Moteur de routage avancé - BGP : pare-feu envoyant des informations d’accessibilité de la couche réseau au-delà de la capacité de son homologue

• Reconvergence inattendue des routes BGP ou battement fréquent des routes BGP.
• Les routes BGP annoncées par le NGFW n'apparaissent pas dans le RIB local BGP de l'homologue, bien qu'aucun filtre d'exportation ne limite les routes.
• Dans le ns*_frr_export.log, le NGFW génère l’entrée de journal suivante :

BGP: [HZN6M-XRM1G] %NOTIFICATION(Hard Reset): received from neighbor VM100-1 6/1 (Cease/Maximum Number of Prefixes Reached) 7 bytes 06 01 00 01 01 00 00
BGP: [PXVXG-TFNNT] %ADJCHANGE: neighbor neighbor VM100-1(192.168.1.1) in vrf default Down BGP Notification received

• Pare-feu Palo Alto Next Gen (NGFW)
• PAN-OS pris en charge
• Bgp

• Par défaut, chaque pair partage l’intégralité de sa table de routage avec l’autre.
• Le problème se produit lorsque le NGFW envoie des informations d'accessibilité de la couche réseau (NLRI) dépassant la capacité de l'homologue.
• Notez que le nombre maximal de routes BGP qu’un homologue distant peut recevoir n’est communiqué à son voisin BGP dans aucun message.

1. Agréger et publier des routes via BGP : utilisez le guide de synthèse de routage avancé BGP : comment configurer pour résumer les routes à partir du NGFW.
2. Configurer le filtre d’exportation BGP sur le NGFW : Suivez le moteur de routage avancé - BGP : Comment configurer le filtrage des routes sortantes à l’aide de Route-map avec le guide Prefix-list pour configurer un filtre d’exportation sur le NGFW.
3. Configurer le filtre d’importation BGP sur l’homologue distant : configurez un filtre d’importation BGP sur l’homologue distant pour contrôler les routes entrantes.