Exemple de configuration du protocole de passerelle frontière ASA
Contenu
Introduction
Ce document décrit les étapes requises pour activer le routage BGP (Border Gateway Protocol) (eBGP/iBGP), établir un processus de routage BGP, configurer les paramètres BGP généraux, filtrer les routes sur un appareil de sécurité adaptatif (ASA) et résoudre les problèmes liés au voisinage. Cette fonctionnalité a été introduite dans le logiciel ASA version 9.2.1.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Protocoles de routage dynamique
- Présentation de Cisco BGP
- Études de cas BGP
Components Used
Ce document est basé sur le pare-feu de la gamme Cisco ASA 5500-X qui exécute le logiciel Cisco ASA version 9.2.1.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informations générales
Directives et limitations
- La famille d'adresses IPv4 BGP est prise en charge en mode unique et multimode.
- Multi-mode est équivalent à la famille d'adresses VPNv4 Cisco IOS® BGP (VPN Routing and Forwarding (VRF)). Par routeur de contexte, BGP est similaire à la famille d'adresses IPv4 VRF de Cisco IOS.
- Un seul numéro de système autonome (AS) est pris en charge pour tous les contextes similaires à un AS global pour toutes les familles d'adresses dans Cisco IOS.
- Le numéro de système autonome doit être configuré à l'aide de la commande router bgp <as_num> qui peut être utilisée afin d'activer par famille d'adresses de contexte.
- BGP a six processus qui prennent en charge tous les contextes, et les détails sont disponibles avec la commande show process. Ces processus sont BGP Task, BGP Scheduler, BGP Scanner, BGP Router, BGP I/O et BGP Event.
ASA-1(config)# show proc | in BGP
Mwe 0x00000000010120d0 0x00007ffecc8ca5c8 0x0000000006136380
0 0x00007ffecc8c27c0 29432/32768 BGP Task
Mwe 0x0000000000fb3acd 0x00007ffecba47b48 0x0000000006136380
11 0x00007ffecba3fd00 31888/32768 BGP Scheduler
Lwe 0x0000000000fd3e40 0x00007ffecd3373e8 0x0000000006136380
26 0x00007ffecd32f5f0 30024/32768 BGP Scanner
Mwe 0x0000000000fd70b9 0x00007ffecd378cd8 0x0000000006136380
10 0x00007ffecd370eb0 28248/32768 BGP Router
Mwe 0x0000000000fc9f84 0x00007ffecd32f3e8 0x0000000006136380
2 0x00007ffecd3275a0 30328/32768 BGP I/O
Mwe 0x000000000100c125 0x00007ffecd33f458 0x0000000006136380
0 0x00007ffecd337640 32032/32768 BGP Event - Le contexte système présente des configurations globales communes à tous les contextes similaires à Cisco IOS qui ont des configurations globales pour toutes les familles d’adresses.
- Les configurations qui contrôlent le meilleur calcul de chemin, la journalisation du voisin, la découverte de l'unité de transition maximale du chemin TCP (MTU), les temporisateurs globaux pour keepalive, le temps d'attente, etc. sont disponibles dans le contexte système sous le mode de commande BGP du routeur.
- La prise en charge des commandes de stratégie BGP se trouve en mode de famille d'adresses par contexte utilisateur.
- Toutes les communautés standard et tous les attributs de chemin sont pris en charge.
- Le RTBH (Remote Triggered Black Hole) est pris en charge en utilisant la configuration de route null0 statique.
- Les informations de tronçon suivant ont été ajoutées à la table de routage d'entrée elle-même dans le processeur réseau (NP). Auparavant, cette option était disponible uniquement dans la table de routage de sortie. Cette modification a été effectuée afin de prendre en charge l'ajout de routes BGP dans les tables de transfert NP (puisque les routes BGP n'ont pas d'interface de sortie identifiée dans le CP, il n'y a aucun moyen de déterminer la table de routage de sortie avec laquelle mettre à jour les informations de tronçon suivant).
- La recherche de route récursive est prise en charge.
- La redistribution avec d'autres protocoles tels que les protocoles connectés, statiques, RIP (Routing Information Protocol), OSPF (Open Shortest Path First) et EIGRP (Enhanced Interior Gateway Routing Protocol) est prise en charge.
