BGP:防火墙发送的网络层可达性信息超出了其对等方的能力

BGP:防火墙发送的网络层可达性信息超出了其对等方的能力

6026
Created On 09/18/24 03:30 AM - Last Modified 07/07/25 01:47 AM


Symptom


  • BGP路由意外重新收敛或者BGP路由频繁震荡。
> show routing route type bgp
  • 尽管没有出口过滤器限制路由,但 NGFW 宣布的BGP路由不会出现在对等方的BGP本地RIB中。
  • 在routed.log中,NGFW生成以下日志条目:
qbnmmsg.c 1466 :at 18:04:41, 17 February 2022 (1392686 ms)
A NOTIFICATION message has been received from a neighbor.
NM entity index = 1
Local address = 10.249.246.50
Local port = 0
Remote address = 10.249.246.49
Remote port = 0
Scope ID = 0
Remote AS number = 6461
Remote BGP ID = 0X407D019C
Error code = Cease (6)
Error subcode = Maximum Number of Prefixes Reached (1)


Environment


  • Palo Alto Networks防火墙。
  • 支持 PAN OS。
  • BGP路由已配置。

Cause


  • 默认下,每个对等体都与其他对等体共享其整个路由表。
  • 当 NGFW 发送的网络层可达信息 (NLRI) 超出对等方的容量时,就会出现此问题。
  • 请注意,远程对等体可以接收的最大BGP路由数不会通过任何消息传达给其BGP邻居。

Resolution


  1. 通过BGP聚合和通告路由:使用“ 如何聚合路由并通过BGP通告”指南来汇总来自 NGFW 的路由。
  2. 在 NGFW 上配置BGP导出过滤器:按照“ 如何配置BGP路由过滤”指南在 NGFW 上设置导出过滤器。
  3. 在远程对等体上配置BGP导入过滤器:在远程对等体上设置BGP导入过滤器以控制入站路由。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQdRCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language