セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA ボーダー ゲートウェイ プロトコル 設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料が有効に し、BGP 経路制御プロセスをルーティングする確立し、Border Gateway Protocol (BGP) (eBGP/iBGP)を一般の BGP パラメータを、適応性があるセキュリティ アプライアンス モデル(ASA)のルートフィルタリング設定し、隣接性関連 問題を解決するために必要なステップを記述したものです。 この機能は ASA ソフトウェア バージョン 9.2.1 で導入されました。

Mohammad Alhyari、マグナス Mortensen、および Dinkar Sharma によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

この資料は Cisco ASA ソフトウェア バージョン 9.2.1 を実行する Cisco ASA 5500-X シリーズ ファイアウォールに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ガイドラインと制限事項

  • BGP IPv4 アドレス ファミリーはシングル モードでマルチモード サポートされ。
  • マルチモード Cisco IOS ® BGP VPNv4 と同等です(VPN Routing and Forwarding (VRF)アドレス ファミリー)。 コンテキスト ルータごとに、BGP は Cisco IOS の VRF IPv4 アドレス ファミリー 1人あたりにに類似したです。
  • 1 自律システム (AS) 番号だけ Cisco IOS のすべてのアドレス ファミリーのための 1 グローバル な AS と同じようなすべてのコンテキストのためにサポートされます。
  • AS 数はコンテキスト アドレス ファミリー 1人あたりに有効に なるために使用することができるルータ BGP <as_num> コマンドの使用で設定する必要があります。
  • BGP にコンテキストすべてをサポートする、詳細は show process コマンドで利用できます 6 つのプロセスがあり。 これらのプロセスは BGP タスク、BGP スケジューラー、BPG スキャナ、BGPルータ、BGP I/O および BGP イベントです。
    ASA-1(config)# show proc | in BGP
    Mwe 0x00000000010120d0 0x00007ffecc8ca5c8 0x0000000006136380
    0 0x00007ffecc8c27c0 29432/32768 BGP Task
    Mwe 0x0000000000fb3acd 0x00007ffecba47b48 0x0000000006136380
    11 0x00007ffecba3fd00 31888/32768 BGP Scheduler
    Lwe 0x0000000000fd3e40 0x00007ffecd3373e8 0x0000000006136380
    26 0x00007ffecd32f5f0 30024/32768 BGP Scanner
    Mwe 0x0000000000fd70b9 0x00007ffecd378cd8 0x0000000006136380
    10 0x00007ffecd370eb0 28248/32768 BGP Router
    Mwe 0x0000000000fc9f84 0x00007ffecd32f3e8 0x0000000006136380
    2 0x00007ffecd3275a0 30328/32768 BGP I/O
    Mwe 0x000000000100c125 0x00007ffecd33f458 0x0000000006136380
    0 0x00007ffecd337640 32032/32768 BGP Event
  • すべてのアドレス ファミリーのためのグローバルコンフィギュレーションがあるシステム コンテキストに Cisco IOS と同じようなすべてのコンテキストによくあるグローバルコンフィギュレーションがあります。
  • ネイバーを記録 する コンフィギュレーションはベストパス計算をコントロールする TCP パス最大移行ユニット(MTU)ディスカバリ、キープアライブのためのグローバル な タイマー、一時待機時間、等 router bgp コマンド モードの下でシステム コンテキストで利用できます。
  • BGP policy コマンド サポートはユーザ コンテキストごとのアドレス ファミリー モードの下にあります。
  • すべての標準コミュニティおよびパス属性はサポートされます。
  • リモートで 引き起こされた ブラック ホール(RTBH)は静的な null0 ルート設定を使用してサポートされます。
  • ネクスト・ホップ情報はネットワークプロセッサ(NP)の入力 ルーティング テーブル自体に追加されました。 以前はこれは出力ルーティング テーブルでだけ利用可能でした。 この変更はフォワーディングテーブル NP に BGPルートの付加をサポートするために完了しました(BGPルートが CP で識別される出力 インターフェイスを備えていないのでそこにですとのかネクスト・ホップ情報をアップデートするどの出力ルーティング テーブル)判別する方法無し。
  • 再帰ルート ルックアップはサポートされます。
  • 、スタティック接続されるのような他のプロトコルの再配布は、ルーティング情報プロトコル (RIP)、Open Shortest Path First (OSPF)および Enhanced Interior Gateway Routing Protocol (EIGRP)サポートされます。
  • ルータ BGP <as_no> [確認プロンプトと]コマンドはすべてのコンテキストの BGP設定を取除きません。
  • route-maps のような制御データベースを、access-list、プレフィクスリスト、コミュニティーリスト ルーティングすれば、AS-PATH アクセス リストはコンテキストごとに仮想化され、提供されます。
  • 新しいコマンドは、解決される非対称多重処理システム表 ルーティング アドレス <addr> を導入されます NP フォワーディングテーブルの回帰的に解決された BGPルートを表示するために示したものです
  • 新しいコマンドはマルチモード ディスプレイ システム コンテキスト BGP設定で、bgp システム構成を、導入されます示したものです
  • IPv6 の BGP はまだ ASA でサポートされません。
  • BGP はクラスタ処理でサポートされません。

