Comment configurer eBGP avec le préfixe de chemin d’accès AS pour des préfixes spécifiques

Ce document décrit comment configurer eBGP avec l’attribut de préfixe de chemin d’accès AS pour des préfixes spécifiques dans un pare-feu Palo Alto Networks. La manipulation de l’attribut de chemin d’accès AS permet au pare-feu Palo Alto Networks d’annoncer le préfixe à portée de main avec une liste de chemin d’accès AS étendue. Cette configuration est couramment utilisée pour rendre une route moins préférable pour l’homologue BGP.

Les informations contenues dans le présent document se fonde sur ces versions logicielles et matérielles :

• PA-VM hébergée dans VMWare ESXi exécutant PAN-OS 10.2.0

Diagramme de réseau

Dans cet exemple, le pare-feu Palo Alto Networks annonce deux préfixes à l’homologue BGP : 192.168.13.0/24 et 192.168.14.0/24. La manipulation de l’attribut de chemin d’accès AS est appliquée au préfixe 192.168.14.0/24 uniquement, de sorte que cette route sera moins préférable pour l’homologue BGP.

Configurations

ÉTAPE 1. Ouvrez l’interface Web du pare-feu et accédez à Réseau > routeurs virtuels. Modifiez ou ajoutez l’instance de routeur virtuel dans laquelle BGP sera configuré.
 

ÉTAPE 2. Dans la fenêtre Virtual Router , accédez à l’onglet BGP et cochez la case Activer . Définissez l’adresse IP à utiliser comme ID de routeur et le numéro AS pour le pare-feu. Cochez l’option Installer la route pour que le pare-feu puisse installer les routes BGP dans sa table de routage globale.

ÉTAPE 3. Accédez à l’onglet Groupe homologue et sélectionnez Ajouter. Dans la fenêtre Routeur virtuel - BGP - Groupe homologue/Homologue, définissez un nom et sélectionnez EBGP dans le menu déroulant Type .

Sélectionnez Ajouter pour ajouter des informations sur l’homologue BGP. Dans la fenêtre Routeur virtuel - BGP - Groupe homologue - Homologue , définissez le nom de l’homologue et spécifiez le numéro d’homologue . Sélectionnez l’interface locale et l’adresse IP à utiliser par le pare-feu A dans la relation de voisinage BGP et définissez l’adresse IP de l’homologue.

ÉTAPE 4. Accédez à l’onglet Règles Redis et sélectionnez Ajouter. Dans la règle Routeur virtuel - BGP - Règles de redistribution - Créez ou sélectionnez le profil de redistribution. Dans cet exemple, le profil connecté est utilisé pour annoncer 192.168.13.0/24 et 192.168.13.14.0/24.

ÉTAPE 5. Pour modifier l’attribut de chemin d’accès AS, accédez à l’onglet Exporter et sélectionnez Ajouter. Définissez un nom pour la règle d’exportation et sélectionnez Ajouter pour spécifier le groupe d’homologues BGP configuré à l’ÉTAPE 3.

Accédez à l’onglet Match (Correspondance ) et définissez l’expression régulière AS Path utilisée pour filtrer les chemins AS, dans ce cas ^$ est utilisé pour faire correspondre toutes les routes provenant d’AS à portée de main. Sélectionnez Ajouter dans la section Préfixe d’adresse pour spécifier pour quel sous-réseau l’attribut de chemin d’accès AS doit être manipulé, dans ce cas, le préfixe de chemin d’accès AS doit être appliqué uniquement pour le sous-réseau 192.168.14.0/24.

Accédez à l’onglet Action , spécifiez Autoriser dans le menu déroulant Action . Spécifiez Prepend dans la liste déroulante Type de la section AS Path (Chemin d’accès AS ) et définissez le nombre de fois que l’attribut doit être préfixé. Sélectionnez OK.

Par défaut, une règle de refus implicite est déclenchée une fois que la règle d’exportation ci-dessus a été configurée. Cela dit, une deuxième règle d’exportation est nécessaire pour exporter le reste des préfixes définis dans le profil de redistribution configuré à l’ÉTAPE 4.  Accédez à l’onglet Exporter et sélectionnez Ajouter, définissez un nom pour la règle d’exportation et sélectionnez Ajouter pour spécifier le groupe d’homologues BGP configuré à l’ÉTAPE 3.

Pour l’onglet Correspondance, conservez le ^$ pour l’expression régulière AS Path et ne spécifiez aucun préfixe, de sorte que la règle s’appliquera à tous les préfixes du profil de redistribution.

Pour l’onglet Action , spécifiez Autoriser dans le menu déroulant Action . Sélectionnez OK pour ajouter une deuxième règle aux règles d’exportation. Engagez les modifications au pare-feu.

Vérifier

Une fois l’envoi terminé, accédez à Réseau > routeurs virtuels et sélectionnez Plus de statistiques d’exécution. Dans la fenêtre Routeur virtuel , accédez à BGP > Peer, l’homologue BGP doit être Established.

Afin de confirmer que le préfixe de chemin AS a été appliqué, accédez à l’onglet RIB Out . Une liste étendue de chemins d’accès AS doit s’afficher uniquement pour le réseau concerné.

Propriétaire : Dperezvertti