Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации Border Gateway Protocol ASA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает шаги, требуемые включить Протокол BGP (eBGP/iBGP) маршрутизация, установить процесс маршрутизации BGP, настроить общие параметры BGP, фильтрацию маршрута на Устройстве адаптивной защиты (ASA) и связанные проблемы соседства устранения неполадок. Эта функция была представлена в Версии программного обеспечения 9.2.1 ASA.

Внесенный Мохаммадом Альйяри, Магнусом Мортенсеном, и Динкэром Шармой, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Используемые компоненты

Этот документ основывается на Межсетевом экране Cisco ASA 5500-X Series, который выполняет Версию программного обеспечения 9.2.1 Cisco ASA.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Рекомендации и ограничения

  • Семейство IPv4 address BGP поддерживается и в одном режиме и в многорежимный.
  • Многорежимный эквивалентно Cisco IOS® BGP VPNv4 (VPN Routing и Forwarding (VRF) семейство адресов). На маршрутизатор контекста BGP подобен на семейство IPv4 address VRF в Cisco IOS.
  • Только один Номер автономной системы (AS) поддерживается для всех контекстов, подобных одному глобальному Что касается всех семейств адресов в Cisco IOS.
  • Количество AS должно быть настроено с использованием команды <as_num> протокола "BGP" маршрутизатора, которая может использоваться для включения на семейство адресов контекста.
  • BGP имеет шесть процессов, которые поддерживают все контексты, и подробные данные доступны с командой show process. Этими процессами является Задача BGP, Планировщик BGP, Сканер bgp, Маршрутизатор под управлением BGP, ввод-вывод BGP и Событие BGP.
    ASA-1(config)# show proc | in BGP
    Mwe 0x00000000010120d0 0x00007ffecc8ca5c8 0x0000000006136380
    0 0x00007ffecc8c27c0 29432/32768 BGP Task
    Mwe 0x0000000000fb3acd 0x00007ffecba47b48 0x0000000006136380
    11 0x00007ffecba3fd00 31888/32768 BGP Scheduler
    Lwe 0x0000000000fd3e40 0x00007ffecd3373e8 0x0000000006136380
    26 0x00007ffecd32f5f0 30024/32768 BGP Scanner
    Mwe 0x0000000000fd70b9 0x00007ffecd378cd8 0x0000000006136380
    10 0x00007ffecd370eb0 28248/32768 BGP Router
    Mwe 0x0000000000fc9f84 0x00007ffecd32f3e8 0x0000000006136380
    2 0x00007ffecd3275a0 30328/32768 BGP I/O
    Mwe 0x000000000100c125 0x00007ffecd33f458 0x0000000006136380
    0 0x00007ffecd337640 32032/32768 BGP Event
  • Системный контекст имеет глобальные конфигурации, характерные для всех контекстов, подобных Cisco IOS, которая имеет глобальные конфигурации для всех семейств адресов.
  • Конфигурации, которые управляют вычислением оптимального пути, регистрируя соседний узел, путь TCP обнаружение Maximum Transition Unit (MTU), глобальные таймеры для поддержки активности, время удержания, и т.д. доступны в системном контексте под командным режимом протокола "BGP" маршрутизатора.
  • Поддержка команды политики BGP находится под режимом семейства адресов на пользовательский контекст.
  • Поддерживаются все стандартные сообщества и атрибуты пути.
  • Удаленно вызванная черная дыра (RTBH) поддерживается с помощью статической настройки маршрутизации null0.
  • Информация о следующем переходе была добавлена к самой входной таблице маршрутизации в Сетевом процессоре (NP). Ранее это было доступно только в выходной таблице маршрутизации. Это изменение было завершено для поддержки добавления маршрутов BGP в таблицы пересылки NP (так как маршрутам BGP не определяли исходящий интерфейс в CP, нет никакого способа определить, которые выводят таблицу маршрутизации для обновления информации о следующем переходе с).
  • Поиск Рекурсивного маршрута поддерживается.
  • Перераспределение с другими протоколами такой, как связано, статичный, Протокол RIP, Протокол OSPF и Протокол EIGRP поддерживается.
  • Никакой протокол "BGP" маршрутизатора <as_no> [с приглашением подтверждения] команда не удаляет BGP - конфигурации во всех контекстах.
  • Базы данных управления маршрутами, такие как route-map, access-list, списки префиксов, списки сообщества и списки доступа as-path виртуализированы и предоставлены на контекст.
  • Новая команда, покажите, что таблица гадюки, направляющая адрес решенный <адрес>, представлена для показа рекурсивно решенных маршрутов BGP в таблице пересылки NP.
  • Новая команда, системный config show bgp, представлена в многорежимном чтобы к BGP - конфигурациям контекста системы отображения.
  • BGP с IPv6 все еще не поддерживается на ASA.
  • BGP не поддерживается в объединении в кластеры.

