Introducción
Este documento describe cómo configurar el trayecto múltiple BGP (Border Gateway Protocol) en Cisco Secure Firewall Threat Defence.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Configuración de BGP en Cisco Secure Firewall Threat Defence (FTD)
- BGP general
- Cisco Secure Firewall Management Center (FMC)
Componentes Utilizados
La información de este documento se basa en esta versión de software y hardware:
- Cisco FTD versión 7.6
- Cisco FMC versión 7.6
Descargo: Las redes y direcciones IP a las que se hace referencia en este documento no están asociadas a usuarios, grupos u organizaciones individuales. Esta configuración se ha creado exclusivamente para su uso en un entorno de laboratorio.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Este documento describe cómo configurar la carga compartida de múltiples trayectorias BGP en Firepower Threat Defense cuando se recibe una ruta al mismo destino desde diferentes routers en el mismo AS (por ejemplo, el mismo ISP).
BGP Multipath permite la instalación en la tabla de IP Routing de múltiples trayectorias BGP de igual costo al mismo prefijo de destino. El tráfico al prefijo de destino se comparte a continuación en todas las rutas instaladas.
Estas trayectorias se agregan a la tabla de ruteo junto con la mejor trayectoria para fines de distribución de carga. BGP Multipath no influye en el proceso de selección de la mejor trayectoria. Por ejemplo, un FTD todavía selecciona una trayectoria como la mejor basada en el algoritmo y anuncia esta mejor trayectoria a sus peers BGP.
Para calificar como candidatos para múltiples trayectorias, las trayectorias al mismo destino deben coincidir con la mejor trayectoria en estas características:
- Peso
- Preferencia local
- Longitud AS-PATH
- Código de origen
- Discriminador de salida múltiple (MED)
Una de las siguientes opciones:
- AS o sub-AS vecino (anterior a la adición de múltiples rutas BGP)
- AS-PATH (después de la adición de múltiples rutas BGP)
Ciertas funciones BGP Multipath imponen requisitos adicionales a los candidatos multipath:
- La ruta de acceso debe originarse en un vecino externo o de confederación externa (eBGP).
- La métrica IGP al siguiente salto BGP debe coincidir con la métrica IGP del mejor trayecto.
Para los candidatos internos de múltiples rutas BGP (iBGP), se aplican estos requisitos adicionales:
- La ruta de acceso se debe aprender de un vecino interno (iBGP).
- La métrica IGP al siguiente salto BGP debe coincidir con la métrica IGP de mejores trayectorias, a menos que el router esté configurado para múltiples trayectorias iBGP de costo desigual.
BGP inserta hasta n trayectorias recibidas más recientemente de candidatos de trayectorias múltiples en la tabla de ruteo IP, donde n es el número de rutas que se instalarán en la tabla de ruteo, como se especifica al configurar BGP Multipath. El rango de valores para n es de 1 a 8 para FTD. El valor predeterminado, cuando es la función de múltiples trayectorias está inhabilitada, es 1.
Nota: El siguiente salto equivalente se realiza en la mejor trayectoria que se selecciona de las múltiples trayectorias eBGP antes de que se reenvíe a los peers internos.
Configurar
Diagrama
Diagrama de la red
Configuración de BGP
Vaya a Devices > Device management > Edit Device > Routing > BGP > IPv4 para configurar BGP después de habilitarlo.
Configuración de BGP
Configuración de BGP desde LINA:
router bgp 177
bgp log-neighbor-changes
bgp router-id 1.1.x.x
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.197.200.72 remote-as 188
neighbor 10.197.200.72 transport path-mtu-discovery disable
neighbor 10.197.200.72 activate
neighbor 10.197.200.227 remote-as 188
neighbor 10.197.200.227 transport path-mtu-discovery disable
neighbor 10.197.200.227 activate
no auto-summary
no synchronization
exit-address-family
!
