BGP:将超出为邻居存储的最大前缀数。

BGP:将超出为邻居存储的最大前缀数。

7371
Created On 09/14/22 07:07 AM - Last Modified 01/22/25 03:35 AM


Symptom


  • 意外的BGP路由重新收敛或BGP路由波动。
> show routing route type bgp
  • 尽管您没有配置导入过滤器来限制路由,但邻居公布的BGP路由在 BGP 的本地RIB中是看不到的。
网络 > 虚拟路由器 > 更多运行时统计 > BGP > 本地RIB
  • 尽管您没有配置导出过滤器来限制路由,但 BGP 的RIB Out 是空白的。
网络 > 虚拟路由器 > 更多运行时统计信息 > BGP > RIB Out

Environment


  • Palo Alto 防火墙
  • BGP

Cause


The firewall's BGP peer sends Network Layer Reachability Information (NLRI) more than the configured Max Prefixes for the peer, due to this the following logs will be generated in /var/log/pan/routed.log.
  • 将超出为邻居存储的最大前缀数量。
**** AUDIT 0x4107 - 16 (0000) **** I:00059b36 F:00000002
qbdcphs1.c 1437 :at 19:31:11, 15 April 2021 (2160030 ms)
The maximum number of prefixes stored for a neighbor would be exceeded. 
RIB Manager entity index: 0X00000003
Neighbor IP address: 177.15.195.117
AFI: 1
SAFI: 1
Defined max prefixes: 5000
Dropping connection: False
Idle hold time: 90
  • 来自对等体的前缀数量已达到警告阈值
**** AUDIT 0x4107 - 36 (0000) **** I:0008c3fe F:00000002
qbdcphs1.c 1532 :at 21:55:45, 14 December 2021 (21772465 ms)
The number of prefixes from a peer has reached the warning threshold.
RIB Manager entity index: 0X00000001
Neighbor IP address: 10.101.0.21
AFI: 1
SAFI: 1
Number of prefixes: 1125
Configured max prefixes: 1500
Threshold level 1125

Resolution


前两种方案将在FW的BGP对等体上实现,第三种和第四种方案将在防火墙上实现。

您可以选择实施至少一种所提供的解决方案来解决该问题。
  1. 在远程BGP对等体中配置导出过滤器以仅公布必要的 NLRI(路由)。
  2. 汇总发送给防火墙的路由。
  3. 增加防火墙可以从邻居接收的最大前缀,导航至网络 > 虚拟路由器 >单击适当的VR > BGP > 对等组 >单击适当的对等组>单击适当的对等> 高级 > 最大前缀
BGP-最大前缀.png
  1. 根据客户环境,使用以下任一 KB 配置BGP导入过滤器:
    1. 文章编号: 000032475 [BGP: 如何使用黑名单过滤从对等方学到的路由]
    2. 文章编号: 000032518 [BGP: 如何使用白名单过滤从对等体学到的路由]

Additional Information


如何排除BGP邻居抖动故障
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZ5xCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language