高度なルーティング エンジン - BGP: ファイアウォールがピアの容量を超えてネットワーク層の到達可能性情報を送信する

• 予期しない BGP ルートの再コンバージェンスまたは頻繁な BGP ルート フラッピング。
• NGFW によってアナウンスされた BGP ルートは、ルートを制限するエクスポート フィルタがないにもかかわらず、ピアの BGP ローカル RIB に表示されません。
• ns*_frr_export.log では、NGFW は次のログ エントリを生成します。

BGP: [HZN6M-XRM1G] %NOTIFICATION(Hard Reset): received from neighbor VM100-1 6/1 (Cease/Maximum Number of Prefixes Reached) 7 bytes 06 01 00 01 01 00 00
BGP: [PXVXG-TFNNT] %ADJCHANGE: neighbor neighbor VM100-1(192.168.1.1) in vrf default Down BGP Notification received

• パロアルト次世代ファイアウォール(NGFW)
• サポートされている PAN-OS
• Bgp

• デフォルトでは、各ピアはルーティングテーブル全体を他のピアと共有します。
• この問題は、NGFWがピアの容量を超えるネットワーク層到達可能性情報(NLRI)を送信した場合に発生します。
• リモート ピアが受信できる BGP ルートの最大数は、メッセージで BGP ネイバーに伝達されないことに注意してください。

1. BGP経由のルートの集約とアドバタイズ: Advanced Routing Engine - BGPの使用:NGFWからのルートを集約するためのルート集約ガイドの設定方法 。
2. NGFWでのBGPエクスポートフィルタの設定: Advanced Routing Engine - BGP:Prefix-listガイドを使用したルートマップを使用してアウトバウンドルートフィルタリングを設定する方法 に従って、NGFWでエクスポートフィルタを設定します。
3. リモートピアでのBGPインポートフィルタの設定: リモートピアでBGPインポートフィルタを設定して、インバウンドルートを制御します。