Exemple de configuration de protocole BGP ASA
Contenu
Introduction
Ce document décrit l'étape nécessaire pour activer le Protocole BGP (Border Gateway Protocol) (eBGP/iBGP) conduisant, pour établir un processus de routage BGP, pour configurer des paramètres généraux BGP, artère-filtrant sur une appliance de sécurité adaptable (ASA), et pour dépanner des questions connexes de proximité. Cette caractéristique a été introduite dans la version de logiciel 9.2.1 ASA.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Protocoles de routage dynamique
- Vue d'ensemble BGP de Cisco
- Études de cas BGP
Composants utilisés
Ce document est basé sur le Pare-feu de gamme 5500-X de Cisco ASA qui exécute la version de logiciel 9.2.1 de Cisco ASA.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Informations générales
Instructions et limites
- La famille d'ipv4 addres BGP est prise en charge dans le mode unique et la multimode.
- La multimode est équivalente au BGP VPNv4 de Cisco IOS® (le routage VPN et l'expédition (VRF) s'adressent à la famille). Par routeur de contexte, le BGP est semblable à par la famille d'ipv4 addres de VRF dans le Cisco IOS.
- Seulement un nombre de système autonome (AS) est pris en charge pour tous les contextes semblables à un global QUANT à toutes les familles d'adresse dans le Cisco IOS.
- Le numéro de système autonome devrait être configuré avec l'utilisation de la commande de <as_num> BGP de routeur qui peut être utilisée afin d'activer par famille d'adresse de contexte.
- Le BGP a six processus qui prennent en charge tous les contextes, et les détails sont disponibles avec la commande de processus d'exposition. Ces processus sont tâche BGP, programmateur BGP, événement de scanner BGP, de routeur BGP, E/S BGP, et BGP.
ASA-1(config)# show proc | in BGP
Mwe 0x00000000010120d0 0x00007ffecc8ca5c8 0x0000000006136380
0 0x00007ffecc8c27c0 29432/32768 BGP Task
Mwe 0x0000000000fb3acd 0x00007ffecba47b48 0x0000000006136380
11 0x00007ffecba3fd00 31888/32768 BGP Scheduler
Lwe 0x0000000000fd3e40 0x00007ffecd3373e8 0x0000000006136380
26 0x00007ffecd32f5f0 30024/32768 BGP Scanner
Mwe 0x0000000000fd70b9 0x00007ffecd378cd8 0x0000000006136380
10 0x00007ffecd370eb0 28248/32768 BGP Router
Mwe 0x0000000000fc9f84 0x00007ffecd32f3e8 0x0000000006136380
2 0x00007ffecd3275a0 30328/32768 BGP I/O
Mwe 0x000000000100c125 0x00007ffecd33f458 0x0000000006136380
0 0x00007ffecd337640 32032/32768 BGP Event - Le contexte de système a des configurations globales communes à tous les contextes semblables au Cisco IOS qui a des configurations globales pour toutes les familles d'adresse.
- Les configurations qui ont le contrôle du meilleur calcul de chemin, se connectant le voisin, détection maximum d'unité de transition de chemin de TCP (MTU), les temporisateurs globaux pour la keepalive, durée d'attente, sont et ainsi de suite disponibles dans le contexte de système sous le mode de commande BGP de routeur.
- Le support de commande de stratégie BGP est sous le mode de famille d'adresse par contexte d'utilisateur.
- Les tous les communautés et attributs de chemin standard sont pris en charge.
- Le trou noir à distance déclenché (RTBH) est pris en charge utilisant la configuration de route null0 statique.
- Les informations de prochain-saut ont été ajoutées à la table de routage d'entrée elle-même dans le processeur de réseau (NP). Précédemment c'était disponible seulement dans la table de routage de sortie. Cette modification a été terminée afin de prendre en charge l'ajout des routes BGP en le NP que des tables d'expédition (puisque les routes BGP n'ont pas une interface de sortie identifiée dans le CP, là n'est aucune manière de déterminer avec quelle table de routage de sortie pour mettre à jour les informations de prochain-saut).
- La recherche de route récursive est prise en charge.
- La redistribution avec d'autres protocoles tels que connecté, charge statique, Protocole RIP (Routing Information Protocol), Protocole OSPF (Open Shortest Path First), et Protocole EIGPR (Enhanced Interior Gateway Routing Protocol) est prise en charge.
- L'aucune commande de <as_no> BGP de routeur [avec la demande de confirmation] ne retire des configurations BGP dans tous les contextes.
