تكوين BGP متعدد المسارات في الدفاع ضد تهديد جدار الحماية الآمن
المقدمة
يصف هذا المستند كيفية تكوين المسار المتعدد لبروتوكول العبارة الحدودية (BGP) في الدفاع ضد تهديد جدار الحماية الآمن من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- تكوين BGP على الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
- BGP عام
- مركز إدارة جدار الحماية الآمن (FMC) من Cisco
المكونات المستخدمة
أسست المعلومة في هذا وثيقة على هذا برمجية وجهاز صيغة:
- Cisco FTD، الإصدار 7.6
- Cisco FMC، الإصدار 7.6
إخلاء المسؤولية: لا يتم إقران الشبكات وعناوين IP المشار إليها في هذا المستند مع أي مستخدمين فرديين أو مجموعات أو مؤسسات. تم إنشاء هذا التكوين حصريا للاستخدام في بيئة معملية.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يصف هذا المستند كيفية تكوين مشاركة حمل BGP متعدد المسارات في "الدفاع عن تهديد FirePOWER" عند إستلام مسار إلى الوجهة نفسها من موجهات مختلفة في نفس AS (على سبيل المثال، نفس ISP).
يسمح BGP Multipath بالتثبيت في جدول توجيه IP لمسارات BGP متعددة متساوية التكلفة إلى بادئة الوجهة نفسها. تتم مشاركة حركة المرور إلى بادئة الوجهة عبر كل المسارات المثبتة.
تتم إضافة هذه المسارات إلى جدول التوجيه بجانب أفضل مسار لأغراض مشاركة الحمل. لا يؤثر BGP Multipath على عملية تحديد أفضل مسار. على سبيل المثال، لا يزال FTD يحدد مسارا واحدا كأفضل مسار استنادا إلى الخوارزمية ويعلن عن هذا المسار الأفضل لنظراء BGP الخاص به.
للتأهل كمرشحين للمسارات المتعددة، يجب أن تطابق المسارات إلى الوجهة نفسها أفضل مسار في هذه الخصائص:
- معلّمة Weight
- التفضيل المحلي
- طول AS-PATH
- كود الأصل
- مميز متعدد المنافذ (MED)
أحد الأمور التالية:
- AS المجاور أو الفرعي (قبل إضافة BGP متعددة المسارات)
- مسار AS (بعد إضافة BGP متعددة المسارات)
تفرض بعض ميزات BGP متعددة المسارات المزيد من المتطلبات على المرشحين متعددي المسارات:
- يجب أن ينشأ المسار من جار خارجي أو كونفدرالي-خارجي (eBGP).
- يجب أن يتطابق قياس IGP إلى الخطوة التالية BGP مع قياس IGP الخاص بأفضل مسار.
بالنسبة لمرشحي BGP الداخليين (iBGP) المتعددي المسارات، تنطبق هذه المتطلبات الإضافية:
- يجب التعرُّف على المسار من جهاز مجاور داخلي (iBGP).
- يجب أن يطابق قياس IGP إلى الخطوة التالية BGP أفضل مسارات قياس IGP، ما لم يتم تعيين الموجه لمسار iBGP متعدد المسارات غير المتكافئة في التكلفة.
يدخل BGP ما يصل إلى n من المسارات المستلمة مؤخرا من المرشحين متعددي المسارات إلى جدول توجيه IP، حيث يمثل n عدد المسارات التي سيتم تثبيتها إلى جدول التوجيه، كما هو محدد عند تكوين BGP Multipath. نطاق القيم ل n هو من 1-8 ل FTD. القيمة الافتراضية، عند تعطيل متعدد المسارات، هي 1.
ملاحظة: يتم تنفيذ الخطوة الذاتية المساوية على أفضل مسار يتم تحديده بين مسارات متعددة لبروتوكولات العبّارة الحدودية الخارجية (eBGP) قبل إعادة توجيهها إلى النظراء الداخليين.
التكوين
الرسم التخطيطي
الرسم التخطيطي للشبكة
تكوين BGP
انتقل إلى الأجهزة > إدارة الأجهزة > تحرير الجهاز > التوجيه > BGP > IPv4 لتكوين BGP بعد تمكينه.
تكوين BGP
تكوين BGP من LINA:
router bgp 177
bgp log-neighbor-changes
bgp router-id 1.1.x.x
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.197.200.72 remote-as 188
neighbor 10.197.200.72 transport path-mtu-discovery disable
neighbor 10.197.200.72 activate
neighbor 10.197.200.227 remote-as 188
neighbor 10.197.200.227 transport path-mtu-discovery disable
neighbor 10.197.200.227 activate
no auto-summary
no synchronization
exit-address-family
!
