Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de configuração do protocolo Protocolo de la puerta de enlace marginal (BGP) ASA

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve as etapas exigidas permitir o Border Gateway Protocol (BGP) (eBGP/iBGP) que distribui, estabelecer um processo de roteamento BGP, configurar parâmetros gerais BGP, filtragem de rota em uma ferramenta de segurança adaptável (ASA), e pesquisar defeitos problemas relacionados do neighborship. Esta característica foi introduzida na versão de software 9.2.1 ASA.

Contribuído por Mohammad Alhyari, por Magnus Mortensen, e por Dinkar Sharma, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

Este documento é baseado no Firewall do 5500-X Series de Cisco ASA que executa a versão de software 9.2.1 de Cisco ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Diretrizes e limitações

  • A família do endereço do IPv4 BGP é apoiada no modo simples e no multi-modo.
  • O multi-modo é equivalente ao VPNv4 do ® BGP do Cisco IOS (família do endereço do VPN Routing and Forwarding (VRF)). Pelo roteador do contexto, o BGP é similar por à família do endereço do IPv4 VRF no Cisco IOS.
  • Somente um número de sistema autônomo (AS) é apoiado para todos os contextos similares a um global QUANTO para a todas as famílias do endereço no Cisco IOS.
  • ENQUANTO o número deve ser configurado com o uso do comando do <as_num> BGP do roteador que pode ser usado a fim permitir pela família do endereço do contexto.
  • O BGP tem seis processos que apoiam todos os contextos, e os detalhes estão disponíveis com o comando show process. Estes processos são tarefa BGP, de planificador BGP evento, de scanner de BGP, de BGP Router, I/O BGP, e BGP.
    ASA-1(config)# show proc | in BGP
    Mwe 0x00000000010120d0 0x00007ffecc8ca5c8 0x0000000006136380
    0 0x00007ffecc8c27c0 29432/32768 BGP Task
    Mwe 0x0000000000fb3acd 0x00007ffecba47b48 0x0000000006136380
    11 0x00007ffecba3fd00 31888/32768 BGP Scheduler
    Lwe 0x0000000000fd3e40 0x00007ffecd3373e8 0x0000000006136380
    26 0x00007ffecd32f5f0 30024/32768 BGP Scanner
    Mwe 0x0000000000fd70b9 0x00007ffecd378cd8 0x0000000006136380
    10 0x00007ffecd370eb0 28248/32768 BGP Router
    Mwe 0x0000000000fc9f84 0x00007ffecd32f3e8 0x0000000006136380
    2 0x00007ffecd3275a0 30328/32768 BGP I/O
    Mwe 0x000000000100c125 0x00007ffecd33f458 0x0000000006136380
    0 0x00007ffecd337640 32032/32768 BGP Event
  • O contexto do sistema tem as configurações globais comuns a todos os contextos similares ao Cisco IOS que tem configurações globais para todas as famílias do endereço.
  • As configurações que têm o controle sobre o cálculo do melhor caminho, vizinho de registro, descoberta máxima da unidade da transição do trajeto TCP (MTU), temporizadores globais para o keepalive, tempo de contenção, estão e assim por diante disponíveis no contexto do sistema sob o modo de comando router bgp.
  • O apoio do comando da política do BGP está sob o modo da família do endereço pelo contexto do usuário.
  • Todas as comunidades e atributos de trajeto padrão são apoiados.
  • O buraco negro remotamente provocado (RTBH) é apoiado usando a configuração de rota estática do null0.
  • A informação do salto seguinte foi adicionada à tabela de roteamento própria da entrada no processador de rede (NP). Previamente isto estava disponível somente na tabela de roteamento da saída. Esta mudança foi terminada a fim apoiar a adição de rotas de BGP nas tabelas do forwarding NP (desde que as rotas de BGP não têm uma interface de saída identificada no CP, lá é nenhuma maneira de determinar que tabela de roteamento da saída para atualizar a informação do salto seguinte com).
  • A consulta da rota recursiva é apoiada.
  • A redistribução com outros protocolos tais como conectado, estática, Routing Information Protocol (RIP), Open Shortest Path First (OSPF), e Enhanced Interior Gateway Routing Protocol (EIGRP) é apoiada.
  • Nenhum comando do [with confirmation prompt] do <as_no> BGP do roteador remove as configurações de BGP em todos os contextos.
  • Distribua bases de dados do controle tais como mapas de rotas, lista de acesso, listas de prefixo, listas de comunidade, e as Listas de acesso como-PATH são virtualizadas e fornecidas pelo contexto.
  • Um comando new, <addr> do endereço do roteamento da tabela asp da mostra resolvido, é introduzido a fim indicar as rotas de BGP recursively resolvidas na tabela do forwarding NP.
  • Um comando new, sistema-configuração BGP da mostra, é introduzido em configurações de BGP do contexto do sistema de exibição do multi-modo.
  • O BGP com IPv6 não é apoiado ainda no ASA.
  • O BGP não é apoiado na aglomeração.