Dos vecinos BGP del mismo AS:
ftd1# show bgp summary
BGP router identifier 1.1.x.x, local AS number 177
BGP table version is 9, main routing table version 9
2 network entries using 400 bytes of memory
4 path entries using 320 bytes of memory
1/1 BGP path/bestpath attribute entries using 208 bytes of memory
1 BGP AS-PATH entries using 40 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 968 total bytes of memory
BGP activity 4/2 prefixes, 10/6 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.197.200.72 4 188 67 66 9 0 0 01:10:15 1
10.197.200.227 4 188 60 60 9 0 0 01:00:56 1
Observe que hay dos rutas válidas recibidas para la misma red de destino, una de cada vecino.
ftd1# show bgp 192.168.10.0 255.255.255.0
BGP routing table entry for 192.168.10.0/24, version 9
Paths: (2 available, best #2, table default)
Advertised to update-groups: 3
188 200
10.197.200.227 from 10.197.200.227 (3.3.x.x)
Origin incomplete, localpref 100, valid, external
188 200
10.197.200.72 from 10.197.200.72 (2.2.x.x)
Origin incomplete, localpref 100, valid, external, best
Puede ver que la mejor trayectoria seleccionada e instalada en la tabla de ruteo es la que se recibe del vecino 10.197.200.72.
ftd1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.72, 00:01:55
Configuración de Trayectoria Múltiple BGP
Configure el trayecto múltiple BGP bajo Devices > Device management > Edit Device > Routing > BGP > IPv4 > Edit Forward Packets Over Multiple Paths.
BGP Multipath en FMC
BGP Multipath en FMC
Guarde los cambios e implemente.
Verificación
Configuración de BGP desde LINA después de habilitar el trayecto múltiple:
ftd1# sh run router
router bgp 177
bgp log-neighbor-changes
bgp router-id 1.1.x.x
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.197.200.72 remote-as 188
neighbor 10.197.200.72 transport path-mtu-discovery disable
neighbor 10.197.200.72 activate
neighbor 10.197.200.227 remote-as 188
neighbor 10.197.200.227 transport path-mtu-discovery disable
neighbor 10.197.200.227 activate
maximum-paths 2
no auto-summary
no synchronization
exit-address-family
Observe la m antes de una de las rutas que indican trayecto múltiple
ftd1# show bgp
BGP table version is 11, local router ID is 1.1.x.x
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*m 192.168.10.0 10.197.200.227 0 188 200 ?
*> 10.197.200.72 0 188 200 ?
ftd1# show bgp 192.168.10.0 255.255.255.0
BGP routing table entry for 192.168.10.0/24, version 11
Paths: (2 available, best #2, table default)
Multipath: eBGP
Advertised to update-groups: 3
188 200
10.197.200.227 from 10.197.200.227 (3.3.x.x)
Origin incomplete, localpref 100, valid, external, multipath
188 200
10.197.200.72 from 10.197.200.72 (2.2.x.x)
Origin incomplete, localpref 100, valid, external, multipath, best
Observe que, ahora hay dos rutas al mismo destino instaladas en la tabla de ruteo después de habilitar el trayecto múltiple BGP.
ftd1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.227, 00:01:17
[20/0] via 10.197.200.72, 00:01:17
Troubleshoot
1. Verifique la configuración de BGP:
Utilice el comando show bgp para verificar la tabla BGP y asegurarse de que las trayectorias múltiples estén marcadas como múltiples rutas.
Confirme que Number of Paths esté configurado para permitir múltiples trayectorias.
2. Comprobar atributos de ruta:
Asegúrese de que las trayectorias tengan atributos BGP iguales requeridos para la trayectoria múltiple; como el peso, la preferencia local, la longitud de la ruta de AS, etc.
3. Verificación de distribución de carga:
Utilice el comando show route para verificar que las trayectorias se están utilizando para compartir la carga. El resultado debe mostrar varias rutas para el mismo destino.
Preguntas y respuestas
1. ¿El comando bgp bestpath as-path multipath-relax es compatible con FTD a través de Flex config para el uso compartido de carga?
No, ya existe una mejora para que esto sea compatible con FTD/ASA. ID de bug de Cisco CSCvw16654
Información Relacionada
Resolución de problemas comunes de BGP