إثنان من جيران بروتوكول بوابة الحدود (BGP) من:
ftd1# show bgp summary
BGP router identifier 1.1.x.x, local AS number 177
BGP table version is 9, main routing table version 9
2 network entries using 400 bytes of memory
4 path entries using 320 bytes of memory
1/1 BGP path/bestpath attribute entries using 208 bytes of memory
1 BGP AS-PATH entries using 40 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 968 total bytes of memory
BGP activity 4/2 prefixes, 10/6 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.197.200.72 4 188 67 66 9 0 0 01:10:15 1
10.197.200.227 4 188 60 60 9 0 0 01:00:56 1
لاحظ أن هناك مسارين صحيحين يتم استقبالهما لنفس شبكة الوجهة، أحدهما من كل جار.
ftd1# show bgp 192.168.10.0 255.255.255.0
BGP routing table entry for 192.168.10.0/24, version 9
Paths: (2 available, best #2, table default)
Advertised to update-groups: 3
188 200
10.197.200.227 from 10.197.200.227 (3.3.x.x)
Origin incomplete, localpref 100, valid, external
188 200
10.197.200.72 from 10.197.200.72 (2.2.x.x)
Origin incomplete, localpref 100, valid, external, best
يمكنك ملاحظة أن أفضل مسار تم تحديده وتثبيته في جدول التوجيه هو المسار الذي يتم إستقباله من المجاور 10.197.200.72.
ftd1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.72, 00:01:55
تكوين BGP متعدد المسارات
قم بتكوين مسار BGP متعدد تحت الأجهزة > إدارة الجهاز > تحرير الجهاز > التوجيه > BGP > IPv4 > تحرير الحزم الأمامية عبر مسارات متعددة.
مسارات BGP المتعددة في FMC
مسارات BGP المتعددة في FMC
حفظ التغييرات والنشر.
التحقق من الصحة
تكوين BGP من LINA بعد تمكين متعدد المسارات:
ftd1# sh run router
router bgp 177
bgp log-neighbor-changes
bgp router-id 1.1.x.x
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.197.200.72 remote-as 188
neighbor 10.197.200.72 transport path-mtu-discovery disable
neighbor 10.197.200.72 activate
neighbor 10.197.200.227 remote-as 188
neighbor 10.197.200.227 transport path-mtu-discovery disable
neighbor 10.197.200.227 activate
maximum-paths 2
no auto-summary
no synchronization
exit-address-family
لاحظ M قبل أي من المسارات يشير إلى متعدد المسارات
ftd1# show bgp
BGP table version is 11, local router ID is 1.1.x.x
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*m 192.168.10.0 10.197.200.227 0 188 200 ?
*> 10.197.200.72 0 188 200 ?
ftd1# show bgp 192.168.10.0 255.255.255.0
BGP routing table entry for 192.168.10.0/24, version 11
Paths: (2 available, best #2, table default)
Multipath: eBGP
Advertised to update-groups: 3
188 200
10.197.200.227 from 10.197.200.227 (3.3.x.x)
Origin incomplete, localpref 100, valid, external, multipath
188 200
10.197.200.72 from 10.197.200.72 (2.2.x.x)
Origin incomplete, localpref 100, valid, external, multipath, best
لاحظ أنه، هناك الآن مسحاج تخديد إلى الوجهة نفسها مثبتة في جدول التوجيه بعد تمكين BGP متعدد المسارات.
ftd1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.227, 00:01:17
[20/0] via 10.197.200.72, 00:01:17
استكشاف الأخطاء وإصلاحها
1. التحقق من تكوين BGP:
أستخدم الأمر show bgp للتحقق من جدول BGP وضمان وضع علامة متعدد على المسارات.
تأكد من أن عدد المسارات تم تكوينه للسماح بمسارات متعددة.
2. التحقق من سمات المسار:
تأكد أن المسارات لها خصائص BGP متساوية ومتطلبة للمسارات المتعددة؛ مثل الوزن، التفضيل المحلي، مثل طول المسار وهكذا.
3. التحقق من مشاركة الحمل:
أستخدم الأمر show route للتحقق من إستخدام المسارات لمشاركة الحمل. يجب أن تظهر المخرجات مسارات متعددة لنفس الوجهة.
أسئلة وأجوبة
1. هل يتم دعم الأمر bgp bestpath as-path multipath-relax في FTD عبر Flex config لمشاركة الحمل؟
لا، يوجد بالفعل تحسين لهذا حتى يتم دعمه في FTD/ASA. معرف تصحيح الأخطاء من Cisco CSCvw16654
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
19-Mar-2025
|
الإصدار الأولي |
التعليقات