Einleitung
In diesem Dokument wird die Änderung des Verhaltens bei der VPN-Routen-Injection in der BGP-Routing-Tabelle beschrieben, die mit Version 7.1 beginnt.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Kenntnisse der FirePOWER-Technologie
- Kenntnisse zur Konfiguration von BGP und Routenankündigung
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Secure Firewall Management Center (FMC)
- Cisco Firepower Threat Defense (FTD)
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Die VPN-Routen müssen über das BGP angekündigt werden.
VPN-Routen werden mithilfe von Next-Hop-Zuordnungskriterien gefiltert.
Die Standard-Zugriffsliste ist so konfiguriert, dass sie mit einem Next-Hop 0.0.0.0 übereinstimmt.
Verhaltensänderung
In Version 6.6.5 werden VPN-Routen in die BGP-Routing-Tabelle eingefügt, wobei der nächste Hop auf 0.0.0.0 festgelegt ist.
In Version 7.1 werden VPN-Routen in die BGP-Routing-Tabelle eingefügt, wobei der nächste Hop als Netzwerk-IP-Adresse des entsprechenden Subnetzes festgelegt wird.
Konfiguration
BGP-Konfiguration:
router bgp 12345
bgp log-neighbor-changes
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 172.30.0.21 remote-as 12346
neighbor 172.30.0.21 description CISCO-FTD-B
neighbor 172.30.0.21 transport path-mtu-discovery disable
neighbor 172.30.0.21 timers 10 40
neighbor 172.30.0.21 fall-over bfd
neighbor 172.30.0.21 ha-mode graceful-restart
neighbor 172.30.0.21 activate
neighbor 172.30.0.21 send-community
neighbor 172.30.0.21 route-map VPN_INSIDE_IN in
neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out
redistribute static
redustribute connected
no auto-summary
no synchronization
exit-address-family
Routing-Map-Konfiguration:
firepower# sh run route-map VPN_INSIDE_OUT
route-map VPN_INSIDE_PRI_OUT permit 10
match ip next-hop NextHopZeroes
firepower# sh run access-list NextHopZeroes
access-list NextHopZeroes standard permit host 0.0.0.0
Bei dieser Konfiguration kündigt das BGP nur die Routen an, für die der nächste Hop als 0.0.0.0 definiert ist.
Installation von VPN-Routen in Routing-Tabelle:
firepower# sh route | inc 172.20.192
V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE
Ausgabe von show bgp:
In Version 6.6.5
show bgp :
*> 172.20.192.0/22 0.0.0.0 0 32768 ?
Es ist ersichtlich, dass das Subnetz 172.20.192.0/22 in der BGP-Tabelle installiert ist, wobei die Next-Hop-IP als 0.0.0.0 definiert ist.
In Version 7.1
show bgp :
*> 172.20.192.0/22 172.20.192.0 0 32768 ?
Es ist ersichtlich, dass das Subnetz 172.20.192.0/22 in der BGP-Tabelle installiert ist, wobei die Next-Hop-IP als Subnetz-IP definiert ist: 172.20.192.0.
Auswirkungsszenario
Wenn die Konfiguration eine Routing-Map enthält, die mit einer Next-Hop-IP 0.0.0.0 übereinstimmt, ist dies mit einer Routenfilterung verbunden, und VPN-Routen werden nicht angekündigt.
Herumarbeiten
Zwei mögliche Problemumgehungen:
- Erstellen Sie eine Liste aller VPN-Subnetze, und konfigurieren Sie sie einzeln für die Ankündigung über das BGP. Anmerkung: Diese Methode ist nicht skalierbar.
- Konfigurieren Sie das BGP so, dass lokal generierte Routen angekündigt werden. Diesen Konfigurationsbefehl anwenden:
route-map <route-map-name> permit 10
match route-type local
Durch die Implementierung einer der zuvor angesprochenen Lösungen kündigt FTD die VPN-Routen über das BGP an.