أستكشاف أخطاء إنشاء تجاور eBGP وإصلاحها
المحتويات
مسألة
يفشل بروتوكول عبارة الحدود الخارجية (eBGP) التجاور بين جدار الحماية وأجهزة النظير. وتلاحظ هذه الاعراض:
1. حالة النظير على جدار الحماية خاملة:
fw# show bgp summary
BGP router identifier 192.0.2.2, local AS number 65001
BGP table version is 1, main routing table version 1
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
198.51.100.2 4 65002 0 0 1 0 0 never Idle
2. لا تظهر إلا حزم TCP syn من جهاز النظير في التقاط الواجهة:
fw# cap capo interface WAN-Telekom
fw# show cap capo
26 packets captured
1: 06:22:44.990595 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
2: 06:22:46.990152 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
3: 06:22:50.991007 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
4: 06:22:58.991281 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
3. تم إنشاء اتصال ICMP لعنوان IP لجهاز النظير بنجاح:
fw# ping 198.51.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.51.100.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
وهذا يؤكد إمكانية الوصول إلى مستوى شبكة IP بين جدار الحماية وجهاز النظير.
4. تشير رسائل syslog على مستوى تصحيح الأخطاء إلى تجاهل طلب TCP من جهاز النظير:
fw# show logging
…
May 20 2026 06:32:58: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
May 20 2026 06:33:00: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
May 20 2026 06:33:04: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
May 20 2026 06:33:12: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
5. تظهر تصحيح أخطاء بروتوكول BGP رسالة "عدم التوجيه إلى النظير":
fw# debug ip bgp
BGP debugging is on
for address family: IPv4 Unicast
Successfully set for module BGP at level 1
BGP: 198.51.100.2 Active open failed - no route to peer, open active delayed 21504ms (35000ms max, 60% jitter)
البيئة
المخطط
Firepower 2110 الذي يشغل برنامج FTD 7.4.4 ويديره مركز إدارة جدار الحماية الآمن (FMC). كما يمكن أن تتأثر الأنظمة الأساسية للأجهزة الأخرى وإصدارات البرامج.
لجدار الحماية توجيه ثابت إلى عنوان النظير عبر واجهة WAN-Telekom المتصلة بموفر خدمة الإنترنت (ISP):
fw# show route 198.51.100.2
Routing entry for 198.51.100.2 255.255.255.255
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.0.2.1, via WAN-Telekom
Route metric is 0, traffic share count is 1
يحتوي جدار الحماية على تكوين BGP. يحتوي النظير 198.51.100.2 على رقم نظام مستقل مختلف، وبالتالي فهو خارجي:
fw# show run router
router bgp 65001
bgp log-neighbor-changes
bgp graceful-restart
address-family ipv4 unicast
neighbor 198.51.100.2 remote-as 65002
neighbor 198.51.100.2 transport path-mtu-discovery disable
neighbor 198.51.100.2 update-source WAN-Telekom
neighbor 198.51.100.2 activate
قرار
يتم إنشاء التجاور بعد تمكين خيار السماح بالاتصالات مع المجاور غير المتصل مباشرة في قسم المتقدم من تكوين جار BGP وتعيين نقلات TTL إلى 255:
السبب
بشكل افتراضي، يسمح جدار الحماية بتجاور eBGP بين النظراء المتصلين مباشرة، أي النظراء في الشبكة الفرعية نفسها. للسماح بالتجاور بين الأقران غير المتصلين مباشرة، يجب تمكين الخيار السماح بالاتصالات مع المجاور غير المتصل مباشرة. وبالإضافة إلى ذلك، يمكن للمستخدم تحديد عدد نقلات TTL إلى النظير وتعيين الحد الأدنى المتوقع لقيمة الوقت إلى Live في رأس IP لحزمة TCP التي يتم استقبالها من النظير. القيمة الافتراضية هي 1.
التحقق
1. لم يتم تكوين خيار السماح بالاتصالات مع الجار غير المتصل مباشرة:
fw# show bgp neighbors 198.51.100.2 | i External
External BGP neighbor not directly connected.
2. يتم تكوين خيار السماح بالاتصالات مع الجوار غير المتصل مباشرة ويتم تعيين نقلات TTL على 1:
fw# show run router bgp | i 198.51.100.2
neighbor 198.51.100.2 remote-as 65002
neighbor 198.51.100.2 ebgp-multihop 1
neighbor 198.51.100.2 transport path-mtu-discovery disable
neighbor 198.51.100.2 update-source WAN-Telekom
neighbor 198.51.100.2 activate
fw# show bgp neighbors 198.51.100.2 | i External
External BGP neighbor not directly connected.
3. يتم تكوين خيار السماح بالاتصالات مع الجوار غير المتصل مباشرة ويتم تعيين نقلات TTL على 255:
fw# show run router bgp | i 198.51.100.2
neighbor 198.51.100.2 remote-as 65002
neighbor 198.51.100.2 ebgp-multihop 255
neighbor 198.51.100.2 transport path-mtu-discovery disable
neighbor 198.51.100.2 update-source WAN-Telekom
neighbor 198.51.100.2 activate
fw# show bgp neighbors 198.51.100.2 | i External
External BGP neighbor may be up to 255 hops away.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
20-May-2026
|
الإصدار الأولي |
التعليقات