BGP およびメモリ使用量

show route summary コマンドは個々のルーティング プロトコルのメモリ使用量を得るために使用されます。

BGP およびフェールオーバー

  • BGP はアクティブ/スタンバイ で、アクティブで/アクティブな HA コンフィギュレーションでサポートされます。
  • アクティブユニットだけ同位からの BGP 接続を TCPポート 179 で聞き取ります。
  • スタンバイユニットは BGP ピアリングに加わらないし、TCPポート 179 でそれ故に受信しないし、BGPテーブルを維持しません。
  • BGPルート 付加および削除はアクティブからスタンバイユニットへの複製されます。
  • フェールオーバーに、新しいアクティブユニットは TCPポート 179 で受信し、同位での BGP 隣接関係 確立を始めます。
  • Nonstop Forwarding (NSF)なしで、隣接関係 確立は BGPルートがピアから学習されないフェールオーバーの後でピアでの時間を再度かけます。 これは ASA がピア端に古い接続の終了の原因となり、続いて次の新しい接続が確立される、復元(RST)と応答するピアからの次の BGP キープアライブ(デフォルト 60 秒)に依存します。
  • BGP 再収束期間の間に、新しいアクティブユニットは以前に複製されたルーティングとのトラフィックを転送し続けます。
  • BGP 再収束タイマー の 期間は 210 秒に現在(show route failover コマンドはタイマー値を表示します) BGP のための十分な時間を与えるために同位での隣接関係および交換 ルートを確立する設定 されます。
  • BGP 再収束タイマーが切れた後、すべての古い BGPルートは Routing Information Base (RIB)から削除されます。
  • BGPルータID はアクティブユニットからスタンバイユニットへの同期されます。 BGPルータID 計算はスタンバイユニットでディセーブルにされます。
  • write standby コマンドはスタンバイのダイナミックルートの損失の原因となるバルク同期化がそのケースで起こらないので決して推奨はできません。

再帰ルート解決

  • BGPルートのための出力 インターフェイス 情報は CP (BGP 隣接が他のルーティング プロトコルとは違って複数のホップであるかもしれませんという)で利用できませんファクトの直接結果。
  • ネクスト ホップ 情報の BGPルートは NP 入力 ルーティング テーブルに追加されますが、まだ解決されていません。
  • フローの最初のパケットが遅いパスで BGPルート プレフィクスと一致する ASA を入力するとき、ルートは解決され、回帰的に NP 入力 ルーティング テーブルを検知 することによって判別される出力 インターフェイスです。
  • ルーティング テーブルが(CP から)変更する時はいつでも、コンテキスト仕様ルーティング テーブル タイムスタンプは増分します。
  • BGPルートと一致するフローの次 の パケットが高速経路で ASA を入力するとき、ASA はコンテキスト仕様ルーティング テーブル タイムスタンプとルート エントリのタイムスタンプを比較します。 2 つのタイムスタンプが一致する場合、再帰ルート 解決プロセスは再度開始し、ルート エントリ タイムスタンプはルーティング テーブル タイムスタンプと同じであるためにアップデートされます。 提示非対称多重処理システム表 routing コマンドでタイムスタンプを確認できます。 提示非対称多重処理システム表 ルーティング アドレス <route> コマンドは特定ルート エントリおよび提示非対称多重処理システム表 routing コマンドのタイムスタンプがルーティング テーブル タイムスタンプを示すことを示します。
  • 送信先プレフィックスのための再帰ルート 解決プロセスは提示非対称多重処理システム表 ルーティング アドレス <addr> によって解決されるコマンドを入力するとき強制であるかもしれません。
  • 再帰ルート ルックアップの深度は 4 に現在 制限 されます。 4 つがドロップする原因とホストする「ルート(非ルート)」および廃棄されなかった後ルックアップを必要とするパケットはそこに回帰的なルックアップ失敗のための特別なドロップする原因ではないです。
  • 再帰ルート解決は BGPルート(スタティック・ルート)のためにだけサポートされます。