BGP e utilização de memória

O comando summary da rota da mostra é usado a fim obter a utilização de memória de protocolos de roteamento individuais.

BGP e Failover

  • O BGP é apoiado no Active/configurações à espera e ativas/ativas HA.
  • Somente a unidade ativa escuta na porta TCP 179 conexões BGP dos pares.
  • A unidade em standby não participa no BGP que espreita, e daqui não escuta na porta TCP 179 e não mantém as tabelas de BGP.
  • As adições e os supressões da rota de BGP replicated do Active à unidade em standby.
  • Em cima do Failover, a unidade ativa nova escuta na porta TCP 179 e inicia o estabelecimento da adjacência BGP com pares.
  • Sem transmissão contínuo (NSF), o estabelecimento da adjacência toma o tempo com par outra vez após o Failover, dentro de que as rotas de BGP não são instruídas do par. Isto depende em cima do keepalive seguinte BGP (padrão 60 segundos) do par para que o ASA responde com restauração (RST), que conduz a um fim de conexão velho na extremidade do par e uma nova conexão seguinte é estabelecida subseqüentemente.
  • Durante o período da reconvergência BGP, a unidade ativa nova continua a enviar o tráfego com as rotas previamente replicated.
  • O período de temporizador da reconvergência BGP é ajustado atualmente a 210 segundos (o comando failover da rota da mostra mostra o valor de temporizador) a fim dar o tempo suficiente para que o BGP estabeleça adjacências e rotas de intercâmbio com seus pares.
  • Depois que o temporizador da reconvergência BGP expira, todas as rotas de BGP velhas estão removidas do Routing Information Base (RIB).
  • A identificação do BGP Router é sincronizado da unidade ativa à unidade em standby. A computação identificação do BGP Router é desabilitada na unidade em standby.
  • O comando write standby é desanimado fortemente desde que a sincronização maioria não acontece nesse caso, que conduz à perda de rotas dinâmica no apoio.

Definição da rota recursiva

  • A informação da interface de saída para rotas de BGP não está disponível no CP (uma consequência direta do fato de que os vizinhos de BGP puderam ser saltos múltiplos afastado ao contrário de outros protocolos de roteamento).
  • As rotas de BGP com a informação do salto seguinte são adicionadas à tabela de roteamento da entrada NP, mas não são resolvidas ainda.
  • Quando o primeiro pacote de um fluxo que combine um prefixo da rota de BGP incorpora o ASA ao trajeto lento, a rota é resolved e a interface de saída determinada recursively olhando acima a tabela de roteamento da entrada NP.
  • Sempre que as alterações de tabela de roteamento (do CP), um timestamp contexto-específico da tabela de roteamento são incrementadas.
  • Quando o próximo pacote de um fluxo que combine uma rota de BGP incorpora o ASA ao caminho rápido, o ASA compara o timestamp da entrada da rota com o timestamp contexto-específico da tabela de roteamento. Se os dois timestamps não combinam, o processo de resolução da rota recursiva está iniciado outra vez e o timestamp da entrada da rota é atualizado para ser o mesmo que o timestamp da tabela de roteamento. Você pode verificar timestamps com o comando routing da tabela asp da mostra. O comando do <route> do endereço do roteamento da tabela asp da mostra mostra que o selo de tempo de uma entrada da rota particular e do comando routing da tabela asp da mostra mostra o selo de tempo da tabela de roteamento.
  • O processo de resolução da rota recursiva para um prefixo de destino pôde ser forçado quando você incorpora o comando resolvido <addr> do endereço do roteamento da tabela asp da mostra.
  • A profundidade das consultas da rota recursiva é restringida atualmente a quatro. Os pacotes que exigem a consulta depois que quatro estão deixados cair com razão da gota “nenhuma rota hospedar (nenhum-rota)” e lá não são nenhuma razão especial da gota para a falha de consulta recursivo.
  • A definição da rota recursiva é apoiada somente para rotas de BGP (não rotas estáticas).

Operação de máquina de estado finito BGP

Transição dos bgp peer através de diversos estados antes que assentarem bem em vizinhos adjacentes e trocarem a informação de roteamento. Em cada um dos estados, os pares devem enviar e receber mensagens, dados de mensagem do processo, e inicializam recursos antes que continuem ao estado seguinte. Este processo é sabido como a máquina de estado finito (FSM) BGP. Se o processo falha em qualquer momento, a sessão está rasgada para baixo e a transição dos pares de volta a um estado ocioso e começa o processo outra vez. Cada vez que uma sessão é rasgada para baixo, todas as rotas do par de que não é acima estão removidas das tabelas, que causa o tempo ocioso da máquina.

  1. QUIETUDE - o ASA procura a tabela de roteamento a fim ver se uma rota existe para alcançar o vizinho.
  2. CONECTE - o ASA encontrou uma rota ao vizinho e terminou o cumprimento de TCP tripartido.
  3. ATIVO - o ASA não recebeu o acordo nos parâmetros do estabelecimento.
  4. ABERTO ENVIADO - a mensagem aberta é enviada, com parâmetros para a sessão de BGP.
  5. ABERTO CONFIRME - o acordo recebido ASA nos parâmetros estabelecer uma sessão.
  6. ESTABELECIDO - espreitar é estabelecido e distribuir começa.

Configurar

configuração de eBGP

Corridas BGP entre o Roteadores nos sistemas diferente autônomo. À revelia, no eBGP (que espreita em dois sistemas diferente autônomo (AS)) O IP TTL é ajustado a 1 que significa que os pares estão supostos para ser conectados diretamente. Neste caso, quando um pacote cruza um roteador, o TTL transforma-se 0 e o pacote é deixado cair então além daquele. Nos casos onde os dois vizinhos não o estão conectados diretamente (por exemplo, espreitar com interfaces de loopback ou espreitar quando os dispositivos forem saltos múltiplos afastado) necessidade de adicionar o comando eBGP-multihop do vizinho x.x.x.x <TTL>. Se não, a vizinhança de BGP não será estabelecida. Além, um par do eBGP anuncia todas as melhores rutas que sabe ou aprendeu de seus pares (se par do eBGP ou par do iBGP), que não é no caso do iBGP.

Diagrama de Rede

Configuração ASA-1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.2 remote-as 200
  neighbor 203.0.113.2 activate
  network 192.168.10.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Configuração ASA-2

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
  neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

configuração de iBGP

No iBGP, não há nenhuma limitação que os vizinhos têm que ser conectados diretamente. Contudo, um par do iBGP não anunciará o prefixo que aprendeu de um par do iBGP a um outro par do iBGP. Esta limitação está lá evitar laços dentro do mesmos QUE. A fim esclarecer isto, quando uma rota é passada a um par do eBGP, o local COMO o número obtém adicionado ao prefixo no como-PATH, assim que se nós recebemos a mesma parte traseira do pacote que indica o nosso COMO no como-PATH, nós sabemos que é um laço, e que o pacote obtém deixado cair. Contudo, quando uma rota for anunciada a um par do iBGP, o local COMO o número não é adicionado ao como-PATH, desde que os pares estão em mesmos QUE.

Diagrama de Rede

Configuração ASA-1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.2 remote-as 100
  neighbor 203.0.113.2 activate
  network 192.168.10.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Configuração ASA-2

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
  neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Diferenças entre o eBGP e o iBGP

  • o eBGP espreita entre dois AS diferentes, visto que o iBGP está entre o mesmos QUE.
  • As rotas aprendidas do par do eBGP são anunciadas a outros pares (eBGP ou iBGP). Contudo, as rotas aprendidas de um par do iBGP não são anunciadas a outros pares do iBGP.
  • À revelia, os pares do eBGP são ajustados com TTL=1, que significa que os vizinhos estão supostos para ser conectados diretamente que não é no caso do iBGP. A fim mudar este comportamento para o eBGP, incorpore o comando eBGP-multihop do vizinho x.x.x.x <TTL>. O Multihop é o termo usado no eBGP somente.
  • as rotas do eBGP têm uma distância administrativa de 20, visto que o iBGP é 200.
  • O salto seguinte permanece inalterado quando a rota é anunciada a um par do iBGP. Contudo, é mudado quando é anunciado a um par do eBGP à revelia.

