Konfigurieren von eBGP mit AS-Pfadvoranstellen für bestimmte Präfixe

In diesem Dokument wird beschrieben, wie Sie eBGP mit dem AS-Pfad-Präpend-Attribut für bestimmte Präfixe in einer Palo Alto Networks-Firewall konfigurieren. Die Manipulation des AS-Pfadattributs veranlasst die Palo Alto Networks Firewall, das vorliegende Präfix mit einer erweiterten AS-Pfadliste anzukündigen. Diese Konfiguration wird häufig verwendet, um eine Route für den BGP-Peer weniger vorteilhaft zu machen.

Die Informationen in diesem Dokument basiert auf diese Software und Hardware-Versionen:

• PA-VM, die in VMWare ESXi mit PAN-OS 10.2.0 gehostet wird

Netzwerk-Diagramm

In diesem Beispiel kündigt die Palo Alto Networks-Firewall dem BGP-Peer zwei Präfixe an: 192.168.13.0/24 und 192.168.14.0/24. Die Manipulation für das AS-Pfadattribut wird nur auf das Präfix 192.168.14.0/24 angewendet, sodass diese Route für den BGP-Peer weniger bevorzugt wird.

Konfigurationen

STEP 1. Öffnen Sie die Firewall-Weboberfläche und navigieren Sie zu Netzwerk > virtuelle Router. Bearbeiten oder fügen Sie die virtuelle Router-Instanz hinzu, in der BGP konfiguriert werden soll.
 

STEP 2. Navigieren Sie im Fenster " Virtueller Router " zur Registerkarte " BGP " und aktivieren Sie das Kontrollkästchen "Aktivieren" . Definieren Sie die IP-Adresse, die als Router-ID verwendet werden soll, und die AS-Nummer für die Firewall. Aktivieren Sie die Option Route installieren, damit die Firewall BGP-Routen in ihrer globalen Routing-Tabelle installieren kann.

STEP 3. Navigieren Sie zur Registerkarte Peergruppe , und wählen Sie Hinzufügen aus. Definieren Sie im Fenster Virtueller Router - BGP - Peer-Gruppe/Peer einen Namen und wählen Sie EBGP im Dropdown-Menü Typ aus.

Wählen Sie Hinzufügen aus, um Informationen für den BGP-Peer hinzuzufügen. Definieren Sie im Fenster Virtueller Router - BGP - Peergruppe - Peer den Namen für den Peer und geben Sie die Peer AS-Nummer an. Wählen Sie die lokale Schnittstelle und die IP-Adresse aus, die von Firewall A in der BGP-Nachbarbeziehung verwendet werden sollen, und definieren Sie die Peer-IP.

STEP 4. Navigieren Sie zur Registerkarte Redis-Regeln , und wählen Sie Hinzufügen aus. Erstellen Sie in der Regel Virtueller Router - BGP - Regeln für die Neuverteilung entweder das Profil für die Neuverteilung, oder wählen Sie es aus. In diesem Beispiel wird das Profil " Verbunden" verwendet, um 192.168.13.0/24 und 192.168.13.14.0/24 anzukündigen.

STEP 5. Um das AS-Pfadattribut zu ändern, navigieren Sie zur Registerkarte Exportieren und wählen Sie Hinzufügen. Definieren Sie einen Namen für die Exportregel und wählen Sie Hinzufügen , um die in SCHRITT 3 konfigurierte BGP-Peergruppe anzugeben.

Navigieren Sie zur Registerkarte Übereinstimmung und definieren Sie den regulären AS-Pfad-Ausdruck , der zum Filtern der AS-Pfade verwendet wird, in diesem Fall wird ^$ verwendet, um alle Routen abzugleichen, die von AS stammen. Wählen Sie im Abschnitt Adresspräfix die Option Hinzufügen aus, um anzugeben, für welches Subnetz das AS-Pfadattribut bearbeitet werden muss, in diesem Fall darf das AS-Pfadvoranzeichen nur für das Subnetz 192.168.14.0/24 angewendet werden.

Navigieren Sie zur Registerkarte Aktion, und geben Sie im Dropdown-Menü Aktion die Option Zulassen an. Geben Sie Präpend in der Dropdown-Liste Typ im Abschnitt AS-Pfad an, und definieren Sie, wie oft das Attribut vorangestellt werden soll. Wählen Sie OK aus.

Standardmäßig wird eine implizite Ablehnungsregel ausgelöst, sobald die obige Exportregel konfiguriert wurde. Allerdings wird eine zweite Exportregel benötigt, um die restlichen Präfixe zu exportieren, die in dem in STEP 4 konfigurierten Umverteilungsprofil definiert sind.  Navigieren Sie zur Registerkarte Exportieren und wählen Sie Hinzufügen aus, definieren Sie einen Namen für die Exportregel und wählen Sie Hinzufügen aus, um die in SCHRITT 3 konfigurierte BGP-Peergruppe anzugeben.

Behalten Sie für die Registerkarte Übereinstimmung das ^$ für den regulären AS-Pfadausdruck bei und geben Sie keine Präfixe an, sodass die Regel für alle Präfixe im Umverteilungsprofil gilt.

Geben Sie für die Registerkarte Action im Dropdown-Menü Aktion die Option Zulassen an. Wählen Sie OK aus, damit den Exportregeln eine zweite Regel hinzugefügt werden kann. Übernehmen Sie die Änderungen an der Firewall.

Überprüfen

Navigieren Sie nach Abschluss des Pushvorgangs zu Network > Virtual Routers , und wählen Sie Weitere Laufzeitstatistiken aus. Navigieren Sie im Fenster "Virtueller Router " zu BGP > Peer, der BGP-Peer muss eingerichtet sein.

Um zu bestätigen, dass das AS-Pfadvoranzeichen angewendet wurde, navigieren Sie zur Registerkarte RIB-Ausgang . Eine erweiterte AS-Pfadliste sollte nur für das gewünschte Netzwerk angezeigt werden.

Besitzer: dperezvertti