- La commande no router bgp <as_no> [with confirmation prompt] supprime les configurations BGP dans tous les contextes.
- Les bases de données de contrôle de route telles que les cartes de route, les listes d'accès, les listes de préfixes, les listes de communauté et les listes d'accès as-path sont virtualisées et fournies par contexte.
- Une nouvelle commande, show asp table routing address <addr> résolu, est introduite afin d'afficher les routes BGP résolues récursivement dans la table de transfert NP.
- Une nouvelle commande, show bgp system-config, est introduite en mode multiple afin d'afficher les configurations BGP de contexte système.
- Le protocole BGP avec IPv6 n'est toujours pas pris en charge sur l'ASA.
- BGP n'est pas pris en charge dans le clustering.
Utilisation du BGP et de la mémoire
La commande show route summary est utilisée afin d'obtenir l'utilisation de la mémoire des protocoles de routage individuels.
BGP et basculement
- BGP est pris en charge dans les configurations Active/Standby et Active/Active HA.
- Seule l'unité active écoute les connexions BGP des homologues sur le port TCP 179.
- L'unité de secours ne participe pas à l'appairage BGP et n'écoute donc pas sur le port TCP 179 et ne gère pas les tables BGP.
- Les ajouts et suppressions de route BGP sont répliqués de l'unité Actif à l'unité En veille.
- Lors du basculement, la nouvelle unité active écoute sur le port TCP 179 et initie l'établissement de contiguïté BGP avec des homologues.
- Sans NSF (Nonstop Forwarding), l'établissement de contiguïté prend du temps avec l'homologue après le basculement, au sein duquel les routes BGP ne sont pas apprises de l'homologue. Cela dépend du prochain keepalive BGP (60 secondes par défaut) de l'homologue pour lequel l'ASA répond par la restauration (RST), ce qui conduit à une ancienne terminaison de connexion à l'extrémité homologue et par la suite une nouvelle connexion suivante est établie.
- Au cours de la période de reconvergence BGP, la nouvelle unité active continue à transférer le trafic avec les routes précédemment répliquées.
- La période du compteur de reconvergence BGP est actuellement définie sur 210 secondes (la commande show route failover montre la valeur du compteur) afin de donner suffisamment de temps à BGP pour établir des contiguïtés et échanger des routes avec ses homologues.
- Après l'expiration du compteur de reconvergence BGP, toutes les routes BGP obsolètes sont purgées de la base d'informations de routage (RIB).
- L'ID de routeur BGP est synchronisé de l'unité active à l'unité de secours. Le calcul de l'ID de routeur BGP est désactivé sur l'unité de secours.
- La commande write standby est fortement déconseillée car la synchronisation en bloc ne se produit pas dans ce cas, ce qui entraîne la perte de routes dynamiques sur la veille.
Résolution de route récursive
- Les informations d'interface de sortie pour les routes BGP ne sont pas disponibles dans le CP (conséquence directe du fait que les voisins BGP peuvent être éloignés de plusieurs sauts, contrairement aux autres protocoles de routage).
- Les routes BGP avec les informations de tronçon suivant sont ajoutées à la table de routage d'entrée NP, mais elles ne sont pas encore résolues.
- Lorsque le premier paquet d'un flux qui correspond à un préfixe de route BGP entre dans l'ASA dans le chemin lent, la route est résolue et l'interface de sortie déterminée en recherchant récursivement la table de routage d'entrée NP.
- Chaque fois que la table de routage change (à partir du CP), un horodatage de table de routage spécifique au contexte est incrémenté.
- Lorsque le paquet suivant d'un flux qui correspond à une route BGP entre dans l'ASA dans le chemin rapide, l'ASA compare l'horodatage de l'entrée de route avec l'horodatage de la table de routage spécifique au contexte. Si les deux horodatages ne correspondent pas, le processus de résolution de route récursive est lancé à nouveau et l'horodatage d'entrée de route est mis à jour pour être identique à l'horodatage de la table de routage. Vous pouvez vérifier les horodatages à l'aide de la commande show asp table routing. La commande show asp table routing address <route> affiche l'horodatage d'une entrée de route particulière et la commande show asp table routing affiche l'horodatage de la table de routage.