- Conduisez les bases de données de contrôle telles que des route-map, liste d'accès, des listes de préfixes, des listes de la communauté, et des Listes d'accès de comme-chemin sont virtualisées et fournies par contexte.
- Une nouvelle commande, <addr> d'adresse de routage de table d'asp d'exposition résolu, est introduite afin d'afficher les routes BGP périodiquement résolues dans la table d'expédition du NP.
- Une nouvelle commande, système-config de show bgp, est introduite en configurations BGP de contexte de système d'affichage de multimode.
- Le BGP avec l'IPv6 n'est toujours pas pris en charge sur l'ASA.
- Le BGP n'est pas pris en charge dans le groupement.
BGP et utilisation de mémoire
La commande de show route summary est utilisée afin d'obtenir l'utilisation de mémoire de différents protocoles de routage.
BGP et Basculement
- Le BGP est pris en charge des configurations dans d'Active/Standby et d'Active/Active ha.
- Seulement l'unité d'active écoute sur le port TCP 179 des connexions BGP des pairs.
- L'équipement de réserve ne participe pas au BGP scrutant, et par conséquent n'écoute pas sur le port TCP 179 et ne met pas à jour les tables BGP.
- Des ajouts et les suppressions de route BGP sont répliqués de l'Active vers l'équipement de réserve.
- Lors du Basculement, la nouvelle unité d'active écoute sur le port TCP 179 et initie l'établissement de contiguïté BGP avec des pairs.
- Sans expédition direct (NSF), l'établissement de contiguïté prend du temps avec le pair de nouveau après Basculement, dans lequel des routes BGP ne sont pas apprises du pair. Ceci dépend de la prochaine keepalive BGP (par défaut 60 secondes) du pair pour lequel l'ASA répond avec la restauration (RST), qui mène à un vieil arrêt de connexion à l'extrémité de pair et ultérieurement une prochaine nouvelle connexion est établie.
- Au cours de la période de reconvergence BGP, la nouvelle unité d'active continue à expédier le trafic avec les artères précédemment répliquées.
- La période de temporisateur de reconvergence BGP est actuellement fixée à 210 secondes (la commande de Basculement de show route affiche la valeur de temporisateur) afin de donner l'heure suffisante pour que le BGP établisse des contiguïtés et de permute des artères avec ses pairs.
- Après que le temporisateur de reconvergence BGP expire, toutes les routes BGP éventées sont purgées du Routing Information Base (NERVURE).
- L'id de routeur BGP synced à partir de l'unité d'active à l'équipement de réserve. Le calcul d'id de routeur BGP est désactivé sur l'équipement de réserve.
- La commande de réserve d'inscription est fortement découragée puisque le sync en vrac ne se produit pas dans ce cas, qui mène à la perte d'artères dynamiques en état d'alerte.
Résolution récursive d'artère
- Les informations d'interface de sortie pour des routes BGP ne sont pas disponibles dans le CP (une conséquence directe du fait que les voisins BGP pourraient être de plusieurs sauts loin à la différence d'autres protocoles de routage).
- Les routes BGP avec les prochaines informations de saut sont ajoutées à la table de routage d'entrée du NP, mais elles ne sont pas résolues encore.
- Quand le premier paquet d'un écoulement qui apparie un préfixe de route BGP écrit l'ASA dans le chemin lent, l'artère est résolue et l'interface de sortie est déterminée en recherchant périodiquement la table de routage d'entrée du NP.
- Toutes les fois que la table de routage change (du CP), un horodateur de table de routage de contexte-particularité est incrémenté.
- Quand le paquet suivant d'un écoulement qui apparie une route BGP écrit l'ASA dans le chemin rapide, l'ASA compare l'horodateur de l'entrée de route à l'horodateur de table de routage de contexte-particularité. Si les deux horodateurs ne s'assortissent pas, le processus récursif de résolution d'artère est initié de nouveau et l'horodateur d'entrée de route est mis à jour pour être identique que l'horodateur de table de routage. Vous pouvez vérifier des horodateurs avec la commande de routage de table d'asp d'exposition. La commande de <route> d'adresse de routage de table d'asp d'exposition affiche que le groupe date/heure d'une entrée de route particulière et de la commande de routage de table d'asp d'exposition affiche le groupe date/heure de table de routage.
- Le processus récursif de résolution d'artère pour un préfixe de destination pourrait être forcé quand vous sélectionnez la commande résolue par <addr> d'adresse de routage de table d'asp d'exposition.