BGP 有限状態マシン オペレーション

BGPピアは複数の状態を通って隣接ネイバになり、ルーティング情報を交換する前に移行します。 状態のそれぞれでは、同位は次の状態に進む前にメッセージを、プロセス メッセージデータ 送信 し、受け取る必要があり、リソースを初期化します。 このプロセスは BGP 有限状態マシン (FSM)として知られています。 プロセスがいずれかの時点で失敗した場合、セッションは IDLE 状態に戻って同位遷移中断 され、プロセスを再度始めます。 セッションが中断 されるたびに、ピアからのすべてのルーティングは表からない取除かれます、ダウンタイムを引き起こす。

  1. IDLE - ASA は見るためにルーティング テーブルをかどうかネイバーに達するために存在 する ルート検索します。
  2. 接続応答- ASA はネイバーにルートを見つけ、三方 TCP ハンドシェイクを完了しました。
  3. アクティブ- ASA は確立のパラメータの協定を受け取りませんでした。
  4. 送信 される開いた-開いたメッセージは BGPセッションのためのパラメータと、送信 されます。
  5. 開いた-セッションを設定するパラメータの ASA によって受け取った協定を確認して下さい
  6. 確立される-ピアリングは確立され、ルーティングは始まります。

設定

eBGP の設定

異なる自律システムのルータ間の BGP 実行。 デフォルトで、eBGP (2 つので異なる自律システム(AS))のピアリング IP TTL は同位は直接接続されると仮定されることを意味する 1 に設定 されます。 この場合パケットが 1 つのルータを交差させるとき、TTL は 0 になり、それからパケットはそれを越えて廃棄されます。 2 つのネイバが直接(たとえば、ループバックインターフェイスとピアリングするか、またはピアリング)ネイバー x.x.x.x ebgp マルチホップ <TTL> コマンドを追加する必要接続されなければデバイスが複数のホップである時。 さもなければ、BGP 隣接性は確立されません。 さらに、eBGP ピアは知っているまたは iBGP の場合にはない、同位から(かどうか eBGP ピアか iBGP ピア)学びましたすべての最良 の ルートをアドバタイズしますか。

ネットワーク図

ASA-1 の設定

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.2 remote-as 200
  neighbor 203.0.113.2 activate
  network 192.168.10.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

ASA-2 の設定

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
  neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

iBGP の設定

iBGP では、相手が直接接続されなければならないこと制約事項がありません。 ただし、iBGP ピアは iBGP ピアから別の iBGP ピアに学習したプレフィクスをアドバタイズしません。 この制約事項は同じ AS 内のループを回避することをそこにあります。 ときルートが eBGP ピアに通過するこれを明白にするために、ローカル AS 数は AS-PATH のプレフィクスにそれがループであること、そしてパケットがドロップされることが次 AS-PATH を示す同じパケット背部を、私達わかっています受け取る場合、従って追加されます。 ただし、ルートが iBGP ピアにアドバタイズされるとき、ローカル AS 数は AS-PATH に同位が同じ AS にあるので、追加されません。

ネットワーク図

ASA-1 の設定

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.2 remote-as 100
  neighbor 203.0.113.2 activate
  network 192.168.10.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