EBGP-Multihop

Um ASA com a vizinhança de BGP com um outro ASA que seja um salto afastado. Para o neighborship você precisa de certificar-se de você ter a Conectividade entre vizinhos. Sibilo a fim confirmar a Conectividade. Assegure-se de que a porta TCP 179 esteja concedida nos ambos sentidos nos dispositivos in-between.

Configuração ASA-1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 198.51.100.1 remote-as 200
neighbor 198.51.100.1 ebgp-multihop 2
neighbor 198.51.100.1 activate
  network 192.168.10.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Configuração ASA-2

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 ebgp-multihop 2
neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Filtragem de rota BGP

Com BGP você pode controlar uma atualização de roteamento que seja enviada e recebida. Neste exemplo, uma atualização de roteamento é obstruída para o prefixo de rede 172.16.30.0/24 que é atrás de ASA-2. Para o filtragem de rota, você pode somente usar o PADRÃO ACL.

access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0
access-list bgp-in line 2 standard permit any4


router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
distribute-list bgp-in in
no auto-summary
no synchronization
exit-address-family
!

Verifique a tabela de roteamento.

ASA-1(config)# show bgp cidr-only

BGP table version is 6, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 192.168.10.0/16 0.0.0.0 0 32768 i

Verifique hitcounts do Access Control List (ACL).

ASA-1(config)# show access-list bgp-in
access-list bgp-in; 2 elements; name hash: 0x3f99de19
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0 (hitcnt=1) 0xb5abad25
access-list bgp-in line 2 standard permit any4 (hitcnt=4) 0x59d08160

Similarmente, você pode usar um ACL a fim filtrar o que é enviado com “para fora” no comando distribute-list.

Configuração de BGP ASA no Multi-contexto

O BGP é apoiado no multi-contexto. No caso do multi-contexto você precisa primeiramente de definir o processo de roteador BGP no contexto do sistema. Se você tenta criar um processo BGP sem o definir no contexto do sistema, você obtém este erro.

ASA-1/admin(config)# router bgp 100
%BGP process cannot be created in non-system context
ERROR: Unable to create router process

First we Need to define it in system context.

ASA-1/admin(config)#changeto context system
ASA-1(config)# router bgp 100
ASA-1(config-router)#exit

Now create bgp process in admin context.

ASA-1(config)#changeto context admin
ASA-1/admin(config)# router bgp 100
ASA-1/admin(config-router)#

Verificar

Verifique o Neighborship do eBGP

Verifique a conexão de TCP na porta 179.

ASA-1(config)# show asp table socket

Protocol  Socket    State      Local Address                    Foreign Address
SSL       00001478  LISTEN     172.16.20.1:443                  0.0.0.0:*
TCP       000035e8  LISTEN     203.0.113.1:179                  0.0.0.0:*
TCP       00005cd8  ESTAB      203.0.113.1:44368                203.0.113.2:179
SSL       00006658  LISTEN     10.106.44.221:443                0.0.0.0:*

Mostre os vizinhos de BGP.

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2,  context single_vf,  remote AS 200, external link >> eBGP
  BGP version 4, remote router ID 203.0.113.2
  BGP state = Established, up for 00:04:42
  Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds

  Neighbor sessions:
    1 active, is not multisession capable (disabled)
  Neighbor capabilities:
    Route refresh: advertised and received(new)
    Four-octets ASN Capability: advertised and received
    Address family IPv4 Unicast: advertised and received
    Multisession Capability:
  Message statistics:
    InQ depth is 0
    OutQ depth is 0

                   Sent       Rcvd
    Opens:         1          1
    Notifications: 0          0
    Updates:       2          2
    Keepalives:    5          5
    Route Refresh: 0          0
    Total:         8          8
  Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  Session: 203.0.113.2
  BGP table version 7, neighbor version 7/0
  Output queue size : 0
  Index 1
  1 update-group member
                           Sent       Rcvd
  Prefix activity:         ----       ----
    Prefixes Current:      3          3          (Consumes 240 bytes)
    Prefixes Total:        3          3
    Implicit Withdraw:     0          0
    Explicit Withdraw:     0          0
    Used as bestpath:      n/a        3
    Used as multipath:     n/a        0