BGP и использование памяти

Команда show route summary используется для получения использования памяти протоколов индивидуальной маршрутизации.

BGP и аварийное переключение

  • BGP поддерживается в Активных/Резервных и Активных/Активных конфигурациях HA.
  • Только Активный модуль слушает на порту TCP 179 для соединений BGP от узлов.
  • Резервный модуль не участвует в пиринге BGP, и следовательно не слушает на порту TCP 179 и не поддерживает таблицы BGP.
  • Добавления маршрута BGP и удаления реплицированы от Активного до Резервного модуля.
  • На аварийное переключение новый Активный модуль слушает на порту TCP 179 и инициирует установление смежности BGP с узлами.
  • Без Безостановочной Передачи (NSF) установление смежности занимает время с узлом снова после аварийного переключения, в котором маршруты BGP не изучены из узла. Это зависит от следующей поддержки активности BGP (по умолчанию 60 секунд) от узла, для которого ASA отвечает восстановлением (RST), который приводит к старому завершению подключения в одноранговом конце, и впоследствии следующее новое соединение установлено.
  • В течение периода повторного схождения BGP новый Активный модуль продолжает передавать трафик с ранее реплицированными маршрутами.
  • Время измеренное таймером повторного схождения BGP в настоящее время устанавливается в 210 секунд (команда аварийного переключения show route показывает значение таймера) для предоставления достаточного времени для BGP для установления смежностей и маршрутов обмена с его узлами.
  • После того, как таймер повторного схождения BGP истекает, все устаревшие маршруты BGP очищены от Routing Information Base (RIB).
  • Идентификатор маршрутизатора под управлением BGP синхронизируется от Активного модуля до Резервного модуля. Вычисление идентификатора маршрутизатора под управлением BGP отключено на Резервном модуле.
  • Команде резерва записи строго обескураживают, так как объемное синхронизование не происходит в этом случае, который приводит к потере динамических маршрутов на резерве.

Разрешение рекурсивного маршрута

  • Информация об исходящем интерфейсе для маршрутов BGP не доступна в CP (прямое следствие факта, что Соседние BGP узел могли бы быть множественными переходами далеко в отличие от других протоколов маршрутизации).
  • Маршруты BGP с информацией о следующем переходе добавлены к таблице маршрутизации ввода NP, но они еще не решены.
  • Когда первый пакет потока, который совпадает с префиксом маршрута BGP, вводит ASA в медленный путь, маршрут решен и исходящий интерфейс, определенный путем рекурсивного поиска таблицы маршрутизации ввода NP.
  • Каждый раз, когда изменения таблицы маршрутизации (от CP), инкрементно увеличена зависящая от контекста метка времени таблицы маршрутизации.
  • Когда следующий пакет потока, который совпадает с маршрутом BGP, вводит ASA в быстрый маршрут, ASA сравнивает метку времени записи маршрута с зависящей от контекста меткой времени таблицы маршрутизации. Если две метки времени не совпадают, процесс решения проблемы рекурсивного маршрута инициируется снова, и метка времени записи маршрута обновлена для совпадения с меткой времени таблицы маршрутизации. Можно проверить метки времени с командой маршрутизации таблицы гадюки показа. Таблица гадюки показа, направляющая команду <route> адреса, показывает штамп времени записи отдельного маршрута, и команда маршрутизации таблицы гадюки показа показывает штамп времени таблицы маршрутизации.
  • Процесс решения проблемы рекурсивного маршрута для префикса получателя мог бы быть вызван, когда вы входите, таблица гадюки показа, направляющая адрес <адрес>, решила команду.
  • Глубина поисков рекурсивного маршрута в настоящее время ограничивается четыре. Пакеты, которые требуют поиска после четыре, отброшены с причиной отбрасывания "Никакой маршрут для хостинга (никакой маршрут)" и нет никакой специальной причины отбрасывания для рекурсивной ошибки поиска.
  • Разрешение рекурсивного маршрута поддерживается только для маршрутов BGP (не статические маршруты).

