGP Exportfilter auf der NGFW : Befolgen Sie die Anleitung „ So konfigurieren Sie die BGP Routenfilterung “, um einen Exportfilter auf der NGFW einrichten .
3. BGP Importfilter auf dem Remote-Peer konfigurieren : Richten Sie einen BGP Importfilter auf dem Remote-Peer ein, um eingehend Routen zu steuern.