                                Outbound    Inbound
  Local Policy Denied Prefixes: --------    -------
    Bestpath from this peer:     3          n/a
    Total:                       3          0
  Number of NLRIs in the update sent: max 3, min 0

  Address tracking is enabled, the RIB does have a route to 203.0.113.2
  Connections established 1; dropped 0
  Last reset never
  Transport(tcp) path-mtu-discovery is enabled
  Graceful-Restart is disabled

Rotas de BGP

Configuração ASA-1

ASA-1(config)# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

B        10.10.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B        10.180.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B        172.16.30.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48

Configuração ASA-2

ASA-2# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

B 10.106.44.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 172.16.20.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 192.168.10.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32

A fim ver rotas para um ASA specfic, incorpore o comando BGP <AS-No.> da rota da mostra.

ASA-1(config)# show route bgp ?

exec mode commands/options:
  100  Autonomous system number
  |    Output modifiers
  <cr>

Detalhe específico da rota do eBGP

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
  Known via "bgp 100", distance 20, metric 0
  Tag 200, type external
  Last update from 203.0.113.2 0:09:43 ago
  Routing Descriptor Blocks:
  * 203.0.113.2, from 203.0.113.2, 0:09:43 ago
      Route metric is 0, traffic share count is 1
      AS Hops 1-----------------------------------> ASA HOP is one
      Route tag 200
      MPLS label: no label string provided
ASA-1(config)# show bgp cidr-only

BGP table version is 7, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 10.10.10.0/24    203.0.113.2          0             0  200 i
*> 10.106.44.0/24   0.0.0.0              0         32768  i
*> 10.180.10.0/24   203.0.113.2          0             0  200 i
*> 172.16.20.0/24   0.0.0.0              0         32768  i
*> 172.16.30.0/24   203.0.113.2          0             0  200 i

Sumário BGP

ASA-1(config)# show bgp summary
BGP router identifier 203.0.113.1, local AS number 100
BGP table version is 7, main routing table version 7
6 network entries using 1200 bytes of memory
6 path entries using 480 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2120 total bytes of memory
BGP activity 6/0 prefixes, 6/0 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
203.0.113.2     4          200 16      17             7    0    0 00:14:19  3

Na versão 9.2, um comando new, mostra o sumário da rota, foi introduzido.

ASA-1(config)# show route summary

IP routing table maximum-paths is 3
Route Source    Networks    Subnets     Replicates  Overhead    Memory (bytes)
connected       0           8           0           704         2304
static          2           5           0           616         2016
ospf 1          0           0           0           0           0
  Intra-area: 0 Inter-area: 0 External-1: 0 External-2: 0
  NSSA External-1: 0 NSSA External-2: 0
bgp 100         0           3           0           264         864
  External: 3 Internal: 0 Local: 0
internal        7                                               3176
Total           9           16          0           1584        8360

Verifique o Neighborship do iBGP

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2,  context single_vf,  remote AS 100, internal link >> iBGP
  BGP version 4, remote router ID 203.0.113.2
  BGP state = Established, up for 00:02:19
  Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
  Neighbor sessions:
    1 active, is not multisession capable (disabled)
  Neighbor capabilities:
    Route refresh: advertised and received(new)
    Four-octets ASN Capability: advertised and received
    Address family IPv4 Unicast: advertised and received
    Multisession Capability:
  Message statistics:
    InQ depth is 0
    OutQ depth is 0

                   Sent       Rcvd
    Opens:         1          1
    Notifications: 0          0
    Updates:       2          2
    Keepalives:    5          5
    Route Refresh: 0          0
    Total:         8          8
  Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  Session: 203.0.113.2
  BGP table version 7, neighbor version 7/0
  Output queue size : 0
  Index 1
  1 update-group member
                           Sent       Rcvd
  Prefix activity:         ----       ----
    Prefixes Current:      3          3          (Consumes 240 bytes)
    Prefixes Total:        3          3
    Implicit Withdraw:     0          0
    Explicit Withdraw:     0          0
    Used as bestpath:      n/a        3
    Used as multipath:     n/a        0