Операция блока конечных состояний BGP

Переход одноранговых соединений по протоколу BGP через несколько состояний, прежде чем они будут становиться смежными устройствами и обмениваться сведениями о маршрутизации. В каждом из состояний узлы должны передать и получить сообщения, данные сообщения процесса, и инициализировать ресурсы, прежде чем они продолжатся к следующему состоянию. Этот процесс известен как Блок конечных состояний (FSM) BGP. Если сбои процесса в какой-либо точке, сеанс разъединен и узлы и переход назад к Состоянию бездействия, и начните процесс снова. Каждый раз, когда сеанс разъединен, все маршруты от узла, кто не, удалены из таблиц, который вызывает время простоя.

  1. ПРОСТАИВАЮЩИЙ - ASA ищет таблицу маршрутизации, чтобы видеть, существует ли маршрут для достижения соседнего узла.
  2. CONNECT - ASA нашел маршрут соседнему узлу и завершил квитирование TCP - подключения с тремя путями.
  3. АКТИВНЫЙ - ASA не получал соглашение по параметрам установления.
  4. ОТКРЫТЫЙ ПЕРЕДАВАЕМЫЙ - Открытое сообщение передается с параметрами для сеанса BGP.
  5. ОТКРЫТЫЙ CONFIRM - ASA получил соглашение по параметрам для установления сеанса.
  6. УСТАНОВЛЕННЫЙ - пиринг установлен, и маршрутизация начинается.

Настройка

конфигурация eBGP

BGP выполняется между маршрутизаторами в других автономных системах. По умолчанию в eBGP (пиринг в двух других автономных системах (AS)) IP TTL установлен в 1, что означает, что узлы, как предполагается, напрямую подключаются. В этом случае, когда пакет пересекает один маршрутизатор, TTL становится 0, и затем пакет отброшен кроме того. В случаях, где два соседних узла непосредственно не связаны (например, взаимодействуя с интерфейсами обратной связи или взаимодействуя, когда устройства являются множественными переходами далеко) необходимо добавить соседний x. x . x . x команда <TTL> ebgp-multihop. В противном случае смежное соединение BGP не будет установлено. Кроме того, узел eBGP объявляет все лучшие маршруты, которые он знает, или он учился из его узлов (ли узел eBGP или равноправный объект IBGP), который не является в случае iBGP.

Схема сети

Конфигурация ASA 1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
 neighbor 203.0.113.2 remote-as 200
 neighbor 203.0.113.2 activate
 network 192.168.10.0 mask 255.255.255.0
 network 172.16.20.0 mask 255.255.255.0
 network 10.106.44.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!

Конфигурация ASA 2

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
 neighbor 203.0.113.1 remote-as 100
 neighbor 203.0.113.1 activate
 network 10.10.10.0 mask 255.255.255.0
 network 10.180.10.0 mask 255.255.255.0
 network 172.16.30.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!

конфигурация iBGP

В iBGP нет никакого ограничения, которое соседние узлы должны быть связаны непосредственно. Однако равноправный объект IBGP не объявит префикс, который он изучил от равноправного объекта IBGP до другого равноправного объекта IBGP. Это ограничение должно там избежать петель в том же AS. Для разъяснения этого, когда маршрут передают к узлу eBGP, локальное количество AS добавлено к префиксу в as-path, поэтому если мы получаем тот же пакет назад, который сообщает наш AS в as-path, мы знаем, что это - петля, и что отброшен пакет. Однако, когда маршрут объявлен к равноправному объекту IBGP, локальное количество AS не добавлено к as-path, так как узлы находятся в том же AS.

Схема сети

Конфигурация ASA 1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
 neighbor 203.0.113.2 remote-as 100
 neighbor 203.0.113.2 activate
 network 192.168.10.0 mask 255.255.255.0
 network 172.16.20.0 mask 255.255.255.0
 network 10.106.44.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!

Конфигурация ASA 2

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
 neighbor 203.0.113.1 remote-as 100
 neighbor 203.0.113.1 activate
 network 10.10.10.0 mask 255.255.255.0
 network 10.180.10.0 mask 255.255.255.0
 network 172.16.30.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!

