BGP: ファイアウォールがピアの容量を超えてネットワーク層到達可能性情報を送信する

• 予期しないBGPルーティングするの再収束または頻繁なBGPルーティングするのフラッピング。

> show routing route type bgp

• NGFW によってアナウンスされたBGPルートは、ルートを制限するエクスポート フィルターがないにもかかわらず、ピアのBGPローカルRIBに表示されません。
• routed.log では、NGFW は次のログ エントリを生成します。

qbnmmsg.c 1466 :at 18:04:41, 17 February 2022 (1392686 ms)
A NOTIFICATION message has been received from a neighbor.
NM entity index = 1
Local address = 10.249.246.50
Local port = 0
Remote address = 10.249.246.49
Remote port = 0
Scope ID = 0
Remote AS number = 6461
Remote BGP ID = 0X407D019C
Error code = Cease (6)
Error subcode = Maximum Number of Prefixes Reached (1) 

• Palo Alto Networksファイアウォール。
• PAN-OS をサポートしています。
• BGPルーティングが設定されました。

• デフォルトでは、各ピアはルーティング テーブル全体を他のピアと共有します。
• この問題は、NGFW がピアの容量を超えるネットワーク層到達可能性情報 (NLRI) を送信すると発生します。
• リモート ピアが受信できるBGPルートの最大数は、どのメッセージでもBGPネイバーに伝達されないことに注意してください。

1. BGP経由でルートを集約およびアドバタイズする: 「 ルートを集約し、 BGP経由でアドバタイズする方法」ガイドを使用して、NGFW からのルートを要約します。
2. NGFW でBGPエクスポート フィルターを構成する: 「 BGPルート フィルタリングを構成する方法」ガイドに従って、NGFW でエクスポート フィルターをセットアップする。
3. リモート ピアでBGPインポート フィルタを構成する:インバウンドルートを制御するために、リモート ピアにBGPインポート フィルタを設定します。