                                Outbound    Inbound
  Local Policy Denied Prefixes: --------    -------
    Bestpath from this peer:     3          n/a
    Total:                       3          0
  Number of NLRIs in the update sent: max 3, min 0

  Address tracking is enabled, the RIB does have a route to 203.0.113.2
  Connections established 1; dropped 0
  Last reset never
  Transport(tcp) path-mtu-discovery is enabled
  Graceful-Restart is disabled

Detalhe específico da rota iBGP

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0, type internal
Last update from 203.0.113.2 0:07:05 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:07:05 ago
Route metric is 0, traffic share count is 1
AS Hops 0 -------------------->> ASA HOP is 0 as it's internal route
MPLS label: no label string provided

Valor TTL para pacotes BGP

À revelia, os vizinhos de BGP têm que diretamente ser conectados. Isso é porque o valor TTL para pacotes BGP é sempre 1 (padrão). Assim caso que um vizinho de BGP não é conectado diretamente, você precisa de definir um valor do multi-salto BGP que dependa em cima de quantos saltos estão dentro durante todo o trajeto.

Está aqui um exemplo de um exemplo do valor TTL do conectado diretamente:

ASA-1(config)#show cap bgp detail
 
  5: 06:30:19.789769 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
      203.0.113.1.44368 > 203.0.113.2.179: S [tcp sum ok] 3733850223:3733850223(0)
win 32768 <mss 1460,nop,nop,timestamp 15488246 0> (DF) [tos 0xc0]  [ttl 1] (id 62822)

  6: 06:30:19.792286 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 58
      203.0.113.22.179 > 203.0.113.1.44368: S [tcp sum ok] 1053711883:1053711883(0)
ack 3733850224 win 16384 <mss 1360> [tos 0xc0]  [ttl 1] (id 44962)

  7: 06:30:19.792302 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 54
      203.0.113.1.44368 > 203.0.113.22.179: . [tcp sum ok] 3733850224:3733850224(0)
ack 1053711884 win 32768 (DF) [tos 0xc0]  [ttl 1] (id 52918)

Se os vizinhos não o são conectados diretamente então necessidade de incorporar o comando multihop BGP a fim definir quantos SALTOS um vizinho é aumentar o valor TTL no cabeçalho IP.

Está aqui um exemplo de um valor TTL em caso do multi-salto (neste caso o vizinho de BGP é 1 SALTO afastado):

ASA-1(config)#show cap bgp detail

5: 13:10:04.059963 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
      203.0.113.1.63136 > 198.51.100.1.179: S [tcp sum ok] 979449598:979449598(0)
win 32768 <mss 1460,nop,nop,timestamp 8799571 0> (DF) [tos 0xc0]  (ttl 2, id 62012)


   6: 13:10:04.060681 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 70 198.51.100.1.179 >
203.0.113.1.63136: S [tcp sum ok] 0:0(0) ack 979449599 win 32768 <mss 1460,nop,nop,
timestamp 6839704 8799571> (DF) [tos 0xac]  [ttl 1] (id 60372)


   7: 13:10:04.060696 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 66
      203.0.113.1.63136 >198.51.100.1.179: . [tcp sum ok] 979449599:979449599(0) ack 1
win 32768 <nop,nop,timestamp 8799571 6839704> (DF) [tos 0xc0]  (ttl 2, id 53699)

Processo de resolução da rota recursiva 

ASA-1(config)# show asp table routing
route table timestamp: 66
in 255.255.255.255 255.255.255.255 identity
in 203.0.113.1 255.255.255.255 identity
in 203.47.198.254 255.255.255.255 via 12.13.14.4, outside
in 106.10.199.78 255.255.255.255 via 15.16.17.4, DMZ
in 192.168.0.1 255.255.255.255 identity
in 172.16.20.1 255.255.255.255 identity
in 10.106.44.190 255.255.255.255 identity
in 10.10.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 66)
in 172.16.30.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 64)
in 10.180.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 65)

in 203.0.113.0 255.255.255.0 outside
in 172.16.10.0 255.255.255.0 via 12.13.14.4, outside
in 192.168.10.0 255.255.255.0 via 12.13.14.20, outside
in 192.168.20.0 255.255.255.0 via 15.16.17.4, DMZ
in 172.16.20.0 255.255.255.0 inside
in 10.106.44.0 255.255.255.0 management
in 192.168.0.0 255.255.0.0 DMZ