Различия между eBGP и iBGP

  • eBGP взаимодействует между двумя другими AS, тогда как iBGP между тем же AS.
  • Маршруты, изученные из узла eBGP, объявлены к другим узлам (eBGP или iBGP). Однако маршруты, изученные из равноправного объекта IBGP, не объявлены к другим равноправным объектам IBGP.
  • По умолчанию узлы eBGP установлены с TTL = 1, что означает, что соседние узлы, как предполагается, напрямую подключаются, который не является в случае iBGP. Для изменения этого поведения для eBGP введите соседний x. x . x . x команда <TTL> ebgp-multihop. Мультипереход является термином, использованным в eBGP только.
  • маршруты eBGP имеют административное расстояние 20, тогда как iBGP 200.
  • Когда маршрут объявлен к равноправному объекту IBGP, следующий переход остается неизменным. Однако это изменено, когда это объявлено к узлу eBGP по умолчанию.

eBGP с несколькими переходами

ASA со смежным соединением BGP с другим ASA, который является одним переходом далеко. Для соседства необходимо удостовериться, что у вас есть подключение между соседними узлами. Эхо-запрос для подтверждения подключения. Гарантируйте, что порт TCP 179 позволен в обоих направлениях на промежуточных устройствах.

Конфигурация ASA 1

router bgp 100
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
 neighbor 198.51.100.1 remote-as 200
neighbor 198.51.100.1 ebgp-multihop 2
neighbor 198.51.100.1 activate
 network 192.168.10.0 mask 255.255.255.0
 network 10.106.44.0 mask 255.255.255.0
 network 172.16.20.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!

Конфигурация ASA 2

router bgp 200
 bgp log-neighbor-changes
 bgp bestpath compare-routerid
 address-family ipv4 unicast
 neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 ebgp-multihop 2
neighbor 203.0.113.1 activate
 network 10.10.10.0 mask 255.255.255.0
 network 10.180.10.0 mask 255.255.255.0
 network 172.16.30.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!

Фильтрация маршрута BGP

С BGP можно управлять обновлением маршрута, которое передано и получено. В данном примере обновление маршрута заблокировано для префикса сети 172.16.30.0/24, который находится позади ASA 2. Для фильтрации маршрута можно только использовать СТАНДАРТНЫЙ ACL.

access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0
access-list bgp-in line 2 standard permit any4


router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
distribute-list bgp-in in
no auto-summary
no synchronization
exit-address-family
!

Проверьте таблицу маршрутизации.

ASA-1(config)# show bgp cidr-only

BGP table version is 6, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 192.168.10.0/16 0.0.0.0 0 32768 i

Проверьте Список контроля доступа (ACL) hitcounts.

ASA-1(config)# show access-list bgp-in
access-list bgp-in; 2 elements; name hash: 0x3f99de19
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0 (hitcnt=1) 0xb5abad25
access-list bgp-in line 2 standard permit any4 (hitcnt=4) 0x59d08160

Точно так же можно использовать ACL для фильтрования то, что передается с в команде distribute-list.

BGP - конфигурация ASA в мультиконтексте

BGP поддерживается в мультиконтексте. В случае мультиконтекста сначала необходимо определить Процесс маршрутизатора под управлением BGP в системном контексте. При попытке создать процесс BGP, не определяя его в системном контексте, вы получаете эту ошибку.

ASA-1/admin(config)# router bgp 100
%BGP process cannot be created in non-system context
ERROR: Unable to create router process

First we Need to define it in system context.

ASA-1/admin(config)#changeto context system
ASA-1(config)# router bgp 100
ASA-1(config-router)#exit

Now create bgp process in admin context.

ASA-1(config)#changeto context admin
ASA-1/admin(config)# router bgp 100
ASA-1/admin(config-router)#

Проверка.

Проверьте Соседство eBGP

Проверьте TCP - подключение на порту 179.

ASA-1(config)# show asp table socket

Protocol Socket   State     Local Address                   Foreign Address
SSL      00001478 LISTEN    172.16.20.1:443                 0.0.0.0:*
TCP      000035e8 LISTEN    203.0.113.1:179                 0.0.0.0:*
TCP      00005cd8 ESTAB     203.0.113.1:44368               203.0.113.2:179
SSL      00006658 LISTEN    10.106.44.221:443               0.0.0.0:*

Покажите Соседние BGP узел.

