Cómo configurar eBGP con anteposición de ruta de AS para prefijos específicos

Este documento describe cómo configurar eBGP con el atributo AS path prepend para prefijos específicos en un firewall de Palo Alto Networks. La manipulación del atributo de ruta de AS hace que el firewall de Palo Alto Networks anuncie el prefijo en cuestión con una lista de rutas de AS extendida. Esta configuración se usa comúnmente para hacer que una ruta sea menos preferible para el par BGP.

La información contenida en este documento se basa en estas versiones de software y hardware:

• PA-VM alojada en VMWare ESXi con PAN-OS 10.2.0

Diagrama de red

En este ejemplo, Palo Alto Networks Firewall anuncia dos prefijos al par BGP: 192.168.13.0/24 y 192.168.14.0/24. La manipulación del atributo de ruta de AS se aplica solo al prefijo 192.168.14.0/24, por lo que esta ruta será menos preferible para el par BGP.

Configuraciones

PASO 1. Abra la interfaz web del Firewall y navegue hasta Red > Enrutadores virtuales. Edite o agregue la instancia de enrutador virtual en la que se configurará BGP.
 

PASO 2. En la ventana Virtual Router , vaya a la pestaña BGP y marque la casilla de verificación Habilitar . Defina la dirección IP que se utilizará como ID del router y el número de AS para el firewall. Marque la opción Instalar ruta para que el firewall pueda instalar rutas BGP en su tabla de enrutamiento global.

PASO 3. Vaya a la pestaña Grupo del mismo nivel y seleccione Agregar. En la ventana Virtual Router - BGP - Peer Group/Peer Peer, defina un nombre y seleccione EBGP en el menú desplegable Tipo .

Seleccione Agregar para agregar información para el par BGP. En la ventana Virtual Router - BGP - Peer Group - Peer (Virtual Router - BGP - Peer Group - Peer Peer - Peer Peer Team), defina el nombre del par y especifique el número de AS del mismo nivel . Seleccione la interfaz local y la dirección IP que utilizará el firewall A en la relación de vecino BGP y defina la IP del mismo nivel.

PASO 4. Vaya a la pestaña Reglas de Redis y seleccione Agregar. En Virtual Router - BGP - Redistribute Rules - Rerule, cree o seleccione el perfil de redistribución. En este ejemplo, el perfil conectado se utiliza para anunciar 192.168.13.0/24 y 192.168.13.14.0/24.

PASO 5. Para modificar el atributo de ruta de AS, vaya a la pestaña Exportar y seleccione Agregar. Defina un nombre para la regla de exportación y seleccione Agregar para especificar el grupo de pares BGP configurado en el PASO 3.

Vaya a la pestaña Coincidir y defina la expresión regular de ruta de acceso de AS utilizada para filtrar las rutas de AS, en este caso ^$ se usa para hacer coincidir todas las rutas originadas por AS en cuestión. Seleccione Agregar en la sección Prefijo de dirección para especificar para qué subred se debe manipular el atributo de ruta de acceso de AS, en este caso, el antepuesto de ruta de acceso de AS solo se debe aplicar para la subred 192.168.14.0/24.

Vaya a la pestaña Acción, especifique Permitir en el menú desplegable Acción. Especifique Anteponer en el menú desplegable Tipo en la sección Ruta de acceso de AS y defina el número de veces que se debe anteponer el atributo. Seleccione Aceptar.

De forma predeterminada, se activará una regla de denegación implícita una vez que se haya configurado la regla de exportación anterior. Dicho esto, se necesita una segunda regla de exportación para exportar el resto de los prefijos definidos en el perfil de redistribución configurado en el STEP 4.  Vaya a la pestaña Exportar y seleccione Agregar, defina un nombre para la regla de exportación y seleccione Agregar para especificar el grupo de pares BGP configurado en el PASO 3.

Para la pestaña Coincidir , mantenga el ^$ para la expresión regular de ruta de acceso de AS y no especifique ningún prefijo, por lo que la regla se aplicará a todos los prefijos del perfil de redistribución.

En la pestaña Unaacción , especifique Permitir en el menú desplegable Acción . Seleccione Aceptar para que se pueda agregar una segunda regla a las reglas de exportación. Confirme los cambios en el cortafuegos.

Verificar

Una vez completada la inserción, vaya a Network > Virtual Routers y seleccione Más estadísticas de tiempo de ejecución. En la ventana Virtual Router , navegue hasta BGP > Peer, el par BGP debe estar establecido.

Para confirmar que se ha aplicado el antepuesto de ruta AS, navegue hasta la pestaña RIB Out . Debe aparecer una lista de rutas de AS ampliada solo para la red deseada.

Propietario: Dperezvertti