Inestabilidad de la sesión BGP debido a los límites del prefijo de ruta en el acceso seguro a la integración de AWS Direct Connect

Opciones de descarga

  • PDF     (248.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (91.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de mayo de 2026
ID del documento:225912

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

Las sesiones BGP están experimentando inestabilidad en un túnel de sitio a sitio entre Cisco Secure Access y AWS Direct Connect. La inestabilidad se produce porque el número de prefijos de ruta anunciados desde Secure Access excede los límites de AWS Direct Connect, lo que evita un intercambio de ruta estable y afecta a la capacidad de establecer una conectividad coherente entre Secure Access y AWS.

Entorno

  • Cisco Secure Access (CSA)

  • Conexión directa de AWS con routing BGP

  • Configuración de túnel de sitio a sitio entre Secure Access y AWS

  • Límite de prefijos BGP de conexión directa de AWS de 100 rutas

Resolución

La resolución implica múltiples enfoques para abordar la restricción de límite de prefijo BGP.

El análisis de paquetes de red revela mensajes de NOTIFICACIÓN BGP que indican que se ha alcanzado el número máximo de prefijos:

Border Gateway Protocol - NOTIFICATION Message
    Length: 28
    Type: NOTIFICATION Message (3)
    Major error Code: Cease (6)
    Minor error Code (Cease): Maximum Number of Prefixes Reached (1)

Soluciones temporales inmediatas

Opción 1: Filtrado de rutas del lado AWS

Evalúe las opciones de AWS-side para ignorar o filtrar los prefijos de ruta entrantes desde Secure Access para permanecer dentro del límite de 100 prefijos impuesto por AWS Direct Connect.

Opción 2: Implementación de gateway de tránsito AWS

Considere la posibilidad de migrar a una puerta de enlace de tránsito AWS como un modelo de conectividad alternativo. Este enfoque puede proporcionar opciones de routing más flexibles y puede ayudar a eludir las limitaciones del prefijo de conexión directa.

Solución a largo plazo

Implementación de solicitud de características

Se ha enviado una solicitud de característica (CSE-I-4783) para permitir el filtrado de rutas o las capacidades de resumen en Secure Access. Esta mejora permitiría:

  • Resumen de ruta para reducir el número de prefijos anunciados

  • Filtrado de rutas para controlar qué prefijos se anuncian a AWS Direct Connect

  • Mejor control sobre los anuncios de BGP desde el lado del acceso seguro

Pasos de implementación

1: Revise las limitaciones de AWS Direct Connect. Consulte la documentación AWS Direct Connect limits para comprender las restricciones específicas.

2: Evaluar los anuncios de ruta actuales. Analice el número actual de rutas que se anuncian desde Secure Access para determinar cuántas superan el límite AWS de 100 prefijos.

3: Implemente una solución alternativa inmediata. Elija entre el filtrado del lado de AWS o la implementación de gateway de tránsito en función de los requisitos de arquitectura de red y las necesidades empresariales.

4: Supervisar el progreso de la solicitud de características. Trabaje con los equipos de cuentas de Cisco correspondientes para revisar la viabilidad y el impacto de la solicitud de la función de resumen/filtrado de rutas propuesta.

Causa

La causa raíz es una limitación fundamental en AWS Direct Connect, que restringe los anuncios de ruta BGP a un máximo de 100 prefijos. Cisco Secure Access está anunciando más de 100 prefijos de ruta, lo que hace que AWS Direct Connect envíe mensajes de NOTIFICACIÓN BGP con el código de error "Maximum Number of Prefixes Reached" (Número máximo de prefijos alcanzados) y, posteriormente, desactive la sesión BGP. Esto crea un ciclo de establecimiento y desconexión de la sesión, dando como resultado el comportamiento de inestabilidad de la sesión BGP observada.

Contenido relacionado

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-May-2026
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Amit Arora
    Ingeniero de consultoría técnica

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos