تكوين BGP كتجاوز في جدار الحماية الآمن
المقدمة
يصف هذا المستند كيفية تكوين تجاوز النظام الذاتي ل BGP (AS) في الدفاع ضد تهديد جدار الحماية الآمن من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- BGP (بروتوكول العبارة الحدودية)
- مركز إدارة جدار الحماية الآمن (FMC) من Cisco
- الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مركز إدارة جدار الحماية الآمن من Cisco الذي يعمل الإصدار 7.7.0.
- Cisco Secure Firewall Threat Defense، الإصدار 7.7.0.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
بالنسبة للمؤسسات الكبيرة ذات المواقع المتفرقة جغرافيا، قد يكون تحقيق إمكانية الوصول من نهاية إلى نهاية أمرا صعبا عندما تستخدم مواقع متعددة نفس رقم النظام الذاتي (AS). يتمثل سلوك BGP الحالي في تجاهل تحديثات التوجيه التي يتم تلقيها إذا كان مسار AS يحتوي على رقم AS الخاص به، لتجنب حلقات التكرار في الشبكة.
تم تقديم دعم تجاوز الإصدار 7.6 على وجه التحديد لحالات الاستخدام المتعلقة بشبكة SD-WAN. ومع ذلك، بدءا من إصدار 7.7، يتوفر دعم تجاوز بروتوكول eBGP لجميع عمليات النشر بسبب متطلبات التوجيه الأساسية الخاصة به. هذا يتيح لك أن يكون لديك مواقع متطابقة لها نفس رقم AS.
التطبيقات والمدراء:
| نظام Firepower Threat Defense (FTD) | جميع منصات FTD |
|
FMC على 7.7.0 FMC REST API |
نعم نعم |
| إصدارات دعم FTD | 7.7.0 فقط |
| دعم النسور | نورت 3 |
| FDM على 7.7.0 | غير مدعومة |
BGP كتدفق معالجة حزمة التجاوز
- يرسل BGP تحديثات المسار إلى أقرانه/جيرانه عبر رسائل UPDATE.
- يتم التعرف على السمات الإلزامية المعروفة جيدا بواسطة جميع نظراء BGP، ويتم تمريرها إلى جميع النظراء، وتقديمها في جميع رسائل UPDATE.
- تحتوي سمة مسار AS الموجودة في رسالة UPDATE على قائمة مرتبة بجميع الأنظمة الذاتية التي تم تمرير هذا التحديث من خلالها.
- عند تمكين واجهة سطر الأوامر (CLI) للتجاوز، يتم إستبدال كل مرة من أرقام AS المجاورة برقم AS المحلي في مسار التشغيل.
التكوين
الرسم التخطيطي للشبكة
المخطط
تدفق تحديث المسار
- الموقع A والموقع B هما موقعان متطابقان يحملان جهازا/نظراء لهم نفس رقم AS.
- في هذه الحالة، يكون 10.1.1.1/32 هو تحديث البادئة/المسار الذي يتم الإعلان عنه من CE1 بالموقع A إلى CE2 بالموقع B عبر FTD.
- قبل تمكين التجاوز، يقوم برنامج الإرسال فائق السرعة (FTD) بإعادة توجيه تحديثات المسار كما هو الحال بالنسبة ل CE2 للموقع B. ولكن، CE2 عند تلقيه، يتجاهل تحديث المسار حيث إنه يرى رقم AS الخاص به في مسار التشغيل (600).
- بعد تمكين التجاوز، يقوم برنامج الإرسال فائق السرعة (FTD) بإعادة توجيه تحديث المسار إلى CE2 عن طريق إستبدال رقم CE1 في المسار نفسه/المحلي إلى رقم AS (500). يقبل CE2 الآن تحديث المسار.
نظرة عامة على الميزة
- خانة إختيار جديدة في FMC لتمكين تجاوز AS.
- واجهة سطر أوامر (CLI) جديدة المجاور <neighbor-ip-address> كتجاوزات يتم تقديمها في BGP كجزء من هذه الميزة.
ملاحظة: تتوفر ميزة تجاوز BGP ك للتكوين عبر مركز إدارة جدار الحماية الآمن (FMC) فقط.
خطوات التكوين على FMC
الخطوة 1: انتقل إلى الأجهزة > إدارة الجهاز، وحرر جهاز الدفاع عن التهديد.
الخطوة 2: حدد التوجيه.