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2, context single_vf, remote AS 200, external link >> eBGP
 BGP version 4, remote router ID 203.0.113.2
 BGP state = Established, up for 00:04:42
 Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds

 Neighbor sessions:
   1 active, is not multisession capable (disabled)
 Neighbor capabilities:
   Route refresh: advertised and received(new)
   Four-octets ASN Capability: advertised and received
   Address family IPv4 Unicast: advertised and received
   Multisession Capability:
 Message statistics:
   InQ depth is 0
   OutQ depth is 0

                  Sent      Rcvd
   Opens:        1         1
   Notifications: 0         0
   Updates:      2         2
   Keepalives:   5         5
   Route Refresh: 0         0
   Total:        8         8
 Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
 Session: 203.0.113.2
 BGP table version 7, neighbor version 7/0
 Output queue size : 0
 Index 1
 1 update-group member
                          Sent      Rcvd
 Prefix activity:        ----      ----
   Prefixes Current:     3         3         (Consumes 240 bytes)
   Prefixes Total:       3         3
   Implicit Withdraw:    0         0
   Explicit Withdraw:    0         0
   Used as bestpath:     n/a       3
   Used as multipath:    n/a       0

                               Outbound   Inbound
 Local Policy Denied Prefixes: --------   -------
   Bestpath from this peer:    3         n/a
   Total:                      3         0
 Number of NLRIs in the update sent: max 3, min 0

 Address tracking is enabled, the RIB does have a route to 203.0.113.2
 Connections established 1; dropped 0
 Last reset never
 Transport(tcp) path-mtu-discovery is enabled
 Graceful-Restart is disabled

Маршруты BGP

Конфигурация ASA 1

ASA-1(config)# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

B       10.10.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B       10.180.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B       172.16.30.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48

Конфигурация ASA 2

ASA-2# show route bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

B 10.106.44.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 172.16.20.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 192.168.10.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32

Для наблюдения маршрутов для specfic ASA введите bgp show route <AS - Нет>. команда.

ASA-1(config)# show route bgp ?

exec mode commands/options:
 100 Autonomous system number
 |   Output modifiers
 <cr>

Определенная Подробность Маршрута eBGP

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
 Known via "bgp 100", distance 20, metric 0
 Tag 200, type external
 Last update from 203.0.113.2 0:09:43 ago
 Routing Descriptor Blocks:
 * 203.0.113.2, from 203.0.113.2, 0:09:43 ago
     Route metric is 0, traffic share count is 1
     AS Hops 1-----------------------------------> ASA HOP is one
     Route tag 200
     MPLS label: no label string provided
ASA-1(config)# show bgp cidr-only

BGP table version is 7, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
             r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

  Network         Next Hop       Metric LocPrf Weight Path
*> 10.10.10.0/24   203.0.113.2         0            0 200 i
*> 10.106.44.0/24  0.0.0.0             0        32768 i
*> 10.180.10.0/24  203.0.113.2         0            0 200 i
*> 172.16.20.0/24  0.0.0.0             0        32768 i
*> 172.16.30.0/24  203.0.113.2         0            0 200 i

Сводка BGP

ASA-1(config)# show bgp summary
BGP router identifier 203.0.113.1, local AS number 100
BGP table version is 7, main routing table version 7
6 network entries using 1200 bytes of memory
6 path entries using 480 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2120 total bytes of memory
BGP activity 6/0 prefixes, 6/0 paths, scan interval 60 secs

Neighbor       V          AS MsgRcvd MsgSent  TblVer InQ OutQ Up/Down State/PfxRcd
203.0.113.2    4         200 16     17            7   0   0 00:14:19 3

В Версии 9.2 была представлена новая команда, show route summary.

ASA-1(config)# show route summary

IP routing table maximum-paths is 3
Route Source   Networks   Subnets    Replicates Overhead   Memory (bytes)
connected      0          8          0          704        2304
static         2          5          0          616        2016
ospf 1         0          0          0          0          0
 Intra-area: 0 Inter-area: 0 External-1: 0 External-2: 0
 NSSA External-1: 0 NSSA External-2: 0
bgp 100        0          3          0          264        864
 External: 3 Internal: 0 Local: 0
internal       7                                              3176
Total          9          16         0          1584       8360

Проверьте Соседство iBGP

ASA-1(config)# show bgp neighbors

BGP neighbor is 203.0.113.2, context single_vf, remote AS 100, internal link >> iBGP
 BGP version 4, remote router ID 203.0.113.2
 BGP state = Established, up for 00:02:19
 Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
 Neighbor sessions:
   1 active, is not multisession capable (disabled)
 Neighbor capabilities:
   Route refresh: advertised and received(new)
   Four-octets ASN Capability: advertised and received
   Address family IPv4 Unicast: advertised and received
   Multisession Capability:
 Message statistics:
   InQ depth is 0
   OutQ depth is 0

                  Sent      Rcvd
   Opens:        1         1
   Notifications: 0         0
   Updates:      2         2
   Keepalives:   5         5
   Route Refresh: 0         0
   Total:        8         8
 Default minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
 Session: 203.0.113.2
 BGP table version 7, neighbor version 7/0
 Output queue size : 0
 Index 1
 1 update-group member
                          Sent      Rcvd
 Prefix activity:        ----      ----
   Prefixes Current:     3         3         (Consumes 240 bytes)
   Prefixes Total:       3         3
   Implicit Withdraw:    0         0
   Explicit Withdraw:    0         0
   Used as bestpath:     n/a       3
   Used as multipath:    n/a       0

                               Outbound   Inbound
 Local Policy Denied Prefixes: --------   -------
   Bestpath from this peer:    3         n/a
   Total:                      3         0
 Number of NLRIs in the update sent: max 3, min 0

 Address tracking is enabled, the RIB does have a route to 203.0.113.2
 Connections established 1; dropped 0
 Last reset never
 Transport(tcp) path-mtu-discovery is enabled
 Graceful-Restart is disabled

Определенная Подробность маршрута IBGP

ASA-1(config)# show route 172.16.30.0

Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0, type internal
Last update from 203.0.113.2 0:07:05 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:07:05 ago
Route metric is 0, traffic share count is 1
AS Hops 0 -------------------->> ASA HOP is 0 as it's internal route
MPLS label: no label string provided

Значение TTL для пакетов BGP

По умолчанию Соседние BGP узел должны напрямую подключиться. Это вызвано тем, что значение TTL для пакетов BGP всегда 1 (по умолчанию). Поэтому в случае, если Соседний BGP узел непосредственно не связан, необходимо определить значение мультиперехода BGP, которое зависит от того, в скольких находятся переходы всюду по пути.

Вот пример случая значения TTL непосредственно связанного:

ASA-1(config)#show cap bgp detail
 
 5: 06:30:19.789769 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
     203.0.113.1.44368 > 203.0.113.2.179: S [tcp sum ok] 3733850223:3733850223(0)
win 32768 <mss 1460,nop,nop,timestamp 15488246 0> (DF) [tos 0xc0] [ttl 1] (id 62822)

 6: 06:30:19.792286 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 58
     203.0.113.22.179 > 203.0.113.1.44368: S [tcp sum ok] 1053711883:1053711883(0)
ack 3733850224 win 16384 <mss 1360> [tos 0xc0] [ttl 1] (id 44962)

 7: 06:30:19.792302 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 54
     203.0.113.1.44368 > 203.0.113.22.179: . [tcp sum ok] 3733850224:3733850224(0)
ack 1053711884 win 32768 (DF) [tos 0xc0] [ttl 1] (id 52918)

Если соседние узлы непосредственно не связаны тогда, необходимо ввести команду мультиперехода bgp для определения, сколько ПЕРЕХОДОВ соседний узел должен увеличить стоимость TTL в IP - заголовке.

Вот пример значения TTL в случае мультиперехода (в этом Соседнем BGP узел случая, 1 ПЕРЕХОД далеко):

ASA-1(config)#show cap bgp detail

5: 13:10:04.059963 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
     203.0.113.1.63136 > 198.51.100.1.179: S [tcp sum ok] 979449598:979449598(0)
win 32768 <mss 1460,nop,nop,timestamp 8799571 0> (DF) [tos 0xc0] (ttl 2, id 62012)


  6: 13:10:04.060681 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 70 198.51.100.1.179 >
203.0.113.1.63136: S [tcp sum ok] 0:0(0) ack 979449599 win 32768 <mss 1460,nop,nop,
timestamp 6839704 8799571> (DF) [tos 0xac] [ttl 1] (id 60372)


  7: 13:10:04.060696 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 66
     203.0.113.1.63136 >198.51.100.1.179: . [tcp sum ok] 979449599:979449599(0) ack 1
win 32768 <nop,nop,timestamp 8799571 6839704> (DF) [tos 0xc0] (ttl 2, id 53699)

Процесс решения проблемы рекурсивного маршрута 

ASA-1(config)# show asp table routing
route table timestamp: 66
in 255.255.255.255 255.255.255.255 identity
in 203.0.113.1 255.255.255.255 identity
in 203.47.198.254 255.255.255.255 via 12.13.14.4, outside
in 106.10.199.78 255.255.255.255 via 15.16.17.4, DMZ
in 192.168.0.1 255.255.255.255 identity
in 172.16.20.1 255.255.255.255 identity
in 10.106.44.190 255.255.255.255 identity
in 10.10.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 66)
in 172.16.30.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 64)
in 10.180.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 65)

in 203.0.113.0 255.255.255.0 outside
in 172.16.10.0 255.255.255.0 via 12.13.14.4, outside
in 192.168.10.0 255.255.255.0 via 12.13.14.20, outside
in 192.168.20.0 255.255.255.0 via 15.16.17.4, DMZ
in 172.16.20.0 255.255.255.0 inside
in 10.106.44.0 255.255.255.0 management
in 192.168.0.0 255.255.0.0 DMZ

