Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Ejemplo de configuración del protocolo Protocolo de la puerta de enlace marginal (BGP) ASA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe los pasos requeridos habilitar el Border Gateway Protocol (BGP) (eBGP/iBGP) que rutea, establecer un proceso de ruteo BGP, los parámetros generales de la configuración BGP, un filtrado de Routes en un dispositivo de seguridad adaptante (ASA), y los asuntos relacionados de la vecindad del Troubleshooting. Esta característica fue introducida en la versión de software 9.2.1 ASA.

Contribuido por Mohammad Alhyari, Magnus Mortensen, y Dinkar Sharma, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

Este documento se basa en el Firewall de las 5500-X Series de Cisco ASA que funciona con la versión de software 9.2.1 de Cisco ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Guías de consulta y limitaciones

  • Soportan a la familia del direccionamiento del IPv4 BGP en el modo simple y con varios modos de funcionamiento.
  • Con varios modos de funcionamiento es equivalente al VPNv4 del ® BGP del Cisco IOS familia del direccionamiento (del VPN Routing and Forwarding (VRF)). Por el router del contexto, el BGP es similar por a la familia del direccionamiento del IPv4 VRF en el Cisco IOS.
  • Solamente un número de Sistema autónomo (AS) se soporta para todos los contextos similares a uno global EN CUANTO a todas las familias del direccionamiento en el Cisco IOS.
  • MIENTRAS QUE el número se debe configurar con el uso del comando del <as_num> BGP del router que se puede utilizar para habilitar por la familia del direccionamiento del contexto.
  • El BGP tiene seis procesos que soporten todos los contextos, y los detalles están disponibles con el comando show process. Estos procesos son tarea BGP, evento del planificador de trabajos BGP, del escáner BGP, del router BGP, entrada-salida BGP, y BGP.
    ASA-1(config)# show proc | in BGP
    Mwe 0x00000000010120d0 0x00007ffecc8ca5c8 0x0000000006136380
    0 0x00007ffecc8c27c0 29432/32768 BGP Task
    Mwe 0x0000000000fb3acd 0x00007ffecba47b48 0x0000000006136380
    11 0x00007ffecba3fd00 31888/32768 BGP Scheduler
    Lwe 0x0000000000fd3e40 0x00007ffecd3373e8 0x0000000006136380
    26 0x00007ffecd32f5f0 30024/32768 BGP Scanner
    Mwe 0x0000000000fd70b9 0x00007ffecd378cd8 0x0000000006136380
    10 0x00007ffecd370eb0 28248/32768 BGP Router
    Mwe 0x0000000000fc9f84 0x00007ffecd32f3e8 0x0000000006136380
    2 0x00007ffecd3275a0 30328/32768 BGP I/O
    Mwe 0x000000000100c125 0x00007ffecd33f458 0x0000000006136380
    0 0x00007ffecd337640 32032/32768 BGP Event
  • El contexto del sistema tiene configuraciones globales comunes a todos los contextos similares al Cisco IOS que tiene configuraciones globales para todas las familias del direccionamiento.
  • Las configuraciones que tienen control sobre el cálculo del mejor trayecto, vecino de registración, detección máxima de la unidad de la transición de la trayectoria TCP (MTU), los temporizadores globales para el keepalive, tiempo en espera, y así sucesivamente están disponibles en el contexto del sistema bajo modo de comando router bgp.
  • El soporte del comando de la política de BGP está bajo modo de la familia del direccionamiento por el contexto del usuario.
  • Soportan a todas las comunidades y atributos path estándar.
  • Soportan al agujero negro remotamente accionado (RTBH) usando la Configuración del router estática del null0.
  • La información del Next-Hop se ha agregado a la tabla de ruteo sí mismo de la entrada en el procesador de red (NP). Esto estaba previamente disponible solamente en la tabla de ruteo de la salida. Este cambio fue completado para soportar la adición de rutas BGP en las tablas de reenvío NP (puesto que las rutas BGP no tienen una interfaz de egreso identificada en el CP, allí no es ninguna manera de determinar con la cual haga salir la tabla de ruteo para poner al día la información del Next-Hop).
  • Se soportan las operaciones de búsqueda de la ruta recurrente.
  • La redistribución con otros protocolos tales como conectado, los parásitos atmosféricos, Routing Information Protocol (RIP), Open Shortest Path First (OSPF), y Enhanced Interior Gateway Routing Protocol (EIGRP) se soporta.
  • El ningún comando del [with confirmation prompt] del <as_no> BGP del router quita las configuraciones BGP en todos los contextos.
  • Rutee las bases de datos del control tales como ruta-correspondencias, lista de acceso, las listas de prefijos, las listas de comunidad, y las Listas de acceso de la como-trayectoria se virtualizan y se proporcionan por el contexto.
  • Presentan a un comando new, <addr> del direccionamiento de la encaminamiento de la tabla de la demostración ASP resuelto, para visualizar las rutas BGP recurrentemente resueltas en la tabla de reenvío NP.
  • Presentan a un comando new, los sistema-config BGP de la demostración, en para las configuraciones BGP con varios modos de funcionamiento del contexto del exhibir sistema.
  • El BGP con el IPv6 todavía no se soporta en el ASA.
  • El BGP no se soporta en el clúster.