ASA BGP e capacidade de reinício graciosa

A característica BGP na versão ASA 9.2.1 não apoia a opção graciosa do reinício negociada na mensagem ABERTA BGP. Quando um dispositivo de peer envia a um BGP a mensagem ABERTA, o ASA deixa cair o pacote de atualização e envia um mensagem de notificação BGP. Estes mensagens do syslog são considerados no ASA:

%ASA-3-418018: neighbor 192.168.1.10 Down BGP Notification sent
%ASA-3-418019: sent to neighbor 192.168.1.10/11 (invalid or corrupt AS path) 9 bytes
40020602 010 000 fc08
%ASA-3-418040: unsupported or mal-formatted message received from 192.168.1.10:

Não há nada erradamente com o atributo AS_path. Isto é porque o ASA não apoia a capacidade de reinício graciosa na versão 9.2.1. Isto esteve observado com dispositivos do nexo enquanto negociam a capacidade de reinício graciosa à revelia. A ação alternativa para fixar esta edição é desabilitar a capacidade de reinício graciosa no dispositivo de peer. Veja o exemplo mostrado aqui. No nexo 5000, incorpore estes comandos:

inside-N5K(config)# router bgp 64520
inside-N5K(config-router)# no graceful-restar

Troubleshooting

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

  • Depois que configuração que você precisa de assegurar ambos os dispositivos têm a Conectividade. Verifique o ICMP e a Conectividade da porta TCP 179.
  • Se os bgp peer não são conectados diretamente, a seguir assegure-se de que você tenha vários saltos e EBGP configurados.
  • Se a Conectividade está correta, o soquete TCP estará no estado do ESTABELECIMENTO na saída do comando socket da tabela asp da mostra.
    ASA-1(config)# show asp table socket

    Protocol  Socket    State      Local Address                    Foreign Address
    SSL       00001478  LISTEN     172.16.20.1:443                  0.0.0.0:*
    TCP       000035e8  LISTEN     203.0.113.1:179                  0.0.0.0:*
    TCP       00005cd8  ESTAB      203.0.113.1:44368                203.0.113.2:179
    SSL       00006658  LISTEN     10.106.44.221:443                0.0.0.0:*
  • Após um aperto de mão da 3-maneira, ambas as mensagens ABERTAS da troca BGP dos pares e negociam parâmetros.

  • Depois que a troca do parâmetro, ambos os pares troca a informação de roteamento com uma mensagem da ATUALIZAÇÃO BGP.

     

    %ASA-7-609001: Built local-host identity:203.0.113.1
    %ASA-7-609001: Built local-host outside:203.0.113.2
    %ASA-6-302013: Built outbound TCP connection 14 for outside:203.0.113.2/179
    (203.0.113.2/179) to identity:203.0.113.1/43790 (203.0.113.1/43790)
    %ASA-3-418018: neighbor 203.0.113.2 Up

Se o neighborship não é formado mesmo depois um aperto de mão bem sucedido da 3-maneira TCP, a seguir a edição é com BGP FS. Recolha uma captura de pacote de informação e Syslog do ASA e verifique que estado você tem edições com.

Debug

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Inscreva o comando debug ip bgp a fim pesquisar defeitos problemas relacionados do neighborship e da atualização de roteamento.

ASA-1(config)# debug ip bgp ?

exec mode commands/options:
A.B.C.D BGP neighbor address
events BGP events
in BGP Inbound information
ipv4 Address family
keepalives BGP keepalives
out BGP Outbound information
range BGP dynamic range
rib-filter Next hop route watch filter events
updates BGP updates
<cr>

Inscreva o comando event BGP debugar IP a fim pesquisar defeitos problemas relacionados do neighborship.