ASA-2 の設定

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
  neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

eBGP と iBGP の違い

  • eBGP は 2 つの異なる AS の間で iBGP が同じ AS の間にある一方、ピアリングします。
  • eBGP ピアから学習されるルーティングは他の同位にアドバタイズされます(eBGP か iBGP)。 ただし、iBGP ピアから学習されるルーティングは他の iBGP 同位にアドバタイズされません。
  • デフォルトで、eBGP 同位は相手は直接接続されると仮定されることをと TTL = 意味する 1 設定 されます、iBGP の場合にはない。 eBGP のためのこの動作を変更するために、ネイバー x.x.x.x ebgp マルチホップ <TTL> コマンドを入力して下さい。 マルチホップは eBGP だけで使用される用語です。
  • iBGP が 200 である一方、eBGP ルーティングに 20 のアドミニストレーティブ ディスタンスがあります。
  • ネクスト ホップはルートが iBGP ピアにアドバタイズされるとき変更されません。 ただし、それは eBGP ピアにデフォルトでアドバタイズされるとき変更されます。

eBGP マルチホップ

1 ホップである別の ASA との BGP 隣接性の ASA。 隣接性に関しては近接デバイス間の接続があるために確かめる必要があります。 PING 接続を確認するため。 TCPポート 179 を中間許されますデバイスの両方向で確認して下さい。

ASA-1 の設定

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 198.51.100.1 remote-as 200
neighbor 198.51.100.1 ebgp-multihop 2
neighbor 198.51.100.1 activate
  network 192.168.10.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

ASA-2 の設定

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 ebgp-multihop 2
neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

BGP ルートフィルタリング

BGP を使うと送信され、受信されるルーティング更新を制御できます。 この例では、ルーティング更新は ASA-2 の後ろにあるネットワークプレフィクス 172.16.30.0/24 のためにブロックされます。 ルートフィルタリングの場合、標準 ACL しか使用なできます。

access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0
access-list bgp-in line 2 standard permit any4


router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
distribute-list bgp-in in
no auto-summary
no synchronization
exit-address-family
!

ルーティング テーブルを確認して下さい。

ASA-1(config)# show bgp cidr-only

BGP table version is 6, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 192.168.10.0/16 0.0.0.0 0 32768 i

Access Control List (ACL) hitcounts を確認して下さい。

ASA-1(config)# show access-list bgp-in
access-list bgp-in; 2 elements; name hash: 0x3f99de19
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0 (hitcnt=1) 0xb5abad25
access-list bgp-in line 2 standard permit any4 (hitcnt=4) 0x59d08160

同様に、「」送信 されるものがと distribute-list コマンドでフィルタリングするために ACL を使用できます。

複数のコンテキストの ASA BGP設定

BGP は複数のコンテキストでサポートされます。 複数のコンテキストの場合には最初にシステム コンテキストの BGPルータプロセスを定義する必要があります。 システム コンテキストでそれを定義しないで BGPプロセスを作成することを試みる場合このエラーを得ます。

ASA-1/admin(config)# router bgp 100
%BGP process cannot be created in non-system context
ERROR: Unable to create router process

First we Need to define it in system context.

ASA-1/admin(config)#changeto context system
ASA-1(config)# router bgp 100
ASA-1(config-router)#exit

Now create bgp process in admin context.

ASA-1(config)#changeto context admin
ASA-1/admin(config)# router bgp 100
ASA-1/admin(config-router)#

確認

eBGP 隣接性を確認して下さい

ポート 179 の TCP 接続を確認して下さい。

ASA-1(config)# show asp table socket

Protocol  Socket    State      Local Address                    Foreign Address
SSL       00001478  LISTEN     172.16.20.1:443                  0.0.0.0:*
TCP       000035e8  LISTEN     203.0.113.1:179                  0.0.0.0:*
TCP       00005cd8  ESTAB      203.0.113.1:44368                203.0.113.2:179
SSL       00006658  LISTEN     10.106.44.221:443                0.0.0.0:*

BGP 隣接を示して下さい。

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2,  context single_vf,  remote AS 200, external link >> eBGP
  BGP version 4, remote router ID 203.0.113.2
  BGP state = Established, up for 00:04:42
  Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds

  Neighbor sessions:
    1 active, is not multisession capable (disabled)
  Neighbor capabilities:
    Route refresh: advertised and received(new)
    Four-octets ASN Capability: advertised and received
    Address family IPv4 Unicast: advertised and received
    Multisession Capability:
  Message statistics:
    InQ depth is 0
    OutQ depth is 0