BGP y uso de la memoria

Utilizan al comando summary de la ruta de la demostración para conseguir el uso de la memoria de los Routing Protocol individuales.

BGP y Conmutación por falla

  • El BGP se soporta en el Active/las configuraciones espera y activas/activas HA.
  • Solamente la unidad activa escucha en el puerto TCP 179 las conexiones BGP de los pares.
  • La unidad en espera no participa en el peering BGP, y por lo tanto no escucha en el puerto TCP 179 y no mantiene las tablas BGP.
  • Las adiciones y las cancelacínes de la ruta BGP se replican del Active a la unidad en espera.
  • Sobre la Conmutación por falla, la nueva unidad activa escucha en el puerto TCP 179 e inicia el establecimiento de la adyacencia BGP con los pares.
  • Sin la expedición directa (NSF), el establecimiento de la adyacencia toma tiempo con el par otra vez después de la Conmutación por falla, dentro de la cual las rutas BGP no son doctas del par. Esto depende del keepalive siguiente BGP (valor por defecto 60 segundos) del par para quien el ASA responde con el restore (RST), que lleva a una vieja finalización de la conexión en el extremo del par y una nueva conexión siguiente se establece posteriormente.
  • Durante el período del reconvergence BGP, la nueva unidad activa continúa remitiendo el tráfico con las rutas previamente replicadas.
  • El periodo del temporizador del reconvergence BGP se fija actualmente a 210 segundos (el comando failover de la ruta de la demostración muestra el valor del temporizador) para dar el tiempo suficiente para que el BGP establezca las adyacencias e intercambie las rutas por sus pares.
  • Después de que expire el temporizador del reconvergence BGP, todas las rutas BGP añejas se purgan del Routing Information Base (RIB).
  • La identificación del router BGP se sincroniza de la unidad activa a la unidad en espera. El cómputo identificación del router BGP se inhabilita en la unidad en espera.
  • Desalientan al comando write standby fuertemente puesto que el bulto sincroniza no sucede en ese caso, que lleva a la pérdida de rutas dinámico en el recurso seguro.

Resolución de la ruta recurrente

  • La información de la interfaz de egreso para las rutas BGP no está disponible en el CP (una consecuencia directa del hecho de que los vecinos BGP pudieran ser saltos múltiples lejos a diferencia de otros Routing Protocol).
  • Las rutas BGP con la información del salto siguiente se agregan a la tabla de ruteo de la entrada NP, pero no se resuelven todavía.
  • Cuando el primer paquete de un flujo que corresponda con un prefijo de la ruta BGP ingresa el ASA en la trayectoria lenta, la ruta es resolved y la interfaz de egreso determinada recurrentemente mirando para arriba la tabla de ruteo de la entrada de información NP.
  • Siempre que se incrementen los cambios de la tabla de ruteo (del CP), un grupo fecha/hora contexto-específico de la tabla de ruteo.
  • Cuando el próximo paquete de un flujo que corresponda con una ruta BGP ingresa el ASA en el trayecto rápido, el ASA compara el grupo fecha/hora de la entrada de la ruta con el grupo fecha/hora contexto-específico de la tabla de ruteo. Si los dos grupos fecha/hora no hacen juego, el proceso de resolución de la ruta recurrente se inicia otra vez y el grupo fecha/hora de la entrada de la ruta se pone al día para ser lo mismo que el grupo fecha/hora de la tabla de ruteo. Usted puede verificar los grupos fecha/hora con el comando routing de la tabla de la demostración ASP. El comando del <route> del direccionamiento de la encaminamiento de la tabla de la demostración ASP muestra que el sello de fecha/hora de una entrada de la ruta determinado y del comando routing de la tabla de la demostración ASP muestra el sello de fecha/hora de la tabla de ruteo.
  • El proceso de resolución de la ruta recurrente para un prefijo de destino pudo ser forzado cuando usted ingresa el comando resuelto <addr> del direccionamiento de la encaminamiento de la tabla de la demostración ASP.
  • La profundidad de las operaciones de búsqueda de la ruta recurrente se restringe actualmente a cuatro. Los paquetes que requieren las operaciones de búsqueda después de que cuatro se caigan con la razón del descenso “ninguna ruta para recibir (ninguno-ruta)” y allí no son ninguna razón especial del descenso del error en la búsqueda recurrente.
  • La resolución de la ruta recurrente se soporta solamente para las rutas BGP (no Static rutas).