BGP: 203.0.113.2 active went from Idle to Active
BGP: 203.0.113.2 open active, local address 203.0.113.1

BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Adding topology IPv4 Unicast:base
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Send OPEN
BGP: 203.0.113.2 active went from Active to OpenSent
BGP: 203.0.113.2 active sending OPEN, version 4, my as: 100, holdtime 180 seconds,
ID cb007101

BGP: 203.0.113.2 active rcv message type 1, length (excl. header) 34
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Receive OPEN
BGP: 203.0.113.2 active rcv OPEN, version 4, holdtime 180 seconds
BGP: 203.0.113.2 active rcv OPEN w/ OPTION parameter len: 24
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 1, length 4
BGP: 203.0.113.2 active OPEN has MP_EXT CAP for afi/safi: 1/1
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 128, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(old) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 2, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(new) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 65, length 4
BGP: 203.0.113.2 active OPEN has 4-byte ASN CAP for: 200
BGP: 203.0.113.2 active rcvd OPEN w/ remote AS 200, 4-byte remote AS 200
BGP: 203.0.113.2 active went from OpenSent to OpenConfirm
BGP: 203.0.113.2 active went from OpenConfirm to Established

Inscreva o comando debug ip bgp update a fim pesquisar defeitos a distribuição de edições atualização-relacionadas.

BGP: TX IPv4 Unicast Mem global 203.0.113.2 Changing state from DOWN to WAIT
(pending advertised bit allocation).
BGP: TX IPv4 Unicast Grp global 4 Created.
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (not in list).
BGP: TX IPv4 Unicast Wkr global 4 Ref Blocked (not in list).
BGP: TX IPv4 Unicast Rpl global 4 1 Created.
BGP: TX IPv4 Unicast Rpl global 4 1 Net bitfield index 0 allocated.
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Added to group (now has 1 members).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Staying in WAIT state
(current walker waiting for net prepend).
BGP: TX IPv4 Unicast Top global Start net prepend.
BGP: TX IPv4 Unicast Top global Inserting initial marker.
BGP: TX IPv4 Unicast Top global Done net prepend (0 attrs).
BGP: TX IPv4 Unicast Grp global 4 Starting refresh after prepend completion.
BGP: TX IPv4 Unicast Wkr global 4 Cur Start at marker 1.
BGP: TX IPv4 Unicast Grp global 4 Message limit changed from 100 to 1000 (used 0 + 0).
BGP: TX IPv4 Unicast Wkr global 4 Cur Unblocked
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Changing state from WAIT to ACTIVE
(ready).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 No refresh required.
BGP: TX IPv4 Unicast Top global Collection done on marker 1 after 0 net(s).
BGP(0): 203.0.113.2 rcvd UPDATE w/ attr: nexthop 203.0.113.2, origin i, metric 0,
merged path 200, AS_PATH

BGP(0): 203.0.113.2 rcvd 10.10.10.0/24
BGP(0): 203.0.113.2 rcvd 172.16.30.0/24
BGP(0): 203.0.113.2 rcvd 10.180.10.0/24
-----------------> Routes rcvd from peer
BGP: TX IPv4 Unicast Net global 10.10.10.1/32 Changed.
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 Changed.
BGP(0): Revise route installing 1 of 1 routes for 10.10.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.10.10.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 172.16.30.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 10.180.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 RIB done.

BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Ready in READ-WRITE.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab All topologies are EOR ready.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 1.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.10.10.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.30.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.180.10.0/24 Skipped.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 4.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 4.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
0/3 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Checking EORs (0/1).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Send EOR.
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global First convergence done.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 3 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 Changed.
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 Changed.
BGP(0): nettable_walker 10.106.44.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 10.106.44.0/24
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 RIB done.
BGP(0): nettable_walker 172.16.20.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 172.16.20.0/24
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 RIB done.
BGP(0): nettable_walker 192.168.10.0/24 route sourced locally
---------> Routes
advertised

BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 192.168.10.0/24
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 10.106.44.0/24 Set advertised bit (total 1).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.106.44.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 172.16.20.0/24 Set advertised bit (total 2).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.20.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 192.168.10.0/24 Set advertised bit (total 4).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 192.168.10.0/24 Formatted.

BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 8.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 8.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Replicating.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
4/4 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Start minimum advertisement timer (30 secs).
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (minimum advertisement interval).
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 4.
BGP: TX IPv4 Unicast Top global Collection reached marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 4 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 0 net(s).
BGP: TX Member message pool under period (60 < 600).
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.

Incorpore estes comandos a fim pesquisar defeitos esta característica:

  • mostre o soquete da tabela asp
  • mostre o vizinho de BGP
  • mostre o sumário BGP
  • mostre o BGP da rota
  • mostre BGP CIDR-somente
  • mostre o sumário da rota


Document ID: 118050