Konfigurieren von BGP Multipath in Secure Firewall Threat Defense

Einleitung

In diesem Dokument wird beschrieben, wie Sie Border Gateway Protocol (BGP) Multipath in Cisco Secure Firewall Threat Defense konfigurieren.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• BGP-Konfiguration auf Cisco Secure Firewall Threat Defense (FTD)
• Allgemeines BGP
• Cisco Secure Firewall Management Center (FMC)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der folgenden Software- und Hardwareversion:

• Cisco FTD Version 7.6
• Cisco FMC Version 7.6

Haftungsausschluss: Die in diesem Dokument erwähnten Netzwerke und IP-Adressen sind keinen einzelnen Benutzern, Gruppen oder Organisationen zugeordnet. Diese Konfiguration wurde exklusiv für den Einsatz in einer Laborumgebung erstellt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

In diesem Dokument wird beschrieben, wie die BGP Multipath-Lastverteilung in Firepower Threat Defense konfiguriert wird, wenn eine Route zum gleichen Ziel von verschiedenen Routern im gleichen AS empfangen wird (z. B. vom gleichen ISP).

BGP Multipath ermöglicht die Installation mehrerer kostengünstiger BGP-Pfade zum gleichen Zielpräfix in die IP-Routing-Tabelle. Der Datenverkehr zum Zielpräfix wird dann für alle installierten Pfade freigegeben.

Diese Pfade werden der Routing-Tabelle zu Zwecken der Lastverteilung neben dem besten Pfad hinzugefügt. BGP Multipath beeinflusst den Prozess der Auswahl des besten Pfads nicht. So wählt eine FTD beispielsweise auf Basis des Algorithmus immer noch einen Pfad als besten aus und kündigt diesen besten Pfad ihren BGP-Peers an.

Um sich als Kandidaten für Multipath zu qualifizieren, müssen Pfade zum gleichen Ziel mit dem besten Pfad in den folgenden Merkmalen übereinstimmen:

• Gewicht
• Lokale Präferenz
• AS-PATH-Länge
• Ursprungscode
• Multi Exit Discriminator (MED)

Eine der folgenden Optionen:

• Benachbartes AS oder Sub-AS (vor BGP-Multipath-Hinzufügung)
• AS-PATH (nach BGP-Multipath-Hinzufügung)

Bestimmte BGP-Multipath-Funktionen stellen weitere Anforderungen an Multipath-Kandidaten:

• Der Pfad muss von einem externen oder konföderationsexternen Nachbarn (eBGP) stammen.
• Die IGP-Metrik für den BGP Next Hop muss mit der IGP-Metrik des besten Pfads übereinstimmen.

Für interne BGP (iBGP)-Multipath-Kandidaten gelten die folgenden zusätzlichen Anforderungen:

• Der Pfad muss von einem internen Nachbarn (iBGP) bezogen werden.
• Die IGP-Metrik für den nächsten BGP-Hop muss mit der IGP-Metrik mit den besten Pfaden übereinstimmen, es sei denn, der Router ist für iBGP-Multipath mit ungleichen Kosten festgelegt.

BGP fügt bis zu n zuletzt empfangene Pfade von Multipath-Kandidaten in die IP-Routing-Tabelle ein, wobei n die Anzahl der Routen ist, die in der Routing-Tabelle installiert werden, wie bei der Konfiguration von BGP Multipath angegeben. Der Wertebereich für n liegt zwischen 1 und 8 für FTD. Der Standardwert, wenn Multipath deaktiviert ist, ist 1.

Anmerkung: Der entsprechende next-hop-self wird auf dem besten Pfad durchgeführt, der unter den eBGP-Multipaths ausgewählt ist, bevor er an interne Peers weitergeleitet wird.

Konfigurieren

Diagramm

Netzwerkdiagramm

BGP-Konfiguration

Navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Edit Device (Gerät bearbeiten) > Routing (Routing) > BGP (BGP) > IPv4, um das BGP nach der Aktivierung zu konfigurieren.

BGP-Konfiguration

BGP-Konfiguration von LINA:

router bgp 177
 bgp log-neighbor-changes
 bgp router-id 1.1.x.x
 bgp router-id vrf auto-assign
 address-family ipv4 unicast
  neighbor 10.197.200.72 remote-as 188
  neighbor 10.197.200.72 transport path-mtu-discovery disable
  neighbor 10.197.200.72 activate
  neighbor 10.197.200.227 remote-as 188
  neighbor 10.197.200.227 transport path-mtu-discovery disable
  neighbor 10.197.200.227 activate
  no auto-summary
  no synchronization
 exit-address-family
!