Operación de máquina de estados finitos BGP

Transición de los peeres BGP a través de varios estados antes de que sientan bien a los vecinos adyacentes e intercambien la información de ruteo. En cada uno de los estados, los pares deben enviar y recibir los mensajes, procesar los datos del mensaje, e inicializar los recursos antes de que procedan al estado siguiente. Este proceso se conoce como el BGP máquina de estados finitos (FSM). Si el proceso falla en cualquier momento, la sesión se derriba y la transición de los pares de nuevo a un estado inactivo y comienza el proceso otra vez. Cada vez que se derriba una sesión, todas las rutas del par encima de quien no está se quitan de las tablas, que causa el tiempo muerto.

  1. MARCHA LENTA - el ASA busca la tabla de ruteo para ver si una ruta existe para alcanzar al vecino.
  2. CONECTE - el ASA encontró una ruta al vecino y ha completado la aceptación decontacto con TCP de tres vías.
  3. ACTIVO - el ASA no recibió el acuerdo en los parámetros del establecimiento.
  4. ABIERTO ENVIADO - el mensaje abierto se envía, con los parámetros para la sesión de BGP.
  5. ABIERTO CONFIRME - el acuerdo recibido ASA en los parámetros de establecer una sesión.
  6. ESTABLECIDO - se establece el peering y la encaminamiento comienza.

Configurar

configuración de eBGP

Funcionamientos BGP entre el Routers en los sistemas autónomos diferentes. Por abandono, en el eBGP (peering en dos sistemas autónomos diferentes (AS)) El IP TTL se fija a 1 que signifique que asumen a los pares para ser conectados directamente. En este caso, cuando un paquete cruza a un router, TTL se convierte en 0 y entonces el paquete se cae más allá de ése. En caso de que no le conecten los dos vecinos directamente (por ejemplo, la mirada con el loopback interconecta o la mirada cuando los dispositivos son saltos múltiples lejos) necesidad de agregar el comando del ebgp-multihop <TTL> del vecino x.x.x.x. Si no, la vecindad BGP no será establecida. Además, un par del eBGP hace publicidad de todas las mejores rutas que sabe o ha aprendido de sus pares (si par del eBGP o par del iBGP), que no está en el caso de iBGP.

Diagrama de la red

Configuración ASA-1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.2 remote-as 200
  neighbor 203.0.113.2 activate
  network 192.168.10.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Configuración ASA-2

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
  neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

configuración de iBGP

En el iBGP, no hay restricción que los vecinos tienen que ser conectados directamente. Sin embargo, un par del iBGP no hará publicidad del prefijo que aprendió de un par del iBGP a otro par del iBGP. Esta restricción es allí evitar los loopes dentro lo mismo QUE. Para aclarar esto, cuando una ruta se pasa a un par del eBGP, el local COMO el número consigue agregado al prefijo en la como-trayectoria, así que si recibimos la misma parte posterior del paquete que estado nuestro COMO en la como-trayectoria, sabemos que es un loop, y que el paquete consigue caído. Sin embargo, cuando una ruta se hace publicidad a un par del iBGP, el local COMO el número no se agrega a la como-trayectoria, puesto que los pares están en lo mismo QUE.