BGP ASA и постепенная возможность перезапуска

Функция BGP в Версии ASA 9.2.1 не поддерживает постепенную опцию перезапуска, о которой выполняют согласование в BGP ОТКРЫТОЕ сообщение. Когда одноранговое устройство передает BGP ОТКРЫТОЕ сообщение, ASA отбрасывает Обновленный пакет и передает СООБЩЕНИЕ С УВЕДОМЛЕНИЕМ BGP. Эти сообщения системного журнала замечены на ASA:

%ASA-3-418018: neighbor 192.168.1.10 Down BGP Notification sent
%ASA-3-418019: sent to neighbor 192.168.1.10/11 (invalid or corrupt AS path) 9 bytes
40020602 010 000 fc08
%ASA-3-418040: unsupported or mal-formatted message received from 192.168.1.10:

Нет ничего неправильно с Атрибутом as_path. Это вызвано тем, что ASA не поддерживает Постепенную возможность Перезапуска в Версии 9.2.1. Это наблюдалось с устройствами Nexus, поскольку они выполняют согласование о Постепенной возможности Перезапуска по умолчанию. Обходной путь для устранения этой проблемы должен отключить Постепенную возможность Перезапуска на одноранговом устройстве. Посмотрите пример, показанный здесь. На Nexus 5000 введите эти команды:

inside-N5K(config)# router bgp 64520
inside-N5K(config-router)# no graceful-restar

Устранение неполадок

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

  • После конфигурации необходимо гарантировать, что оба устройства имеют подключение. Проверьте ICMP и порт TCP 179 подключений.
  • Если Одноранговые соединения по протоколу BGP непосредственно не связаны, то гарантируют, что вам настроили EBGP с несколькими переходами.
  • Если подключение будет корректно, то TCP - сокет будет в состоянии ESTAB в выходных данных команды show asp table socket.
    ASA-1(config)# show asp table socket

    Protocol Socket   State     Local Address                   Foreign Address
    SSL      00001478 LISTEN    172.16.20.1:443                 0.0.0.0:*
    TCP      000035e8 LISTEN    203.0.113.1:179                 0.0.0.0:*
    TCP      00005cd8 ESTAB     203.0.113.1:44368               203.0.113.2:179
    SSL      00006658 LISTEN    10.106.44.221:443               0.0.0.0:*
  • После трехстороннего квитирования оба узла обмениваются BGP ОТКРЫТЫЕ сообщения и выполняют согласование о параметрах.

  • После обмена параметра оба узла обмениваются сведениями о маршрутизации с сообщением ОБНОВЛЕНИЯ BGP.

     

    %ASA-7-609001: Built local-host identity:203.0.113.1
    %ASA-7-609001: Built local-host outside:203.0.113.2
    %ASA-6-302013: Built outbound TCP connection 14 for outside:203.0.113.2/179
    (203.0.113.2/179) to identity:203.0.113.1/43790 (203.0.113.1/43790)
    %ASA-3-418018: neighbor 203.0.113.2 Up

Если соседство не сформировано даже после успешного трехстороннего квитирования TCP, то проблема с FSM BGP. Соберите захват пакета и системные журналы от ASA и проверьте, с каким состоянием у вас есть проблемы.

.debug

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Введите команду debug ip bgp для устранения проблем связанных проблем обновления маршрута и соседства.

ASA-1(config)# debug ip bgp ?

exec mode commands/options:
A.B.C.D BGP neighbor address
events BGP events
in BGP Inbound information
ipv4 Address family
keepalives BGP keepalives
out BGP Outbound information
range BGP dynamic range
rib-filter Next hop route watch filter events
updates BGP updates
<cr>

Введите команду события debug ip bgp для устранения проблем связанных проблем соседства.

