BGP: 피어의 용량을 초과하는 네트워크 계층 도달성 정보를 전송하는 방화벽

• 예상치 못한 BGP 라우팅하다 재수렴 또는 빈번한 BGP 라우팅하다 플래핑.

> show routing route type bgp

• 경로를 제한하는 내보내기 필터가 없음에도 불구하고 NGFW에서 발표한 BGP 경로는 피어의 BGP 로컬 RIB 에 나타나지 않습니다.
• routed.log에서 NGFW는 다음 로그 항목을 생성합니다.

qbnmmsg.c 1466 :at 18:04:41, 17 February 2022 (1392686 ms)
A NOTIFICATION message has been received from a neighbor.
NM entity index = 1
Local address = 10.249.246.50
Local port = 0
Remote address = 10.249.246.49
Remote port = 0
Scope ID = 0
Remote AS number = 6461
Remote BGP ID = 0X407D019C
Error code = Cease (6)
Error subcode = Maximum Number of Prefixes Reached (1) 

• Palo Alto Networks 방화벽.
• PAN-OS를 지원합니다.
• BGP 라우팅이 구성되었습니다.

• 디폴트 으로 각 피어는 전체 라우팅 테이블을 다른 피어와 공유합니다.
• 이 문제는 NGFW가 피어의 용량을 초과하는 네트워크 계층 도달 정보(NLRI)를 보낼 때 발생합니다.
• 원격 피어가 수신할 수 있는 BGP 경로의 최대 수는 어떤 메시지로도 BGP 이웃에게 전달되지 않습니다.

1. BGP 통한 경로 집계 및 광고 : " BGP 통해 경로를 집계하고 광고하는 방법 " 가이드를 사용하여 NGFW의 경로를 요약합니다.
2. NGFW에서 BGP 내보내기 필터 구성 : " BGP 경로 필터링 구성 방법 " 가이드에 따라 NGFW에서 내보내기 필터를 셋업하다 .
3. 원격 피어에서 BGP 가져오기 필터 구성 : 원격 피어에서 BGP 가져오기 필터를 설정하여 인바운드 경로를 제어합니다.