Diagrama de la red

Configuración ASA-1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.2 remote-as 100
  neighbor 203.0.113.2 activate
  network 192.168.10.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Configuración ASA-2

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
  neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Diferencias entre el eBGP y el iBGP

  • el eBGP mira entre dos diversos AS, mientras que el iBGP está entre lo mismo QUE.
  • Las rutas aprendidas del par del eBGP se hacen publicidad a otros pares (eBGP o iBGP). Sin embargo, las rutas aprendidas de un par del iBGP no se hacen publicidad a otros pares del iBGP.
  • Por abandono, fijan a los pares del eBGP con el TTL=1, que significa que asumen a los vecinos para ser conectados directamente que no está en el caso de iBGP. Para cambiar este comportamiento para el eBGP, ingrese el comando del ebgp-multihop <TTL> del vecino x.x.x.x. El Multihop es el término usado en el eBGP solamente.
  • las rutas del eBGP tienen una distancia administrativa de 20, mientras que el iBGP es 200.
  • Sigue habiendo el salto siguiente sin cambiar cuando la ruta se hace publicidad a un par del iBGP. Sin embargo, se cambia cuando se hace publicidad a un par del eBGP por abandono.

ebgp-multihop

Un ASA con la vecindad BGP con otro ASA que es un salto lejos. Para la vecindad usted necesita aseegurarse le tener Conectividad entre los vecinos. Ping para confirmar la Conectividad. Asegúrese que el puerto TCP 179 esté admitido en las ambas direcciones en los dispositivos mientras tanto.

Configuración ASA-1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 198.51.100.1 remote-as 200
neighbor 198.51.100.1 ebgp-multihop 2
neighbor 198.51.100.1 activate
  network 192.168.10.0 mask 255.255.255.0
  network 10.106.44.0 mask 255.255.255.0
  network 172.16.20.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Configuración ASA-2

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
  neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 ebgp-multihop 2
neighbor 203.0.113.1 activate
  network 10.10.10.0 mask 255.255.255.0
  network 10.180.10.0 mask 255.255.255.0
  network 172.16.30.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!

Filtrado de Routes BGP

Con el BGP usted puede controlar una actualización de ruteo se envíe y se reciba que. En este ejemplo, una actualización de ruteo se bloquea para el Prefijo de red 172.16.30.0/24 que está detrás de ASA-2. Para el filtrado de Routes, usted puede utilizar solamente el ACL ESTÁNDAR.

access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0
access-list bgp-in line 2 standard permit any4


router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
distribute-list bgp-in in
no auto-summary
no synchronization
exit-address-family
!

Verifique la tabla de ruteo.

ASA-1(config)# show bgp cidr-only

BGP table version is 6, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 192.168.10.0/16 0.0.0.0 0 32768 i

Verifique los hitcounts de la lista de control de acceso (ACL).

ASA-1(config)# show access-list bgp-in
access-list bgp-in; 2 elements; name hash: 0x3f99de19
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0 (hitcnt=1) 0xb5abad25
access-list bgp-in line 2 standard permit any4 (hitcnt=4) 0x59d08160

Semejantemente, usted puede utilizar un ACL para filtrar con qué se envía “hacia fuera” en el comando distribute-list.

Configuración BGP ASA en el Multi-contexto

El BGP se soporta en el multi-contexto. En el caso del multi-contexto usted primero necesita definir el proceso del router BGP en el contexto del sistema. Si usted intenta crear un proceso BGP sin la definición de él en el contexto del sistema, usted consigue este error.

ASA-1/admin(config)# router bgp 100
%BGP process cannot be created in non-system context
ERROR: Unable to create router process

First we Need to define it in system context.

ASA-1/admin(config)#changeto context system
ASA-1(config)# router bgp 100
ASA-1(config-router)#exit

Now create bgp process in admin context.

ASA-1(config)#changeto context admin
ASA-1/admin(config)# router bgp 100
ASA-1/admin(config-router)#

Verificación

Verifique la vecindad del eBGP

Verifique la conexión TCP en el puerto 179.

ASA-1(config)# show asp table socket

Protocol  Socket    State      Local Address                    Foreign Address
SSL       00001478  LISTEN     172.16.20.1:443                  0.0.0.0:*
TCP       000035e8  LISTEN     203.0.113.1:179                  0.0.0.0:*
TCP       00005cd8  ESTAB      203.0.113.1:44368                203.0.113.2:179
SSL       00006658  LISTEN     10.106.44.221:443                0.0.0.0:*

Muestre a los vecinos BGP.