- Le processus de résolution de route récursive pour un préfixe de destination peut être forcé lorsque vous entrez la commande show asp table routing address <addr> résolu.
- La profondeur des recherches de route récursives est actuellement limitée à quatre. Les paquets qui nécessitent une recherche après quatre sont abandonnés avec la raison de rejet « Aucune route vers l'hôte (aucune route)" et il n'y a aucune raison de perte spéciale pour l'échec de la recherche récursive.
- La résolution de route récursive est prise en charge uniquement pour les routes BGP (pas les routes statiques).
Fonctionnement de la machine à état fini BGP
Les homologues BGP passent par plusieurs états avant de devenir des voisins adjacents et d'échanger des informations de routage. Dans chacun des états, les homologues doivent envoyer et recevoir des messages, traiter les données des messages et initialiser les ressources avant de passer à l'état suivant. Ce processus est appelé FSM (Finite-State Machine) BGP. Si le processus échoue à un moment quelconque, la session est désactivée et les homologues repassent à l'état Inactif et recommencent le processus. Chaque fois qu'une session est désactivée, toutes les routes de l'homologue qui n'est pas actif sont supprimées des tables, ce qui entraîne des temps d'arrêt.
- IDLE - l'ASA recherche la table de routage afin de voir s'il existe une route pour atteindre le voisin.
- CONNECT - l'ASA a trouvé une route vers le voisin et a terminé la connexion TCP en trois étapes.
- ACTIVE - l'ASA n'a pas reçu d'accord sur les paramètres d'établissement.
- OPEN SENT - le message Open est envoyé, avec les paramètres de la session BGP.
- CONFIRMATION OUVERTE - l'ASA a reçu un accord sur les paramètres d'établissement d'une session.
- ÉTABLI - l’appairage est établi et le routage commence.
Configuration
Configuration eBGP
Le protocole BGP fonctionne entre des routeurs de différents systèmes autonomes. Par défaut, dans eBGP (appairage dans deux systèmes autonomes différents (AS)), la durée de vie IP est définie sur 1, ce qui signifie que les homologues sont supposés être connectés directement. Dans ce cas, lorsqu’un paquet traverse un routeur, TTL devient 0, puis le paquet est abandonné au-delà. Dans les cas où les deux voisins ne sont pas directement connectés (par exemple, avec des interfaces de bouclage ou avec des homologues lorsque les périphériques sont à plusieurs sauts de distance), vous devez ajouter la commande neighbor x.x.x.x ebgp-multihop <TTL>. Sinon, le voisinage BGP ne sera pas établi. En outre, un homologue eBGP annonce toutes les meilleures routes qu'il connaît ou qu'il a apprises de ses homologues (homologue eBGP ou homologue iBGP), ce qui n'est pas le cas de l'iBGP.
Diagramme du réseau
Configuration ASA-1
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration ASA-2
router bgp 200
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 activate
network 10.10.10.0 mask 255.255.255.0
network 10.180.10.0 mask 255.255.255.0
network 172.16.30.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration iBGP
Dans iBGP, il n'y a aucune restriction que les voisins doivent être connectés directement. Cependant, un homologue iBGP n'annoncera pas le préfixe qu'il a appris d'un homologue iBGP à un autre homologue iBGP. Cette restriction est là pour éviter les boucles dans le même AS. Afin de clarifier ceci, quand une route est passée à un homologue eBGP, le numéro de système autonome local est ajouté au préfixe dans as-path, donc si nous recevons le même paquet qui indique notre AS dans as-path, nous savons qu'il s'agit d'une boucle, et que le paquet est abandonné. Cependant, lorsqu'une route est annoncée à un homologue iBGP, le numéro AS local n'est pas ajouté à as-path, car les homologues sont dans le même AS.
Diagramme du réseau
Configuration ASA-1
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 100
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration ASA-2
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 activate
network 10.10.10.0 mask 255.255.255.0
network 10.180.10.0 mask 255.255.255.0
network 172.16.30.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Différences entre eBGP et iBGP
- eBGP homologue entre deux AS différents, tandis que iBGP est entre les mêmes AS.
- Les routes apprises de l'homologue eBGP sont annoncées à d'autres homologues (eBGP ou iBGP). Cependant, les routes apprises d'un homologue iBGP ne sont pas annoncées à d'autres homologues iBGP.