                   Sent       Rcvd
    Opens:         1          1
    Notifications: 0          0
    Updates:       2          2
    Keepalives:    5          5
    Route Refresh: 0          0
    Total:         8          8
  Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  Session: 203.0.113.2
  BGP table version 7, neighbor version 7/0
  Output queue size : 0
  Index 1
  1 update-group member
                           Sent       Rcvd
  Prefix activity:         ----       ----
    Prefixes Current:      3          3          (Consumes 240 bytes)
    Prefixes Total:        3          3
    Implicit Withdraw:     0          0
    Explicit Withdraw:     0          0
    Used as bestpath:      n/a        3
    Used as multipath:     n/a        0

                                Outbound    Inbound
  Local Policy Denied Prefixes: --------    -------
    Bestpath from this peer:     3          n/a
    Total:                       3          0
  Number of NLRIs in the update sent: max 3, min 0

  Address tracking is enabled, the RIB does have a route to 203.0.113.2
  Connections established 1; dropped 0
  Last reset never
  Transport(tcp) path-mtu-discovery is enabled
  Graceful-Restart is disabled

BGPルート

ASA-1 の設定

ASA-1(config)# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

B        10.10.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B        10.180.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B        172.16.30.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48

ASA-2 の設定

ASA-2# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

B 10.106.44.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 172.16.20.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 192.168.10.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32

ルーティングを specfic ASA については見るために、show route bgp <AS-No.> コマンドを入力して下さい。

ASA-1(config)# show route bgp ?

exec mode commands/options:
  100  Autonomous system number
  |    Output modifiers
  <cr>

仕様 eBGP ルート 詳細

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
  Known via "bgp 100", distance 20, metric 0
  Tag 200, type external
  Last update from 203.0.113.2 0:09:43 ago
  Routing Descriptor Blocks:
  * 203.0.113.2, from 203.0.113.2, 0:09:43 ago
      Route metric is 0, traffic share count is 1
      AS Hops 1-----------------------------------> ASA HOP is one
      Route tag 200
      MPLS label: no label string provided
ASA-1(config)# show bgp cidr-only

BGP table version is 7, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 10.10.10.0/24    203.0.113.2          0             0  200 i
*> 10.106.44.0/24   0.0.0.0              0         32768  i
*> 10.180.10.0/24   203.0.113.2          0             0  200 i
*> 172.16.20.0/24   0.0.0.0              0         32768  i
*> 172.16.30.0/24   203.0.113.2          0             0  200 i

BGP 概略

ASA-1(config)# show bgp summary
BGP router identifier 203.0.113.1, local AS number 100
BGP table version is 7, main routing table version 7
6 network entries using 1200 bytes of memory
6 path entries using 480 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2120 total bytes of memory
BGP activity 6/0 prefixes, 6/0 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
203.0.113.2     4          200 16      17             7    0    0 00:14:19  3

バージョン 9.2 では、新しいコマンドは、show route 要約、導入されました。

ASA-1(config)# show route summary

IP routing table maximum-paths is 3
Route Source    Networks    Subnets     Replicates  Overhead    Memory (bytes)
connected       0           8           0           704         2304
static          2           5           0           616         2016
ospf 1          0           0           0           0           0
  Intra-area: 0 Inter-area: 0 External-1: 0 External-2: 0
  NSSA External-1: 0 NSSA External-2: 0
bgp 100         0           3           0           264         864
  External: 3 Internal: 0 Local: 0
internal        7                                               3176
Total           9           16          0           1584        8360

iBGP 隣接性を確認して下さい

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2,  context single_vf,  remote AS 100, internal link >> iBGP
  BGP version 4, remote router ID 203.0.113.2
  BGP state = Established, up for 00:02:19
  Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
  Neighbor sessions:
    1 active, is not multisession capable (disabled)
  Neighbor capabilities:
    Route refresh: advertised and received(new)
    Four-octets ASN Capability: advertised and received
    Address family IPv4 Unicast: advertised and received
    Multisession Capability:
  Message statistics:
    InQ depth is 0
    OutQ depth is 0

                   Sent       Rcvd
    Opens:         1          1
    Notifications: 0          0
    Updates:       2          2
    Keepalives:    5          5
    Route Refresh: 0          0
    Total:         8          8
  Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  Session: 203.0.113.2
  BGP table version 7, neighbor version 7/0
  Output queue size : 0
  Index 1
  1 update-group member
                           Sent       Rcvd
  Prefix activity:         ----       ----
    Prefixes Current:      3          3          (Consumes 240 bytes)
    Prefixes Total:        3          3
    Implicit Withdraw:     0          0
    Explicit Withdraw:     0          0
    Used as bestpath:      n/a        3
    Used as multipath:     n/a        0