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2,  context single_vf,  remote AS 200, external link >> eBGP
  BGP version 4, remote router ID 203.0.113.2
  BGP state = Established, up for 00:04:42
  Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds

  Neighbor sessions:
    1 active, is not multisession capable (disabled)
  Neighbor capabilities:
    Route refresh: advertised and received(new)
    Four-octets ASN Capability: advertised and received
    Address family IPv4 Unicast: advertised and received
    Multisession Capability:
  Message statistics:
    InQ depth is 0
    OutQ depth is 0

                   Sent       Rcvd
    Opens:         1          1
    Notifications: 0          0
    Updates:       2          2
    Keepalives:    5          5
    Route Refresh: 0          0
    Total:         8          8
  Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  Session: 203.0.113.2
  BGP table version 7, neighbor version 7/0
  Output queue size : 0
  Index 1
  1 update-group member
                           Sent       Rcvd
  Prefix activity:         ----       ----
    Prefixes Current:      3          3          (Consumes 240 bytes)
    Prefixes Total:        3          3
    Implicit Withdraw:     0          0
    Explicit Withdraw:     0          0
    Used as bestpath:      n/a        3
    Used as multipath:     n/a        0

                                Outbound    Inbound
  Local Policy Denied Prefixes: --------    -------
    Bestpath from this peer:     3          n/a
    Total:                       3          0
  Number of NLRIs in the update sent: max 3, min 0

  Address tracking is enabled, the RIB does have a route to 203.0.113.2
  Connections established 1; dropped 0
  Last reset never
  Transport(tcp) path-mtu-discovery is enabled
  Graceful-Restart is disabled

Rutas BGP

Configuración ASA-1

ASA-1(config)# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

B        10.10.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B        10.180.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B        172.16.30.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48

Configuración ASA-2

ASA-2# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

B 10.106.44.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 172.16.20.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 192.168.10.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32

Para ver las rutas para un ASA specfic, ingrese el comando BGP <AS-No.> de la ruta de la demostración.

ASA-1(config)# show route bgp ?

exec mode commands/options:
  100  Autonomous system number
  |    Output modifiers
  <cr>

Detalle específico de la ruta del eBGP

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
  Known via "bgp 100", distance 20, metric 0
  Tag 200, type external
  Last update from 203.0.113.2 0:09:43 ago
  Routing Descriptor Blocks:
  * 203.0.113.2, from 203.0.113.2, 0:09:43 ago
      Route metric is 0, traffic share count is 1
      AS Hops 1-----------------------------------> ASA HOP is one
      Route tag 200
      MPLS label: no label string provided
ASA-1(config)# show bgp cidr-only

BGP table version is 7, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 10.10.10.0/24    203.0.113.2          0             0  200 i
*> 10.106.44.0/24   0.0.0.0              0         32768  i
*> 10.180.10.0/24   203.0.113.2          0             0  200 i
*> 172.16.20.0/24   0.0.0.0              0         32768  i
*> 172.16.30.0/24   203.0.113.2          0             0  200 i

Resumen BGP

ASA-1(config)# show bgp summary
BGP router identifier 203.0.113.1, local AS number 100
BGP table version is 7, main routing table version 7
6 network entries using 1200 bytes of memory
6 path entries using 480 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2120 total bytes of memory
BGP activity 6/0 prefixes, 6/0 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
203.0.113.2     4          200 16      17             7    0    0 00:14:19  3

En la versión 9.2, se ha introducido un comando new, muestra el resumen de la ruta.

ASA-1(config)# show route summary

IP routing table maximum-paths is 3
Route Source    Networks    Subnets     Replicates  Overhead    Memory (bytes)
connected       0           8           0           704         2304
static          2           5           0           616         2016
ospf 1          0           0           0           0           0
  Intra-area: 0 Inter-area: 0 External-1: 0 External-2: 0
  NSSA External-1: 0 NSSA External-2: 0
bgp 100         0           3           0           264         864
  External: 3 Internal: 0 Local: 0
internal        7                                               3176
Total           9           16          0           1584        8360

Verifique la vecindad del iBGP

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2,  context single_vf,  remote AS 100, internal link >> iBGP
  BGP version 4, remote router ID 203.0.113.2
  BGP state = Established, up for 00:02:19
  Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
  Neighbor sessions:
    1 active, is not multisession capable (disabled)
  Neighbor capabilities:
    Route refresh: advertised and received(new)
    Four-octets ASN Capability: advertised and received
    Address family IPv4 Unicast: advertised and received
    Multisession Capability:
  Message statistics:
    InQ depth is 0
    OutQ depth is 0