- Par défaut, les homologues eBGP sont définis avec TTL = 1, ce qui signifie que les voisins sont supposés être connectés directement, ce qui n'est pas le cas de l'iBGP. Afin de modifier ce comportement pour eBGP, entrez la commande neighbor x.x.x.x ebgp-multihop <TTL>. Multihop est le terme utilisé dans eBGP uniquement.
- Les routes eBGP ont une distance administrative de 20, alors que iBGP est de 200.
- Le tronçon suivant reste inchangé lorsque la route est annoncée à un homologue iBGP. Cependant, il est modifié lorsqu'il est annoncé à un homologue eBGP par défaut.
eBGP-Multihop
Un ASA avec un voisin BGP avec un autre ASA à un saut. Pour le voisinage, vous devez vous assurer que vous avez une connectivité entre voisins. Envoyez une requête ping afin de confirmer la connectivité. Assurez-vous que le port TCP 179 est autorisé dans les deux directions sur les périphériques situés entre les deux.
Configuration ASA-1
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 198.51.100.1 remote-as 200
neighbor 198.51.100.1 ebgp-multihop 2
neighbor 198.51.100.1 activate
network 192.168.10.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration ASA-2
router bgp 200
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 ebgp-multihop 2
neighbor 203.0.113.1 activate
network 10.10.10.0 mask 255.255.255.0
network 10.180.10.0 mask 255.255.255.0
network 172.16.30.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Filtrage de route BGP
Avec BGP, vous pouvez contrôler une mise à jour de routage qui est envoyée et reçue. Dans cet exemple, une mise à jour de routage est bloquée pour le préfixe réseau 172.16.30.0/24 qui se trouve derrière ASA-2. Pour le filtrage de route, vous pouvez uniquement utiliser la liste de contrôle d'accès STANDARD.
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0
access-list bgp-in line 2 standard permit any4
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
distribute-list bgp-in in
no auto-summary
no synchronization
exit-address-family
!
Vérifiez la table de routage.
ASA-1(config)# show bgp cidr-only
BGP table version is 6, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 192.168.10.0/16 0.0.0.0 0 32768 i
Vérifiez le nombre d'occurrences de la liste de contrôle d'accès (ACL).
ASA-1(config)# show access-list bgp-in
access-list bgp-in; 2 elements; name hash: 0x3f99de19
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0 (hitcnt=1) 0xb5abad25
access-list bgp-in line 2 standard permit any4 (hitcnt=4) 0x59d08160
De même, vous pouvez utiliser une liste de contrôle d'accès afin de filtrer ce qui est envoyé avec « out » dans la commande distribute-list.
Configuration BGP ASA dans le contexte multiple
Le protocole BGP est pris en charge dans le contexte multiple. Dans le cas du multicontexte, vous devez d'abord définir le processus du routeur BGP dans le contexte système. Si vous essayez de créer un processus BGP sans le définir dans le contexte du système, vous obtenez cette erreur.
ASA-1/admin(config)# router bgp 100
%BGP process cannot be created in non-system context
ERROR: Unable to create router process
First we Need to define it in system context.
ASA-1/admin(config)#changeto context system
ASA-1(config)# router bgp 100
ASA-1(config-router)#exit
Now create bgp process in admin context.
ASA-1(config)#changeto context admin
ASA-1/admin(config)# router bgp 100
ASA-1/admin(config-router)#
Vérification
Vérifier le voisinage eBGP
Vérifiez la connexion TCP sur le port 179.
ASA-1(config)# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00001478 LISTEN 172.16.20.1:443 0.0.0.0:*
TCP 000035e8 LISTEN 203.0.113.1:179 0.0.0.0:*
TCP 00005cd8 ESTAB 203.0.113.1:44368 203.0.113.2:179
SSL 00006658 LISTEN 10.106.44.221:443 0.0.0.0:*
Affichez les voisins BGP.
ASA-1(config)# show bgp neighbors
BGP neighbor is 203.0.113.2, context single_vf, remote AS 200, external link >> eBGP
BGP version 4, remote router ID 203.0.113.2
BGP state = Established, up for 00:04:42
Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
Neighbor sessions:
1 active, is not multisession capable (disabled)
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family IPv4 Unicast: advertised and received
Multisession Capability:
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent Rcvd
Opens: 1 1
Notifications: 0 0
Updates: 2 2
Keepalives: 5 5
Route Refresh: 0 0
Total: 8 8
Default minimum time between advertisement runs is 30 seconds
For address family: IPv4 Unicast
Session: 203.0.113.2
BGP table version 7, neighbor version 7/0
Output queue size : 0
Index 1
1 update-group member
Sent Rcvd
Prefix activity: ---- ----
Prefixes Current: 3 3 (Consumes 240 bytes)
Prefixes Total: 3 3
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 3
Used as multipath: n/a 0
Outbound Inbound
Local Policy Denied Prefixes: -------- -------
Bestpath from this peer: 3 n/a
Total: 3 0
Number of NLRIs in the update sent: max 3, min 0
Address tracking is enabled, the RIB does have a route to 203.0.113.2
Connections established 1; dropped 0
Last reset never
Transport(tcp) path-mtu-discovery is enabled
Graceful-Restart is disabled
Routes BGP
Configuration ASA-1
ASA-1(config)# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 10.106.44.1 to network 0.0.0.0
B 10.10.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B 10.180.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B 172.16.30.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
Configuration ASA-2
ASA-2# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is not set
B 10.106.44.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 172.16.20.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 192.168.10.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
Afin de voir les routes pour un ASA spécifique, entrez la commande show route bgp <AS-No.>.
ASA-1(config)# show route bgp ?
exec mode commands/options:
100 Autonomous system number
| Output modifiers
<cr>
Détail de route eBGP spécifique
ASA-1(config)# show route 172.16.30.0
Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0
Tag 200, type external
Last update from 203.0.113.2 0:09:43 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:09:43 ago
Route metric is 0, traffic share count is 1
AS Hops 1-----------------------------------> ASA HOP is one
Route tag 200
MPLS label: no label string provided
ASA-1(config)# show bgp cidr-only
BGP table version is 7, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 172.16.30.0/24 203.0.113.2 0 0 200 i
Récapitulatif BGP
ASA-1(config)# show bgp summary
BGP router identifier 203.0.113.1, local AS number 100
BGP table version is 7, main routing table version 7
6 network entries using 1200 bytes of memory
6 path entries using 480 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2120 total bytes of memory
BGP activity 6/0 prefixes, 6/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
203.0.113.2 4 200 16 17 7 0 0 00:14:19 3
Dans la version 9.2, une nouvelle commande, show route summary, a été introduite.
ASA-1(config)# show route summary
IP routing table maximum-paths is 3
Route Source Networks Subnets Replicates Overhead Memory (bytes)
connected 0 8 0 704 2304
static 2 5 0 616 2016
ospf 1 0 0 0 0 0
Intra-area: 0 Inter-area: 0 External-1: 0 External-2: 0
NSSA External-1: 0 NSSA External-2: 0
bgp 100 0 3 0 264 864
External: 3 Internal: 0 Local: 0
internal 7 3176
Total 9 16 0 1584 8360
Vérifier le voisinage iBGP
ASA-1(config)# show bgp neighbors
BGP neighbor is 203.0.113.2, context single_vf, remote AS 100, internal link >> iBGP
BGP version 4, remote router ID 203.0.113.2
BGP state = Established, up for 00:02:19
Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
Neighbor sessions:
1 active, is not multisession capable (disabled)
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family IPv4 Unicast: advertised and received
Multisession Capability:
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent Rcvd
Opens: 1 1
Notifications: 0 0
Updates: 2 2
Keepalives: 5 5
Route Refresh: 0 0
Total: 8 8
Default minimum time between advertisement runs is 30 seconds
For address family: IPv4 Unicast
Session: 203.0.113.2
BGP table version 7, neighbor version 7/0
Output queue size : 0
Index 1
1 update-group member
Sent Rcvd
Prefix activity: ---- ----
Prefixes Current: 3 3 (Consumes 240 bytes)
Prefixes Total: 3 3
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 3
Used as multipath: n/a 0
Outbound Inbound
Local Policy Denied Prefixes: -------- -------
Bestpath from this peer: 3 n/a
Total: 3 0
Number of NLRIs in the update sent: max 3, min 0
Address tracking is enabled, the RIB does have a route to 203.0.113.2
Connections established 1; dropped 0
Last reset never
Transport(tcp) path-mtu-discovery is enabled
Graceful-Restart is disabled
Détail de route iBGP spécifique
ASA-1(config)# show route 172.16.30.0
Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0, type internal
Last update from 203.0.113.2 0:07:05 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:07:05 ago
Route metric is 0, traffic share count is 1
AS Hops 0 -------------------->> ASA HOP is 0 as it's internal route
MPLS label: no label string provided
Valeur TTL pour les paquets BGP
Par défaut, les voisins BGP doivent être connectés directement. En effet, la valeur TTL des paquets BGP est toujours 1 (valeur par défaut). Ainsi, dans le cas où un voisin BGP n'est pas directement connecté, vous devez définir une valeur de sauts multiples BGP qui dépend du nombre de sauts dans tout le chemin.
Voici un exemple de cas de valeur TTL de connexion directe :
ASA-1(config)#show cap bgp detail
5: 06:30:19.789769 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
203.0.113.1.44368 > 203.0.113.2.179: S [tcp sum ok] 3733850223:3733850223(0)
win 32768 <mss 1460,nop,nop,timestamp 15488246 0> (DF) [tos 0xc0] [ttl 1] (id 62822)
6: 06:30:19.792286 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 58
203.0.113.22.179 > 203.0.113.1.44368: S [tcp sum ok] 1053711883:1053711883(0)
ack 3733850224 win 16384 <mss 1360> [tos 0xc0] [ttl 1] (id 44962)
7: 06:30:19.792302 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 54
203.0.113.1.44368 > 203.0.113.22.179: . [tcp sum ok] 3733850224:3733850224(0)
ack 1053711884 win 32768 (DF) [tos 0xc0] [ttl 1] (id 52918)
Si les voisins ne sont pas directement connectés, vous devez entrer la commande bgp multihop afin de définir le nombre de sauts qu'un voisin doit augmenter la valeur TTL dans l'en-tête IP.
Voici un exemple de valeur TTL en cas de sauts multiples (dans ce cas, le voisin BGP est à 1 HOP de distance) :
ASA-1(config)#show cap bgp detail
5: 13:10:04.059963 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
203.0.113.1.63136 > 198.51.100.1.179: S [tcp sum ok] 979449598:979449598(0)
win 32768 <mss 1460,nop,nop,timestamp 8799571 0> (DF) [tos 0xc0] (ttl 2, id 62012)
6: 13:10:04.060681 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 70 198.51.100.1.179 >
203.0.113.1.63136: S [tcp sum ok] 0:0(0) ack 979449599 win 32768 <mss 1460,nop,nop,
timestamp 6839704 8799571> (DF) [tos 0xac] [ttl 1] (id 60372)
7: 13:10:04.060696 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 66
203.0.113.1.63136 >198.51.100.1.179: . [tcp sum ok] 979449599:979449599(0) ack 1
win 32768 <nop,nop,timestamp 8799571 6839704> (DF) [tos 0xc0] (ttl 2, id 53699)
Processus de résolution de route récursive
ASA-1(config)# show asp table routing
route table timestamp: 66
in 255.255.255.255 255.255.255.255 identity
in 203.0.113.1 255.255.255.255 identity
in 203.47.198.254 255.255.255.255 via 12.13.14.4, outside
in 106.10.199.78 255.255.255.255 via 15.16.17.4, DMZ
in 192.168.0.1 255.255.255.255 identity
in 172.16.20.1 255.255.255.255 identity
in 10.106.44.190 255.255.255.255 identity
in 10.10.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 66)
in 172.16.30.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 64)
in 10.180.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 65)
in 203.0.113.0 255.255.255.0 outside
in 172.16.10.0 255.255.255.0 via 12.13.14.4, outside
in 192.168.10.0 255.255.255.0 via 12.13.14.20, outside
in 192.168.20.0 255.255.255.0 via 15.16.17.4, DMZ
in 172.16.20.0 255.255.255.0 inside
in 10.106.44.0 255.255.255.0 management
in 192.168.0.0 255.255.0.0 DMZ
Fonctionnalité BGP ASA et de redémarrage en douceur
La fonctionnalité BGP de la version 9.2.1 d'ASA ne prend pas en charge l'option de redémarrage gracieux négociée dans le message OUVERT BGP. Lorsqu'un périphérique homologue envoie un message BGP OPEN, l'ASA abandonne le paquet Update et envoie un message BGP NOTIFICATION. Ces messages syslog sont affichés sur l'ASA :
%ASA-3-418018: neighbor 192.168.1.10 Down BGP Notification sent
%ASA-3-418019: sent to neighbor 192.168.1.10/11 (invalid or corrupt AS path) 9 bytes
40020602 010 000 fc08
%ASA-3-418040: unsupported or mal-formatted message received from 192.168.1.10:
Il n'y a rien de mal à l'attribut AS_PATH. En effet, l'ASA ne prend pas en charge la fonctionnalité de redémarrage en douceur dans la version 9.2.1. Ceci a été observé avec les périphériques Nexus lorsqu'ils négocient la fonctionnalité de redémarrage gracieux par défaut. La solution de contournement pour résoudre ce problème consiste à désactiver la fonctionnalité de redémarrage en douceur sur le périphérique homologue. Reportez-vous à l'exemple présenté ici. Sur le Nexus 5000, entrez les commandes suivantes :
inside-N5K(config)# router bgp 64520
inside-N5K(config-router)# no graceful-restar
Reportez-vous aux Notes de version de la gamme Cisco ASA, 9.3(x) pour plus d'informations.
BGP support for nonstop forwarding We added support for BGP Nonstop Forwarding. We introduced the following new commands: bgp graceful-restart, neighbor ha-mode graceful-restart
Dépannage
- Après la configuration, vous devez vous assurer que les deux périphériques sont connectés. Vérifiez la connectivité du port 179 ICMP et TCP.
- Si les homologues BGP ne sont pas directement connectés, assurez-vous que le saut multiple eBGP est configuré.
- Si la connectivité est correcte, le socket TCP sera dans l'état ESTAB dans la sortie de la commande show asp table socket.
ASA-1(config)# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00001478 LISTEN 172.16.20.1:443 0.0.0.0:*
TCP 000035e8 LISTEN 203.0.113.1:179 0.0.0.0:*
TCP 00005cd8 ESTAB 203.0.113.1:44368 203.0.113.2:179
SSL 00006658 LISTEN 10.106.44.221:443 0.0.0.0:* - Après une connexion en trois étapes, les deux homologues échangent des messages OUVERTS BGP et négocient les paramètres.
- Après l'échange de paramètres, les deux homologues échangent des informations de routage avec un message BGP UPDATE.
%ASA-7-609001: Built local-host identity:203.0.113.1
%ASA-7-609001: Built local-host outside:203.0.113.2
%ASA-6-302013: Built outbound TCP connection 14 for outside:203.0.113.2/179
(203.0.113.2/179) to identity:203.0.113.1/43790 (203.0.113.1/43790)
%ASA-3-418018: neighbor 203.0.113.2 Up
Si le voisinage n'est pas formé même après une connexion TCP en 3 étapes réussie, le problème est alors avec BGP FSM. Collectez une capture de paquets et des syslogs à partir de l'ASA et vérifiez avec quel état vous rencontrez des problèmes.
Déboguer
Entrez la commande debug ip bgp afin de dépanner les problèmes de voisinage et de mise à jour de routage.
ASA-1(config)# debug ip bgp ?
exec mode commands/options:
A.B.C.D BGP neighbor address
events BGP events
in BGP Inbound information
ipv4 Address family
keepalives BGP keepalives
out BGP Outbound information
range BGP dynamic range
rib-filter Next hop route watch filter events
updates BGP updates
<cr>
Entrez la commande debug ip bgp event afin de résoudre les problèmes liés au voisinage.
BGP: 203.0.113.2 active went from Idle to Active
BGP: 203.0.113.2 open active, local address 203.0.113.1
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Adding topology IPv4 Unicast:base
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Send OPEN
BGP: 203.0.113.2 active went from Active to OpenSent
BGP: 203.0.113.2 active sending OPEN, version 4, my as: 100, holdtime 180 seconds,
ID cb007101
BGP: 203.0.113.2 active rcv message type 1, length (excl. header) 34
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Receive OPEN
BGP: 203.0.113.2 active rcv OPEN, version 4, holdtime 180 seconds
BGP: 203.0.113.2 active rcv OPEN w/ OPTION parameter len: 24
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 1, length 4
BGP: 203.0.113.2 active OPEN has MP_EXT CAP for afi/safi: 1/1
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 128, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(old) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 2, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(new) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 65, length 4
BGP: 203.0.113.2 active OPEN has 4-byte ASN CAP for: 200
BGP: 203.0.113.2 active rcvd OPEN w/ remote AS 200, 4-byte remote AS 200
BGP: 203.0.113.2 active went from OpenSent to OpenConfirm
BGP: 203.0.113.2 active went from OpenConfirm to Established
Entrez la commande debug ip bgp update afin de dépanner les problèmes de mise à jour de routage.
BGP: TX IPv4 Unicast Mem global 203.0.113.2 Changing state from DOWN to WAIT
(pending advertised bit allocation).
BGP: TX IPv4 Unicast Grp global 4 Created.
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (not in list).
BGP: TX IPv4 Unicast Wkr global 4 Ref Blocked (not in list).
BGP: TX IPv4 Unicast Rpl global 4 1 Created.
BGP: TX IPv4 Unicast Rpl global 4 1 Net bitfield index 0 allocated.
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Added to group (now has 1 members).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Staying in WAIT state
(current walker waiting for net prepend).
BGP: TX IPv4 Unicast Top global Start net prepend.
BGP: TX IPv4 Unicast Top global Inserting initial marker.
BGP: TX IPv4 Unicast Top global Done net prepend (0 attrs).
BGP: TX IPv4 Unicast Grp global 4 Starting refresh after prepend completion.
BGP: TX IPv4 Unicast Wkr global 4 Cur Start at marker 1.
BGP: TX IPv4 Unicast Grp global 4 Message limit changed from 100 to 1000 (used 0 + 0).
BGP: TX IPv4 Unicast Wkr global 4 Cur Unblocked
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Changing state from WAIT to ACTIVE
(ready).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 No refresh required.
BGP: TX IPv4 Unicast Top global Collection done on marker 1 after 0 net(s).
BGP(0): 203.0.113.2 rcvd UPDATE w/ attr: nexthop 203.0.113.2, origin i, metric 0,
merged path 200, AS_PATH
BGP(0): 203.0.113.2 rcvd 10.10.10.0/24
BGP(0): 203.0.113.2 rcvd 172.16.30.0/24
BGP(0): 203.0.113.2 rcvd 10.180.10.0/24-----------------> Routes rcvd from peer
BGP: TX IPv4 Unicast Net global 10.10.10.1/32 Changed.
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 Changed.
BGP(0): Revise route installing 1 of 1 routes for 10.10.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.10.10.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 172.16.30.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 10.180.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Ready in READ-WRITE.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab All topologies are EOR ready.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 1.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.10.10.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.30.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.180.10.0/24 Skipped.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 4.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 4.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
0/3 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Checking EORs (0/1).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Send EOR.
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global First convergence done.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 3 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 Changed.
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 Changed.
BGP(0): nettable_walker 10.106.44.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 10.106.44.0/24
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 RIB done.
BGP(0): nettable_walker 172.16.20.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 172.16.20.0/24
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 RIB done.
BGP(0): nettable_walker 192.168.10.0/24 route sourced locally---------> Routes
advertised
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 192.168.10.0/24
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 10.106.44.0/24 Set advertised bit (total 1).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.106.44.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 172.16.20.0/24 Set advertised bit (total 2).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.20.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 192.168.10.0/24 Set advertised bit (total 4).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 192.168.10.0/24 Formatted.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 8.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 8.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Replicating.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
4/4 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Start minimum advertisement timer (30 secs).
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (minimum advertisement interval).
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 4.
BGP: TX IPv4 Unicast Top global Collection reached marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 4 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 0 net(s).
BGP: TX Member message pool under period (60 < 600).
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
Entrez ces commandes afin de dépanner cette fonctionnalité :
- show asp table socket
- show bgp neighbor
- show bgp Summary
- show route bgp
- show bgp cidr-only
- show route summary
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)