BGP: 203.0.113.2 active went from Idle to Active
BGP: 203.0.113.2 open active, local address 203.0.113.1

BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Adding topology IPv4 Unicast:base
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Send OPEN
BGP: 203.0.113.2 active went from Active to OpenSent
BGP: 203.0.113.2 active sending OPEN, version 4, my as: 100, holdtime 180 seconds,
ID cb007101

BGP: 203.0.113.2 active rcv message type 1, length (excl. header) 34
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Receive OPEN
BGP: 203.0.113.2 active rcv OPEN, version 4, holdtime 180 seconds
BGP: 203.0.113.2 active rcv OPEN w/ OPTION parameter len: 24
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 1, length 4
BGP: 203.0.113.2 active OPEN has MP_EXT CAP for afi/safi: 1/1
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 128, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(old) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 2, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(new) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 65, length 4
BGP: 203.0.113.2 active OPEN has 4-byte ASN CAP for: 200
BGP: 203.0.113.2 active rcvd OPEN w/ remote AS 200, 4-byte remote AS 200
BGP: 203.0.113.2 active went from OpenSent to OpenConfirm
BGP: 203.0.113.2 active went from OpenConfirm to Established

Введите команду обновления debug ip bgp для решения направляющих связанных с обновлением проблем.

BGP: TX IPv4 Unicast Mem global 203.0.113.2 Changing state from DOWN to WAIT
(pending advertised bit allocation).
BGP: TX IPv4 Unicast Grp global 4 Created.
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (not in list).
BGP: TX IPv4 Unicast Wkr global 4 Ref Blocked (not in list).
BGP: TX IPv4 Unicast Rpl global 4 1 Created.
BGP: TX IPv4 Unicast Rpl global 4 1 Net bitfield index 0 allocated.
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Added to group (now has 1 members).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Staying in WAIT state
(current walker waiting for net prepend).
BGP: TX IPv4 Unicast Top global Start net prepend.
BGP: TX IPv4 Unicast Top global Inserting initial marker.
BGP: TX IPv4 Unicast Top global Done net prepend (0 attrs).
BGP: TX IPv4 Unicast Grp global 4 Starting refresh after prepend completion.
BGP: TX IPv4 Unicast Wkr global 4 Cur Start at marker 1.
BGP: TX IPv4 Unicast Grp global 4 Message limit changed from 100 to 1000 (used 0 + 0).
BGP: TX IPv4 Unicast Wkr global 4 Cur Unblocked
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Changing state from WAIT to ACTIVE
(ready).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 No refresh required.
BGP: TX IPv4 Unicast Top global Collection done on marker 1 after 0 net(s).
BGP(0): 203.0.113.2 rcvd UPDATE w/ attr: nexthop 203.0.113.2, origin i, metric 0,
merged path 200, AS_PATH

BGP(0): 203.0.113.2 rcvd 10.10.10.0/24
BGP(0): 203.0.113.2 rcvd 172.16.30.0/24
BGP(0): 203.0.113.2 rcvd 10.180.10.0/24
-----------------> Routes rcvd from peer
BGP: TX IPv4 Unicast Net global 10.10.10.1/32 Changed.
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 Changed.
BGP(0): Revise route installing 1 of 1 routes for 10.10.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.10.10.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 172.16.30.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 10.180.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 RIB done.

BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Ready in READ-WRITE.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab All topologies are EOR ready.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 1.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.10.10.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.30.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.180.10.0/24 Skipped.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 4.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 4.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
0/3 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Checking EORs (0/1).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Send EOR.
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global First convergence done.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 3 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 Changed.
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 Changed.
BGP(0): nettable_walker 10.106.44.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 10.106.44.0/24
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 RIB done.
BGP(0): nettable_walker 172.16.20.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 172.16.20.0/24
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 RIB done.
BGP(0): nettable_walker 192.168.10.0/24 route sourced locally
---------> Routes
advertised

BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 192.168.10.0/24
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 10.106.44.0/24 Set advertised bit (total 1).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.106.44.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 172.16.20.0/24 Set advertised bit (total 2).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.20.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 192.168.10.0/24 Set advertised bit (total 4).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 192.168.10.0/24 Formatted.

BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 8.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 8.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Replicating.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
4/4 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Start minimum advertisement timer (30 secs).
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (minimum advertisement interval).
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 4.
BGP: TX IPv4 Unicast Top global Collection reached marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 4 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 0 net(s).
BGP: TX Member message pool under period (60 < 600).
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.

Введите эти команды для устранения проблем этой функции:

  • show asp table socket
  • соседний узел show bgp
  • show bgp Summary
  • bgp show route
  • show bgp cidr-only
  • show route summary

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118050