如何配置具有特定前缀的 AS 路径前置的 eBGP

本文档介绍如何在Palo Alto Networks防火墙中为特定前缀配置具有AS路径前置属性的eBGP。 对 AS 路径属性的操作使 Palo Alto Networks Firewall 使用扩展的 AS 路径列表通告手头的前缀。 此配置通常用于降低路由对 BGP 对等体的可取性。

此文档中的信息基于这些硬件和软件的版本︰

• PA-VM 托管在运行 PAN-OS 10.2.0 的 VMWare ESXi 中

网络图

在此示例中，Palo Alto Networks 防火墙向 BGP 对等体通告两个前缀：192.168.13.0/24 和 192.168.14.0/24。 对 AS 路径属性的操作仅适用于 192.168.14.0/24 前缀，因此此路由对于 BGP 对等体不太可取。

配置

步骤1. 打开防火墙 Web 界面并导航到 网络>虚拟路由器。 编辑或添加将配置 BGP 的虚拟路由器实例。
 

步骤2。 在“ 虚拟路由器 ”窗口中，导航到“ BGP ”选项卡，然后勾选 “启用 ”复选框。 定义要用作 路由器 ID 的 IP 地址和防火墙的 AS 编号 。 勾选 “安装 路由”选项，以便防火墙可以在其全局路由表中安装 BGP 路由。

步骤3。 导航到“ 对等组 ”选项卡，然后选择“ 添加”。 在虚拟路由器 - BGP - 对等组/对等体窗口中，定义一个名称，然后在类型下拉菜单中选择 EBGP。

选择“添加”以 添加 BGP 对等方的信息。 在 虚拟路由器 - BGP - 对等组 - 对等窗口中，定义对等体 的名称 并指定 对等体 AS 编号。 在BGP邻居关系中选择防火墙A要使用的本地接口和IP地址，并定义对等IP。

步骤4。 导航到“ Redis 规则 ”选项卡，然后选择“ 添加”。 在 虚拟路由器 - BGP - 重新分发规则 - 规则中，创建或选择重新分发配置文件。 在此示例中， 连接 的配置文件用于播发 192.168.13.0/24 和 192.168.13.14.0/24。

第5步。 要修改 AS 路径属性，请导航到 Export 选项卡并选择 Add。定义导出规则的名称，然后选择“ 添加 ”以指定在步骤 3 中配置的 BGP 对等组。

导航到 “匹配 ”选项卡并定义用于过滤 AS 路径的 AS 路径正则表达式 ，在本例中， ^$ 用于匹配手头由 AS 发起的所有路由。 在“地址前缀”部分中选择“添加”以指定必须操作 AS 路径属性的子网，在这种情况下，AS 路径前置只能应用于 192.168.14.0/24 子网。

导航到“操作”选项卡，在“操作”下拉菜单中指定“允许”。 在“AS 路径”部分下的“类型”下拉列表中指定“预置”，并定义应预置属性的次数。 选择 “确定”。

默认情况下，一旦配置了上述导出规则，就会触发隐式拒绝规则。 话虽如此，需要第二个导出规则来导出在步骤 4 中配置的再分发配置文件中定义的其余前缀。 导航到“导出”选项卡，然后选择“添加”，定义导出规则的名称，然后选择“添加”以指定在步骤 3 中配置的 BGP 对等组。

对于“匹配”选项卡，请保留 AS 路径正则表达式的 ^$ ，并且不指定任何前缀，因此该规则将应用于重新分发配置文件中的所有前缀。

对于“Action”选项卡，请在“操作”下拉菜单中指定“允许”。 选择 “确定”，以便可以将第二个规则添加到导出规则中。 向 防火墙提交更改。

验证

推送完成后，导航到 “网络>虚拟路由器 ”，然后选择 “更多运行时统计信息”。 在“虚拟路由器”窗口中，导航到“BGP >对等体”，必须已建立 BGP 对等体。

要确认已应用AS路径前置，请导航至 RIB Out 选项卡。 扩展的 AS 路径列表应仅针对目标网络显示。

所有者： Dperezvertti