                   Sent       Rcvd
    Opens:         1          1
    Notifications: 0          0
    Updates:       2          2
    Keepalives:    5          5
    Route Refresh: 0          0
    Total:         8          8
  Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  Session: 203.0.113.2
  BGP table version 7, neighbor version 7/0
  Output queue size : 0
  Index 1
  1 update-group member
                           Sent       Rcvd
  Prefix activity:         ----       ----
    Prefixes Current:      3          3          (Consumes 240 bytes)
    Prefixes Total:        3          3
    Implicit Withdraw:     0          0
    Explicit Withdraw:     0          0
    Used as bestpath:      n/a        3
    Used as multipath:     n/a        0

                                Outbound    Inbound
  Local Policy Denied Prefixes: --------    -------
    Bestpath from this peer:     3          n/a
    Total:                       3          0
  Number of NLRIs in the update sent: max 3, min 0

  Address tracking is enabled, the RIB does have a route to 203.0.113.2
  Connections established 1; dropped 0
  Last reset never
  Transport(tcp) path-mtu-discovery is enabled
  Graceful-Restart is disabled

Detalle específico del IBGP Route

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0, type internal
Last update from 203.0.113.2 0:07:05 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:07:05 ago
Route metric is 0, traffic share count is 1
AS Hops 0 -------------------->> ASA HOP is 0 as it's internal route
MPLS label: no label string provided

Valor de TTL para los paquetes BGP

Por abandono, los vecinos BGP tienen que ser conectados directamente. Eso es porque el valor de TTL para los paquetes BGP es siempre 1 (valor por defecto). Tan en caso de que un vecino BGP no esté conectado directamente, usted necesita definir un valor del multi-salto BGP que dependa de cuántos saltos están adentro en la trayectoria.

Aquí está un ejemplo de un caso del valor de TTL de conectado directamente:

ASA-1(config)#show cap bgp detail
 
  5: 06:30:19.789769 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
      203.0.113.1.44368 > 203.0.113.2.179: S [tcp sum ok] 3733850223:3733850223(0)
win 32768 <mss 1460,nop,nop,timestamp 15488246 0> (DF) [tos 0xc0]  [ttl 1] (id 62822)

  6: 06:30:19.792286 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 58
      203.0.113.22.179 > 203.0.113.1.44368: S [tcp sum ok] 1053711883:1053711883(0)
ack 3733850224 win 16384 <mss 1360> [tos 0xc0]  [ttl 1] (id 44962)

  7: 06:30:19.792302 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 54
      203.0.113.1.44368 > 203.0.113.22.179: . [tcp sum ok] 3733850224:3733850224(0)
ack 1053711884 win 32768 (DF) [tos 0xc0]  [ttl 1] (id 52918)

Si entonces no le conectan los vecinos directamente necesidad de ingresar el comando multihop BGP para definir cuántos SALTOS es un vecino aumentar el valor TTL en el encabezado IP.

Aquí está un ejemplo de un valor de TTL en caso de multi-salto (en este caso el vecino BGP es 1 SALTO lejos):

ASA-1(config)#show cap bgp detail

5: 13:10:04.059963 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
      203.0.113.1.63136 > 198.51.100.1.179: S [tcp sum ok] 979449598:979449598(0)
win 32768 <mss 1460,nop,nop,timestamp 8799571 0> (DF) [tos 0xc0]  (ttl 2, id 62012)


   6: 13:10:04.060681 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 70 198.51.100.1.179 >
203.0.113.1.63136: S [tcp sum ok] 0:0(0) ack 979449599 win 32768 <mss 1460,nop,nop,
timestamp 6839704 8799571> (DF) [tos 0xac]  [ttl 1] (id 60372)


   7: 13:10:04.060696 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 66
      203.0.113.1.63136 >198.51.100.1.179: . [tcp sum ok] 979449599:979449599(0) ack 1
win 32768 <nop,nop,timestamp 8799571 6839704> (DF) [tos 0xc0]  (ttl 2, id 53699)

Proceso de resolución de la ruta recurrente 

ASA-1(config)# show asp table routing
route table timestamp: 66
in 255.255.255.255 255.255.255.255 identity
in 203.0.113.1 255.255.255.255 identity
in 203.47.198.254 255.255.255.255 via 12.13.14.4, outside
in 106.10.199.78 255.255.255.255 via 15.16.17.4, DMZ
in 192.168.0.1 255.255.255.255 identity
in 172.16.20.1 255.255.255.255 identity
in 10.106.44.190 255.255.255.255 identity
in 10.10.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 66)
in 172.16.30.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 64)
in 10.180.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 65)

in 203.0.113.0 255.255.255.0 outside
in 172.16.10.0 255.255.255.0 via 12.13.14.4, outside
in 192.168.10.0 255.255.255.0 via 12.13.14.20, outside
in 192.168.20.0 255.255.255.0 via 15.16.17.4, DMZ
in 172.16.20.0 255.255.255.0 inside
in 10.106.44.0 255.255.255.0 management
in 192.168.0.0 255.255.0.0 DMZ