- La profondeur des recherches de route récursives est actuellement limitée à quatre. Les paquets qui exigent la consultation après que quatre soient relâchés avec la raison de baisse « aucune artère de héberger (NO--artère) » et là n'est aucune raison spéciale de baisse pour la panne de recherche récursive.
- La résolution récursive d'artère est prise en charge seulement pour des routes BGP (artères non statiques).
Exécution d'ordinateur à états finis BGP
Le BGP scrute transition par plusieurs états avant qu'ils aillent bien aux voisins adjacents et permutent les informations de routage. Dans chacun des états, les pairs doivent envoyer et recevoir des messages, traiter des données du message, et initialiser des ressources avant qu'ils poursuivent au prochain état. Ce processus est connu comme ordinateur à états finis BGP (FSM). Si le processus échoue à un point quelconque, la session est démolie et la transition de pairs de nouveau à un état inactif et commence le processus de nouveau. Chaque fois que une session est démolie, toutes les artères du pair vers le haut du lequel n'est pas sont retirées des tables, qui entraîne le temps d'arrêt.
- INACTIF - l'ASA recherche la table de routage afin de voir si une artère existe pour atteindre le voisin.
- CONNECTEZ - l'ASA fondent une artère au voisin et se sont terminées la prise de contact à trois voies de TCP.
- ACTIF - l'ASA n'a pas reçu l'accord sur les paramètres de l'établissement.
- OUVERT ENVOYÉ - le message ouvert est envoyé, avec des paramètres pour la session BGP.
- OUVERT CONFIRMEZ - l'accord reçu par ASA sur les paramètres d'établir une session.
- ÉTABLI - scruter est établi et l'acheminement commence.
Configurer
configuration d'eBGP
Passages BGP entre les Routeurs dans différents Autonomous System. Par défaut, dans l'eBGP (scrutant dans deux systèmes autonomes (AS) différents) L'IP TTL est placé à 1 qui signifie qu'on assume que des pairs sont directement connectés. Dans ce cas, quand un paquet croise un routeur, le TTL devient 0 et alors le paquet est lâché au delà de celui. Dans les cas où les deux voisins ne vous sont pas directement connecté (par exemple, scruter avec le bouclage relie ou scruter quand les périphériques sont de plusieurs sauts loin) le besoin d'ajouter la commande de l'ebgp-multihop <TTL> du voisin x.x.x.x. Autrement, la proximité BGP ne sera pas établie. En outre, un pair d'eBGP annonce toutes les meilleures routes qu'il connaît ou il a appris de ses pairs (si pair d'eBGP ou pair d'iBGP), qui n'est pas dans le cas d'iBGP.
Diagramme du réseau
Configuration ASA-1
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration ASA-2
router bgp 200
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 activate
network 10.10.10.0 mask 255.255.255.0
network 10.180.10.0 mask 255.255.255.0
network 172.16.30.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
configuration d'iBGP
Dans l'iBGP, il n'y a aucune restriction que des voisins doivent être connectés directement. Cependant, un pair d'iBGP n'annoncera pas le préfixe qu'il a appris d'un pair d'iBGP à un autre pair d'iBGP. Cette restriction est là pour éviter des boucles dans les mêmes QUE. Afin de clarifier ceci, quand une artère est passée à un pair d'eBGP, le numéro de système autonome local obtient ajouté au préfixe dans le comme-chemin, ainsi si nous recevons le même dos de paquet qui énonce le notre COMME dans le comme-chemin, nous savons que c'est une boucle, et que le paquet obtient relâché. Cependant, quand une artère est annoncée à un pair d'iBGP, le numéro de système autonome local n'est pas ajouté au comme-chemin, puisque les pairs sont dans mêmes QUE.
Diagramme du réseau
Configuration ASA-1
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 100
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration ASA-2
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 activate
network 10.10.10.0 mask 255.255.255.0
network 10.180.10.0 mask 255.255.255.0
network 172.16.30.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Différences entre l'eBGP et l'iBGP
- l'eBGP scrute entre l'âne deux différent, tandis que l'iBGP est entre les mêmes QUE.
- Des artères apprises du pair d'eBGP sont annoncées à d'autres pairs (eBGP ou iBGP). Cependant, des artères apprises d'un pair d'iBGP ne sont pas annoncées à d'autres pairs d'iBGP.
