高级路由引擎 - BGP:使用带前缀列表的路由图过滤入入站路由

高级路由引擎 - BGP:使用带前缀列表的路由图过滤入入站路由

2991
Created On 07/22/24 02:33 AM - Last Modified 09/26/25 21:48 PM


Objective


routemap1.png
  1. 应在路由表中安装来自两个 ISP 的默认路由
  2. 192.168.0.0/16 的路由通过 ISP1
  3. 10.0.0.0/8 的路由经过 ISP2
  4. 应过滤掉 172.16.0.0/12 的路由
  5. 防止 NGFW 超出最大前缀限制,从而防止出现以下日志
2024/07/04 10:57:11 BGP: [MCWSV-FHNYK] %MAXPFX: No. of IPv4 Unicast prefix received from neighbor vm100-2(192.168.1.2) reaches 1, max 7
2024/07/04 10:57:11 BGP: [QAZ2C-BZRW5] %MAXPFXEXCEED: No. of IPv4 Unicast prefix received from neighbor vm100-2(192.168.1.2) 8 exceed, limit 7
2024/07/04 10:57:11 BGP: [HZN6M-XRM1G] %NOTIFICATION(Hard Reset): sent to neighbor vm100-2 6/1 (Cease/Maximum Number of Prefixes Reached) 7 bytes 00 01


Environment


  • 高级路由引擎
  • 逻辑路由器
  • BGP
  • 前缀列表
  • 路线图
  • PAN OS 版本
  • 解决方案实施前的路由表
    1. 默认路由
are31.png
  1. 192.168.0.0/16
are32.png
  1. 10.0.0.0/8
are33.png
  1. 172.16.0.0/12
are34.png

Procedure


  1. 配置前缀列表

    1. 为 ISP1 创建过滤器。

      1. 通过转到网络 > 路由 > 路由配置文件 > 过滤器 > 过滤器前缀列表 > 添加 > 名称来定义前缀列表过滤器的名称,在此示例中,我们将使用 2_ISP1
5a.png
  1. 允许来自 ISP1 的默认路由安装在 BGP 的RIB表中,如上所示单击添加并使用以下参数:
    1. 序号: 10
    2. 行动:许可
    3. 前缀:网络
    4. 网络: 0.0.0.0/0
注意:由于我们尝试仅匹配默认路由,因此不需要使用大于或等于小于或等于选项。
6.png
  1. 单击“OK”保存
  2. 允许子网为 /24 的 192.168.0.0/16 及其超级网络的路由,再次单击过滤器前缀列表2_ISP1 下的添加,并使用以下值:
    1. 序号: 20
    2. 行动:许可
    3. 前缀:网络
    4. 网络: 192.168.0.0/16
    5. 小于或等于: 24
注意:我们不需要使用大于或等于选项来防止任何属于 192.168.0.0/16 的网络具有BGP接受的小于 /24 的子网。
7.png
  1. 单击“OK”保存
  2. 因此,此时我们应该得到如下内容:
are8.png
  1. 单击“OK”保存
  1. 为 ISP2 创建过滤器
    1. 通过转到网络 > 路由 > 路由配置文件 > 过滤器 > 过滤器前缀列表 > 添加 > 名称来确定前缀列表过滤器的名称,在此示例中,我们将使用 2_ISP2
are9.png
  1. 允许来自 ISP2 的默认路由安装在 BGP 的RIB表中,如上所示单击添加并使用以下参数:
    1. 序号: 10
    2. 行动:许可
    3. 前缀:网络
    4. 网络: 0.0.0.0/0
10.png
  1. 单击“OK”保存
  2. 允许子网为 /16 及其超级网络的 10.0.0.0/8 的路由,再次单击过滤器前缀列表2_ISP2 下的添加,并使用以下值:
    1. 序号: 20
    2. 行动:许可
    3. 前缀:网络
    4. 网络: 10.0.0.0/8
    5. 小于或等于: 16
注意:我们不需要使用大于或等于选项来防止任何属于 10.0.0.0/8 的网络具有BGP接受的小于 /16 的子网。
11.png
  1. 单击“OK”保存
  2. 因此,此时我们应该得到如下内容:
12.png
  1. 单击“OK”保存

  1. 配置路由图

    1. 通过转到网络 > 路由 > 路由配置文件 > 过滤器 > 过滤器路由图BGP > 添加 > 名称来定义路由图过滤器的名称,在此示例中,我们将使用 My_BGP_Route_Map
13.png
  1. 单击上面突出显示的“添加”,将为 ISP1 创建的前缀列表分配给路由图,并使用以下参数
    1. 条目(标签):
      1. 序号: 10
      2. 行动:许可
14.png
  1. 匹配(标签):
    1. 对等体: ISP1
    2. 前缀列表:2_IPS1
15.png
  1. 单击“OK”保存
  2. 单击上面突出显示的“添加”将为 ISP2 创建的前缀列表分配给路由图(步骤 II.1),并使用以下参数
    1. 条目(标签):
      1. 序号: 20
      2. 行动:许可
17.png
  1. 匹配(标签):
    1. 对等体: ISP2
    2. 前缀列表:2_IPS2
18.png
  1. 单击“OK”保存
  2. 结果,此时我们应该得到类似下面的结果:
19.png
  1. 单击“OK”保存

  1. 配置BGP过滤配置文件

    1. 通过转到网络 > 路由 > 路由配置文件 > BGP > BGP过滤配置文件 > 添加,将上述路由映射过滤器应用于 BGP 过滤配置文件,BGP使用以下参数:
      1. 名称: My_BGP_Filtering_Profile
      2. 入站路由图: My_BGP_Route_Map
20.png
  1. 单击“OK”保存

  1. 将BGP过滤配置文件应用到逻辑路由器

    1. 通过转到网络 > 路由 > 逻辑路由器 > [逻辑路由器名称] > BGP > 对等组 > [对等组名称] > IPv4过滤配置文件 > My_BGP_Filtering_Profile 来实现BGP过滤配置文件
are21.png
  1. 单击两次“OK” ,然后单击“提交”以保存

  1. 查看路由表的结果

    1. 要验证路由表,请转至“网络”>“路由”>“逻辑路由器”>“更多运行时统计信息”
  1. 默认路线(第一个目标)
100.png
  1. 192.168.0.0/16 (第二个目标)
are41.png
  1. 10.0.0.0/8 (第三个目标)
are42.png
  1. 172.16.0.0/12 (第四和第五个目标)
are24.png

Additional Information


这篇基于知识的文章是基于之前的两篇文章的:
  1. 高级路由引擎 - 如何配置基本BGP对等连接
  2. 高级路由引擎 - BGP:如何配置负载平衡
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zH8CAI&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language