Zwei BGP-Nachbarn vom selben AS:

ftd1# show bgp summary
BGP router identifier 1.1.x.x, local AS number 177
BGP table version is 9, main routing table version 9
2 network entries using 400 bytes of memory
4 path entries using 320 bytes of memory
1/1 BGP path/bestpath attribute entries using 208 bytes of memory
1 BGP AS-PATH entries using 40 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 968 total bytes of memory
BGP activity 4/2 prefixes, 10/6 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.197.200.72   4          188 67      66             9    0    0 01:10:15  1      
10.197.200.227  4          188 60      60             9    0    0 01:00:56  1       

Beachten Sie, dass für dasselbe Zielnetzwerk zwei gültige Routen empfangen werden, eine von jedem Nachbarn.

ftd1# show bgp 192.168.10.0 255.255.255.0
BGP routing table entry for 192.168.10.0/24, version 9
Paths: (2 available, best #2, table default)
  Advertised to update-groups: 3
  188 200
    10.197.200.227 from 10.197.200.227 (3.3.x.x)
      Origin incomplete, localpref 100, valid, external
  188 200
    10.197.200.72 from 10.197.200.72 (2.2.x.x)
      Origin incomplete, localpref 100, valid, external, best

Sie können sehen, dass der am besten ausgewählte und in der Routing-Tabelle installierte Pfad derjenige ist, der von Nachbar 10.197.200.72 empfangen wird.

ftd1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set

B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.72, 00:01:55

BGP-Multipath-Konfiguration

Konfigurieren Sie den BGP-Multipath unter Geräte > Gerätemanagement > Gerät bearbeiten > Routing > BGP > IPv4 > Pakete über mehrere Pfade weiterleiten.

BGP Multipath in FMC

BGP Multipath in FMC

Speichern Sie die Änderungen, und stellen Sie sie bereit.

Überprüfung

BGP-Konfiguration von LINA nach Aktivieren von Multipath:

ftd1# sh run router
router bgp 177
bgp log-neighbor-changes
bgp router-id 1.1.x.x
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.197.200.72 remote-as 188
neighbor 10.197.200.72 transport path-mtu-discovery disable
neighbor 10.197.200.72 activate
neighbor 10.197.200.227 remote-as 188
neighbor 10.197.200.227 transport path-mtu-discovery disable
neighbor 10.197.200.227 activate
maximum-paths 2
no auto-summary
no synchronization
exit-address-family

Beachten Sie das m vor einer der Routen, die Multipath anzeigen.

ftd1# show bgp

BGP table version is 11, local router ID is 1.1.x.x
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*m 192.168.10.0 10.197.200.227 0 188 200 ?
*> 10.197.200.72 0 188 200 ?

ftd1# show bgp 192.168.10.0 255.255.255.0 
BGP routing table entry for 192.168.10.0/24, version 11
Paths: (2 available, best #2, table default)
Multipath: eBGP
Advertised to update-groups: 3
188 200 
10.197.200.227 from 10.197.200.227 (3.3.x.x)
Origin incomplete, localpref 100, valid, external, multipath
188 200 
10.197.200.72 from 10.197.200.72 (2.2.x.x)
Origin incomplete, localpref 100, valid, external, multipath, best 

Beachten Sie, dass in der Routing-Tabelle nach der Aktivierung von BGP Multipath nun zwei Routen zum gleichen Ziel installiert sind.

ftd1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set

B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.227, 00:01:17
                             [20/0] via 10.197.200.72, 00:01:17

Fehlerbehebung 

1. Überprüfung der BGP-Konfiguration: 

Verwenden Sie den Befehl show bgp, um die BGP-Tabelle zu überprüfen und sicherzustellen, dass mehrere Pfade als Multipath markiert sind.

Vergewissern Sie sich, dass die Anzahl der Pfade so konfiguriert ist, dass mehrere Pfade zulässig sind.

2. Pfadattribute überprüfen: 

Stellen Sie sicher, dass die Pfade die gleichen BGP-Attribute aufweisen, die für Multipath erforderlich sind. wie Gewicht, lokale Präferenz, AS-Pfadlänge usw.

3. Überprüfung der Lastverteilung: 

Verwenden Sie den Befehl show route, um zu überprüfen, ob die Pfade für die Lastverteilung verwendet werden. Die Ausgabe sollte mehrere Pfade für dasselbe Ziel anzeigen.

Fragen und Antworten

1.Wird der Befehl bgp bestpath as-path multipath-relax in FTD über Flex-Konfiguration für die Lastverteilung unterstützt?

Nein, es wurde bereits eine Erweiterung für die Unterstützung in FTD/ASA implementiert. Cisco Bug-ID CSCvw16654

Zugehörige Informationen

Fehlerbehebung bei gängigen BGP-Problemen