                                Outbound    Inbound
  Local Policy Denied Prefixes: --------    -------
    Bestpath from this peer:     3          n/a
    Total:                       3          0
  Number of NLRIs in the update sent: max 3, min 0

  Address tracking is enabled, the RIB does have a route to 203.0.113.2
  Connections established 1; dropped 0
  Last reset never
  Transport(tcp) path-mtu-discovery is enabled
  Graceful-Restart is disabled

特定の iBGPルート 詳細

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0, type internal
Last update from 203.0.113.2 0:07:05 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:07:05 ago
Route metric is 0, traffic share count is 1
AS Hops 0 -------------------->> ASA HOP is 0 as it's internal route
MPLS label: no label string provided

BGP パケットの TTL 値

デフォルトで、BGP 隣接は直接接続されなければなりません。 それは BGP パケットの TTL 値が 1 常にであるという理由によります(デフォルト)。 従って BGP 隣接が直接接続されなければ、何ホップがパス全体にあるか左右される BGP マルチホップ値を定義する必要があります。

直接接続されるの TTL 値例の例はここにあります:

ASA-1(config)#show cap bgp detail
 
  5: 06:30:19.789769 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
      203.0.113.1.44368 > 203.0.113.2.179: S [tcp sum ok] 3733850223:3733850223(0)
win 32768 <mss 1460,nop,nop,timestamp 15488246 0> (DF) [tos 0xc0]  [ttl 1] (id 62822)

  6: 06:30:19.792286 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 58
      203.0.113.22.179 > 203.0.113.1.44368: S [tcp sum ok] 1053711883:1053711883(0)
ack 3733850224 win 16384 <mss 1360> [tos 0xc0]  [ttl 1] (id 44962)

  7: 06:30:19.792302 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 54
      203.0.113.1.44368 > 203.0.113.22.179: . [tcp sum ok] 3733850224:3733850224(0)
ack 1053711884 win 32768 (DF) [tos 0xc0]  [ttl 1] (id 52918)

何ホップ ネイバーが IP ヘッダーの TTL 値を増加するためにであるか定義するために相手が直接 bgp マルチホップ コマンドを入力する必要それから接続されなければ。

TTL 値の例はマルチホップの場合にはここにあります(この場合 BGP 隣接は 1 ホップです):

ASA-1(config)#show cap bgp detail

5: 13:10:04.059963 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
      203.0.113.1.63136 > 198.51.100.1.179: S [tcp sum ok] 979449598:979449598(0)
win 32768 <mss 1460,nop,nop,timestamp 8799571 0> (DF) [tos 0xc0]  (ttl 2, id 62012)


   6: 13:10:04.060681 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 70 198.51.100.1.179 >
203.0.113.1.63136: S [tcp sum ok] 0:0(0) ack 979449599 win 32768 <mss 1460,nop,nop,
timestamp 6839704 8799571> (DF) [tos 0xac]  [ttl 1] (id 60372)


   7: 13:10:04.060696 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 66
      203.0.113.1.63136 >198.51.100.1.179: . [tcp sum ok] 979449599:979449599(0) ack 1
win 32768 <nop,nop,timestamp 8799571 6839704> (DF) [tos 0xc0]  (ttl 2, id 53699)

再帰ルート 解決プロセス 

ASA-1(config)# show asp table routing
route table timestamp: 66
in 255.255.255.255 255.255.255.255 identity
in 203.0.113.1 255.255.255.255 identity
in 203.47.198.254 255.255.255.255 via 12.13.14.4, outside
in 106.10.199.78 255.255.255.255 via 15.16.17.4, DMZ
in 192.168.0.1 255.255.255.255 identity
in 172.16.20.1 255.255.255.255 identity
in 10.106.44.190 255.255.255.255 identity
in 10.10.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 66)
in 172.16.30.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 64)
in 10.180.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 65)

in 203.0.113.0 255.255.255.0 outside
in 172.16.10.0 255.255.255.0 via 12.13.14.4, outside
in 192.168.10.0 255.255.255.0 via 12.13.14.20, outside
in 192.168.20.0 255.255.255.0 via 15.16.17.4, DMZ
in 172.16.20.0 255.255.255.0 inside
in 10.106.44.0 255.255.255.0 management
in 192.168.0.0 255.255.0.0 DMZ