الخطوة 3: (للجهاز الظاهري الذي يدعم الموجه) تحت الإعدادات العامة، انقر على BGP.
الخطوة 4: حدد خانة الاختيار تمكين BGP لتمكين عملية توجيه BGP.
ملاحظة: لتكوين توجيه BGP، يمكنك الرجوع إلى دليل تكوين جهاز مركز إدارة جدار الحماية الآمن من Cisco، 7.7
جار BGP IPv4
- تمكين تجاوز AS للجارة 198.51.100.2.
- انقر فوق حفظ ونشر.
تمكين تجاوز AS
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
نهاية FTD:
FTD# show running-config router bgp all
router bgp 500
bgp log-neighbor-changes
address-family ipv4 unicast (Same applicable for IPv6 as well)
neighbor 192.0.2.2 remote-as 600
neighbor 192.0.2.2 update-source Outside-1
neighbor 192.0.2.2 activate
neighbor 198.51.100.2 remote-as 600
neighbor 198.51.100.2 update-source Outside-2
neighbor 198.51.100.2 activate
neighbor 198.51.100.2 as-override
no auto-summary
no synchronization
exit-address-family
FTD# show bgp ipv4 unicast neighbors 198.51.100.2
BGP neighbor is 198.51.100.2, vrf single_vf, remote AS 600, external link
BGP version 4, remote router ID 198.51.100.2
BGP state = Established, up for 01:13:02
Last read 00:00:07, last write 00:00:54, hold time is 180, keepalive interval is 60 seconds
Neighbor sessions:
1 active, is not multisession capable (disabled)
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family IPv4 Unicast: advertised and received
Multisession Capability:
Message statistics:
InQ depth is 0
OutQ depth is 0
.
.
For address family: IPv4 Unicast
Session: 198.51.100.2
BGP table version 4, neighbor version 4/0
Output queue size : 0
Index 5
5 update-group member
Overrides the neighbor AS with my AS before sending updates
.
.
Transport(tcp) path-mtu-discovery is disabled
Graceful-Restart is disabled
FTD# show bgp ipv4 unicast neighbors 198.51.100.2 advertised-routes
BGP table version is 4, local router ID is 198.51.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.1/32 192.0.2.2 0 0 600 i
Total number of prefixes 1
انتهاء أجهزة الاستقبال:
As-path for 10.1.1.1/32 prefix/route has been modified from 600 to 500 by FTD (where as-override is enabled)
Cisco_C1127#show bgp ipv4 unicast
BGP table version is 10, local router ID is 198.51.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.1/32 198.51.100.1 0 500 500 i
Cisco_C1127#show bgp ipv4 unicast 10.1.1.1
BGP routing table entry for 10.1.1.1/32, version 10
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
500 500
198.51.100.1 from 198.51.100.1 (198.51.100.1)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
Updated on Apr 6 2025 17:02:24 UTC
استكشاف الأخطاء وإصلاحها
الأوامر
- show run router bgp all ينبغي أن يتلقى CLI تجاوز يمكن في FTD.
-
يجب أن يحدد إظهار جيران البث الأحادي لبروتوكول BGP <IPv4/IPv6> على FTD هذا النص الذي يشير إلى تمكين التجاوز -> يتجاوز المجاور AS باستخدام AS قبل إرسال التحديثات.
- show bgp <ipV4/ipV6>يجب أن يكون للبث الأحادي على نهاية المستقبل معلومات المسار التي تم تغييرها.
تصحيح الأخطاء
debug ip bgp updates
debug ip bgp ipv6 unicast updates
debug ip bgp all updates
ملاحظة: لا توجد تغييرات في تصحيح الأخطاء قبل تمكين التجاوز وبعده.
ملفات النظام
يحتوي ملف السجل هذا على معلومات متعلقة بنشر ميزة التجاوز من FMC.
/opt/CSCOpx/MDC/log/operation/vmsbesvcs.log
router bgp 500
address-family ipv4 unicast
neighbor 198.51.100.2 as-override
exit-address-family
معلومات ذات صلة
الدعم الفني والتنزيلات من Cisco
دليل تكوين جهاز مركز إدارة جدار الحماية الآمن من Cisco، الإصدار 7.7
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
12-Apr-2025
|
تم تحديث الخطأ المطبعي |
1.0 |
08-Apr-2025
|
الإصدار الأولي |
التعليقات