Advanced Routing Engine - BGP: Firewall, die Informationen zur Erreichbarkeit auf Netzwerkebene sendet, die über die Kapazität ihres Peers hinausgehen

• Unerwartete BGP-Route-Rekonvergenz oder häufiges BGP-Route-Flapping.
• Von der NGFW angekündigte BGP-Routen werden nicht in der BGP Local RIB des Peers angezeigt, obwohl es keinen Exportfilter gibt, der die Routen einschränkt.
• Im ns*_frr_export.log generiert die NGFW den folgenden Protokolleintrag:

BGP: [HZN6M-XRM1G] %NOTIFICATION(Hard Reset): received from neighbor VM100-1 6/1 (Cease/Maximum Number of Prefixes Reached) 7 bytes 06 01 00 01 01 00 00
BGP: [PXVXG-TFNNT] %ADJCHANGE: neighbor neighbor VM100-1(192.168.1.1) in vrf default Down BGP Notification received

• Palo Alto Firewalls der nächsten Generation (NGFW)
• Unterstütztes PAN-OS
• Bgp

• Standardmäßig teilt jeder Peer seine gesamte Routingtabelle mit dem anderen.
• Das Problem tritt auf, wenn die NGFW NLRI (Network Layer Reachability Information) sendet, die die Kapazität des Peers überschreiten.
• Beachten Sie, dass die maximale Anzahl von BGP-Routen, die ein Remote-Peer empfangen kann, in keiner Nachricht an seinen BGP-Nachbarn kommuniziert wird.

1. Aggregieren und Ankündigen von Routen über BGP: Verwenden Sie die Advanced Routing Engine - BGP: How to Configure Route Summarization Guide, um die Routen aus der NGFW zusammenzufassen.
2. Konfigurieren des BGP-Exportfilters auf der NGFW: Befolgen Sie die Anleitung Advanced Routing Engine - BGP: So konfigurieren Sie die Filterung ausgehender Routen mithilfe der Routenzuordnung mit Präfixliste , um einen Exportfilter auf der NGFW einzurichten.
3. Konfigurieren des BGP-Importfilters auf dem Remote-Peer: Richten Sie einen BGP-Importfilter auf dem Remote-Peer ein, um eingehende Routen zu steuern.