ASA BGP およびグレースフル リスタート機能

ASA バージョン 9.2.1 の BGP 機能は BGP 開いたメッセージでネゴシエートされるグレースフル リスタート オプションをサポートしません。 ピアデバイスが BGP 開いたメッセージを送信 するとき、ASA はアップデートパケットを廃棄し、BGP 通知 メッセージを送信 します。 これらの syslog メッセージは ASA で見られます:

%ASA-3-418018: neighbor 192.168.1.10 Down BGP Notification sent
%ASA-3-418019: sent to neighbor 192.168.1.10/11 (invalid or corrupt AS path) 9 bytes
40020602 010 000 fc08
%ASA-3-418040: unsupported or mal-formatted message received from 192.168.1.10:

間違って何も As_path属性とありません。 これは ASA がバージョン 9.2.1 のグレースフル リスタート機能をサポートしないという理由によります。 これは Nexus デバイスによってそれらがグレースフル リスタート機能をデフォルトでネゴシエートすると同時に観察されました。 この問題を解決する回避策はピアデバイスのグレースフル リスタート機能をディセーブルにすることです。 ここに示されている例を参照して下さい。 Nexus 5000 で、これらのコマンドを入力して下さい:

inside-N5K(config)# router bgp 64520
inside-N5K(config-router)# no graceful-restar

トラブルシューティング

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

  • 確認する必要がある設定後デバイスに両方とも接続があります。 ICMP および TCPポート 179 接続を確認して下さい。
  • BGPピアが直接接続されない場合、設定してもらいます eBGP マルチホップを確認して下さい。
  • 接続が正しい場合、TCP ソケットは提示非対称多重処理システム表 ソケット コマンド 出力の確立状態にあります。
    ASA-1(config)# show asp table socket

    Protocol  Socket    State      Local Address                    Foreign Address
    SSL       00001478  LISTEN     172.16.20.1:443                  0.0.0.0:*
    TCP       000035e8  LISTEN     203.0.113.1:179                  0.0.0.0:*
    TCP       00005cd8  ESTAB      203.0.113.1:44368                203.0.113.2:179
    SSL       00006658  LISTEN     10.106.44.221:443                0.0.0.0:*
  • 三方ハンドシェイクの後で、同位交換 BGP 開いたメッセージは両方ともパラメータをネゴシエートし。

  • 両方のパラメータ交換 BGP更新 メッセージとの同位交換ルーティング情報後。

     

    %ASA-7-609001: Built local-host identity:203.0.113.1
    %ASA-7-609001: Built local-host outside:203.0.113.2
    %ASA-6-302013: Built outbound TCP connection 14 for outside:203.0.113.2/179
    (203.0.113.2/179) to identity:203.0.113.1/43790 (203.0.113.1/43790)
    %ASA-3-418018: neighbor 203.0.113.2 Up

隣接性が正常な TCP 三方ハンドシェイクの後でさえも形成されない場合、問題は BGP FSM とあります。 パケットキャプチャおよび syslog を ASA から集め、どの状態においての問題があるか確認して下さい。

デバッグ

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

隣接性およびルーティング更新 関連 問題を解決するために debug ip bgp コマンドを入力して下さい。

ASA-1(config)# debug ip bgp ?

exec mode commands/options:
A.B.C.D BGP neighbor address
events BGP events
in BGP Inbound information
ipv4 Address family
keepalives BGP keepalives
out BGP Outbound information
range BGP dynamic range
rib-filter Next hop route watch filter events
updates BGP updates
<cr>

隣接性関連 問題を解決するために debug ip bgp event コマンドを入力して下さい。

BGP: 203.0.113.2 active went from Idle to Active
BGP: 203.0.113.2 open active, local address 203.0.113.1

BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Adding topology IPv4 Unicast:base
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Send OPEN
BGP: 203.0.113.2 active went from Active to OpenSent
BGP: 203.0.113.2 active sending OPEN, version 4, my as: 100, holdtime 180 seconds,
ID cb007101