ASA BGP y capacidad de graceful restart

La característica BGP en la Versión de ASA 9.2.1 no soporta la opción del graceful restart negociada en el mensaje ABIERTO BGP. Cuando un dispositivo de peer envía un BGP el mensaje ABIERTO, el ASA cae el paquete de actualización y envía un mensaje de notificación BGP. Estos mensajes de Syslog se consideran en el ASA:

%ASA-3-418018: neighbor 192.168.1.10 Down BGP Notification sent
%ASA-3-418019: sent to neighbor 192.168.1.10/11 (invalid or corrupt AS path) 9 bytes
40020602 010 000 fc08
%ASA-3-418040: unsupported or mal-formatted message received from 192.168.1.10:

No hay nada mal con el atributo AS_PATH. Esto es porque el ASA no soporta la capacidad de graceful restart en la versión 9.2.1. Esto se ha observado con los dispositivos del nexo mientras que negocian la capacidad de graceful restart por abandono. La solución alternativa para reparar este problema es inhabilitar la capacidad de graceful restart en el dispositivo de peer. Vea el ejemplo mostrado aquí. En el nexo 5000, ingrese estos comandos:

inside-N5K(config)# router bgp 64520
inside-N5K(config-router)# no graceful-restar

Troubleshooting

Los ciertos comandos show de los soportes de la herramienta del Output Interpreter (clientes registrados solamente). Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

  • Después de que configuración que usted necesita asegurar ambos dispositivos tienen Conectividad. Verifique el ICMP y la Conectividad del puerto TCP 179.
  • Si los peeres BGP no están conectados directamente, después asegúrese que usted haga el eBGP Multihop configurar.
  • Si la Conectividad está correcta, el socket TCP estará en el estado del ESTABLECIMIENTO en la salida del comando socket de la tabla de la demostración ASP.
    ASA-1(config)# show asp table socket

    Protocol  Socket    State      Local Address                    Foreign Address
    SSL       00001478  LISTEN     172.16.20.1:443                  0.0.0.0:*
    TCP       000035e8  LISTEN     203.0.113.1:179                  0.0.0.0:*
    TCP       00005cd8  ESTAB      203.0.113.1:44368                203.0.113.2:179
    SSL       00006658  LISTEN     10.106.44.221:443                0.0.0.0:*
  • Después de un apretón de manos de tres vías, ambos mensajes ABIERTOS del intercambio BGP de los pares y negocian los parámetros.

  • Después de que el intercambio del parámetro, ambos pares intercambie la información de ruteo por un mensaje de la ACTUALIZACIÓN DE BGP.

     

    %ASA-7-609001: Built local-host identity:203.0.113.1
    %ASA-7-609001: Built local-host outside:203.0.113.2
    %ASA-6-302013: Built outbound TCP connection 14 for outside:203.0.113.2/179
    (203.0.113.2/179) to identity:203.0.113.1/43790 (203.0.113.1/43790)
    %ASA-3-418018: neighbor 203.0.113.2 Up

Si la vecindad no se forma incluso después un apretón de manos de tres vías acertado TCP, después el problema está con BGP FS. Recoja una captura de paquetes y los Syslog del ASA y verifiquelos con el cual estado le tienen problemas.

Depurar

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Ingrese el comando debug ip bgp para resolver problemas los asuntos relacionados de la vecindad y de la actualización de ruteo.

ASA-1(config)# debug ip bgp ?

exec mode commands/options:
A.B.C.D BGP neighbor address
events BGP events
in BGP Inbound information
ipv4 Address family
keepalives BGP keepalives
out BGP Outbound information
range BGP dynamic range
rib-filter Next hop route watch filter events
updates BGP updates
<cr>

Ingrese el comando event BGP del IP del debug para resolver problemas los asuntos relacionados de la vecindad.