BGP: 203.0.113.2 active rcv message type 1, length (excl. header) 34
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Receive OPEN
BGP: 203.0.113.2 active rcv OPEN, version 4, holdtime 180 seconds
BGP: 203.0.113.2 active rcv OPEN w/ OPTION parameter len: 24
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 1, length 4
BGP: 203.0.113.2 active OPEN has MP_EXT CAP for afi/safi: 1/1
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 128, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(old) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 2, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(new) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 65, length 4
BGP: 203.0.113.2 active OPEN has 4-byte ASN CAP for: 200
BGP: 203.0.113.2 active rcvd OPEN w/ remote AS 200, 4-byte remote AS 200
BGP: 203.0.113.2 active went from OpenSent to OpenConfirm
BGP: 203.0.113.2 active went from OpenConfirm to Established

アップデート関連の問題をルーティングすることを解決するために debug ip BGP更新 コマンドを入力して下さい。

BGP: TX IPv4 Unicast Mem global 203.0.113.2 Changing state from DOWN to WAIT
(pending advertised bit allocation).
BGP: TX IPv4 Unicast Grp global 4 Created.
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (not in list).
BGP: TX IPv4 Unicast Wkr global 4 Ref Blocked (not in list).
BGP: TX IPv4 Unicast Rpl global 4 1 Created.
BGP: TX IPv4 Unicast Rpl global 4 1 Net bitfield index 0 allocated.
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Added to group (now has 1 members).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Staying in WAIT state
(current walker waiting for net prepend).
BGP: TX IPv4 Unicast Top global Start net prepend.
BGP: TX IPv4 Unicast Top global Inserting initial marker.
BGP: TX IPv4 Unicast Top global Done net prepend (0 attrs).
BGP: TX IPv4 Unicast Grp global 4 Starting refresh after prepend completion.
BGP: TX IPv4 Unicast Wkr global 4 Cur Start at marker 1.
BGP: TX IPv4 Unicast Grp global 4 Message limit changed from 100 to 1000 (used 0 + 0).
BGP: TX IPv4 Unicast Wkr global 4 Cur Unblocked
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Changing state from WAIT to ACTIVE
(ready).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 No refresh required.
BGP: TX IPv4 Unicast Top global Collection done on marker 1 after 0 net(s).
BGP(0): 203.0.113.2 rcvd UPDATE w/ attr: nexthop 203.0.113.2, origin i, metric 0,
merged path 200, AS_PATH

BGP(0): 203.0.113.2 rcvd 10.10.10.0/24
BGP(0): 203.0.113.2 rcvd 172.16.30.0/24
BGP(0): 203.0.113.2 rcvd 10.180.10.0/24
-----------------> Routes rcvd from peer
BGP: TX IPv4 Unicast Net global 10.10.10.1/32 Changed.
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 Changed.
BGP(0): Revise route installing 1 of 1 routes for 10.10.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.10.10.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 172.16.30.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 10.180.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 RIB done.

BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Ready in READ-WRITE.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab All topologies are EOR ready.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 1.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.10.10.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.30.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.180.10.0/24 Skipped.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 4.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 4.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
0/3 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Checking EORs (0/1).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Send EOR.
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global First convergence done.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 3 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 Changed.
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 Changed.
BGP(0): nettable_walker 10.106.44.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 10.106.44.0/24
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 RIB done.
BGP(0): nettable_walker 172.16.20.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 172.16.20.0/24
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 RIB done.
BGP(0): nettable_walker 192.168.10.0/24 route sourced locally
---------> Routes
advertised

BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 192.168.10.0/24
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 10.106.44.0/24 Set advertised bit (total 1).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.106.44.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 172.16.20.0/24 Set advertised bit (total 2).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.20.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 192.168.10.0/24 Set advertised bit (total 4).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 192.168.10.0/24 Formatted.

BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 8.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 8.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Replicating.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
4/4 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Start minimum advertisement timer (30 secs).
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (minimum advertisement interval).
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 4.
BGP: TX IPv4 Unicast Top global Collection reached marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 4 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 0 net(s).
BGP: TX Member message pool under period (60 < 600).
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.

この機能を解決するためにこれらのコマンドを入力して下さい:

  • 非対称多重処理システム表 ソケットを示して下さい
  • BGP 隣接を示して下さい
  • bgp 概略を表示して下さい
  • show route bgp
  • CIDR だけ bgp を示して下さい
  • show route 概略

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118050