BGP: 203.0.113.2 active went from Idle to Active
BGP: 203.0.113.2 open active, local address 203.0.113.1

BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Adding topology IPv4 Unicast:base
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Send OPEN
BGP: 203.0.113.2 active went from Active to OpenSent
BGP: 203.0.113.2 active sending OPEN, version 4, my as: 100, holdtime 180 seconds,
ID cb007101

BGP: 203.0.113.2 active rcv message type 1, length (excl. header) 34
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Receive OPEN
BGP: 203.0.113.2 active rcv OPEN, version 4, holdtime 180 seconds
BGP: 203.0.113.2 active rcv OPEN w/ OPTION parameter len: 24
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 1, length 4
BGP: 203.0.113.2 active OPEN has MP_EXT CAP for afi/safi: 1/1
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 128, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(old) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 2, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(new) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 65, length 4
BGP: 203.0.113.2 active OPEN has 4-byte ASN CAP for: 200
BGP: 203.0.113.2 active rcvd OPEN w/ remote AS 200, 4-byte remote AS 200
BGP: 203.0.113.2 active went from OpenSent to OpenConfirm
BGP: 203.0.113.2 active went from OpenConfirm to Established

Ingrese el comando debug ip bgp update para resolver problemas rutear los problemas actualización-relacionados.

BGP: TX IPv4 Unicast Mem global 203.0.113.2 Changing state from DOWN to WAIT
(pending advertised bit allocation).
BGP: TX IPv4 Unicast Grp global 4 Created.
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (not in list).
BGP: TX IPv4 Unicast Wkr global 4 Ref Blocked (not in list).
BGP: TX IPv4 Unicast Rpl global 4 1 Created.
BGP: TX IPv4 Unicast Rpl global 4 1 Net bitfield index 0 allocated.
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Added to group (now has 1 members).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Staying in WAIT state
(current walker waiting for net prepend).
BGP: TX IPv4 Unicast Top global Start net prepend.
BGP: TX IPv4 Unicast Top global Inserting initial marker.
BGP: TX IPv4 Unicast Top global Done net prepend (0 attrs).
BGP: TX IPv4 Unicast Grp global 4 Starting refresh after prepend completion.
BGP: TX IPv4 Unicast Wkr global 4 Cur Start at marker 1.
BGP: TX IPv4 Unicast Grp global 4 Message limit changed from 100 to 1000 (used 0 + 0).
BGP: TX IPv4 Unicast Wkr global 4 Cur Unblocked
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Changing state from WAIT to ACTIVE
(ready).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 No refresh required.
BGP: TX IPv4 Unicast Top global Collection done on marker 1 after 0 net(s).
BGP(0): 203.0.113.2 rcvd UPDATE w/ attr: nexthop 203.0.113.2, origin i, metric 0,
merged path 200, AS_PATH

BGP(0): 203.0.113.2 rcvd 10.10.10.0/24
BGP(0): 203.0.113.2 rcvd 172.16.30.0/24
BGP(0): 203.0.113.2 rcvd 10.180.10.0/24
-----------------> Routes rcvd from peer
BGP: TX IPv4 Unicast Net global 10.10.10.1/32 Changed.
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 Changed.
BGP(0): Revise route installing 1 of 1 routes for 10.10.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.10.10.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 172.16.30.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 10.180.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 RIB done.

BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Ready in READ-WRITE.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab All topologies are EOR ready.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 1.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.10.10.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.30.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.180.10.0/24 Skipped.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 4.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 4.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
0/3 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Checking EORs (0/1).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Send EOR.
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global First convergence done.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 3 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 Changed.
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 Changed.
BGP(0): nettable_walker 10.106.44.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 10.106.44.0/24
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 RIB done.
BGP(0): nettable_walker 172.16.20.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 172.16.20.0/24
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 RIB done.
BGP(0): nettable_walker 192.168.10.0/24 route sourced locally
---------> Routes
advertised

BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 192.168.10.0/24
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 10.106.44.0/24 Set advertised bit (total 1).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.106.44.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 172.16.20.0/24 Set advertised bit (total 2).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.20.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 192.168.10.0/24 Set advertised bit (total 4).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 192.168.10.0/24 Formatted.

BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 8.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 8.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Replicating.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
4/4 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Start minimum advertisement timer (30 secs).
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (minimum advertisement interval).
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 4.
BGP: TX IPv4 Unicast Top global Collection reached marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 4 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 0 net(s).
BGP: TX Member message pool under period (60 < 600).
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.

Ingrese estos comandos para resolver problemas esta característica:

  • muestre el socket de la tabla ASP
  • muestre al vecino BGP
  • muestre el resumen BGP
  • muestre el BGP de la ruta
  • muestre BGP CIDR-solamente
  • muestre el resumen de la ruta


Document ID: 118050