- Par défaut, des pairs d'eBGP sont placés avec TTL = 1, qui signifie qu'on assume que des voisins sont directement connectés qui n'est pas dans le cas d'iBGP. Afin de changer ce comportement pour l'eBGP, sélectionnez la commande de l'ebgp-multihop <TTL> du voisin x.x.x.x. La connexion multiple entre deux noeuds est le terme utilisé dans l'eBGP seulement.
- les artères d'eBGP ont une distance administrative de 20, tandis que l'iBGP est 200.
- Le prochain saut reste sans changement quand l'artère est annoncée à un pair d'iBGP. Cependant, il est changé quand il est annoncé à un pair d'eBGP par défaut.
ebgp-multihop
Une ASA avec la proximité BGP avec une autre ASA qui est un saut loin. Pour la proximité vous devez vous veiller pour avoir la Connectivité entre les voisins. Ping afin de confirmer la Connectivité. Assurez que le port TCP 179 est admis dans les deux directions sur les périphériques dans l'intervalle.
Configuration ASA-1
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 198.51.100.1 remote-as 200
neighbor 198.51.100.1 ebgp-multihop 2
neighbor 198.51.100.1 activate
network 192.168.10.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Configuration ASA-2
router bgp 200
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.1 remote-as 100
neighbor 203.0.113.1 ebgp-multihop 2
neighbor 203.0.113.1 activate
network 10.10.10.0 mask 255.255.255.0
network 10.180.10.0 mask 255.255.255.0
network 172.16.30.0 mask 255.255.255.0
no auto-summary
no synchronization
exit-address-family
!
Artère-filtrage BGP
Avec le BGP vous pouvez contrôler une mise à jour de routage qui est envoyée et reçue. Dans cet exemple, une mise à jour de routage est bloquée pour le préfixe réseau 172.16.30.0/24 qui est derrière ASA-2. Pour artère-filtrer, vous pouvez seulement utiliser l'ACL STANDARD.
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0
access-list bgp-in line 2 standard permit any4
router bgp 100
bgp log-neighbor-changes
bgp bestpath compare-routerid
address-family ipv4 unicast
neighbor 203.0.113.2 remote-as 200
neighbor 203.0.113.2 activate
network 192.168.10.0 mask 255.255.255.0
network 172.16.20.0 mask 255.255.255.0
network 10.106.44.0 mask 255.255.255.0
distribute-list bgp-in in
no auto-summary
no synchronization
exit-address-family
!
Vérifiez la table de routage.
ASA-1(config)# show bgp cidr-only
BGP table version is 6, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 192.168.10.0/16 0.0.0.0 0 32768 i
Vérifiez les hitcounts de liste de contrôle d'accès (ACL).
ASA-1(config)# show access-list bgp-in
access-list bgp-in; 2 elements; name hash: 0x3f99de19
access-list bgp-in line 1 standard deny 172.16.30.0 255.255.255.0 (hitcnt=1) 0xb5abad25
access-list bgp-in line 2 standard permit any4 (hitcnt=4) 0x59d08160
De même, vous pouvez employer un ACL afin de filtrer avec ce qui est envoyé « » dans la commande de distribute-list.
Configuration BGP ASA dans le Multi-contexte
Le BGP est pris en charge dans le multi-contexte. Dans le cas du multi-contexte vous le premier besoin de définir le processus de routeur BGP dans le contexte de système. Si vous essayez de créer un processus BGP sans le définir dans le contexte de système, vous obtenez cette erreur.
ASA-1/admin(config)# router bgp 100
%BGP process cannot be created in non-system context
ERROR: Unable to create router process
First we Need to define it in system context.
ASA-1/admin(config)#changeto context system
ASA-1(config)# router bgp 100
ASA-1(config-router)#exit
Now create bgp process in admin context.
ASA-1(config)#changeto context admin
ASA-1/admin(config)# router bgp 100
ASA-1/admin(config-router)#
Vérifiez
Vérifiez la proximité d'eBGP
Vérifiez la connexion TCP sur le port 179.
ASA-1(config)# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00001478 LISTEN 172.16.20.1:443 0.0.0.0:*
TCP 000035e8 LISTEN 203.0.113.1:179 0.0.0.0:*
TCP 00005cd8 ESTAB 203.0.113.1:44368 203.0.113.2:179
SSL 00006658 LISTEN 10.106.44.221:443 0.0.0.0:*
Affichez les voisins BGP.
ASA-1(config)# show bgp neighbors
BGP neighbor is 203.0.113.2, context single_vf, remote AS 200, external link >> eBGP
BGP version 4, remote router ID 203.0.113.2
BGP state = Established, up for 00:04:42
Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
Neighbor sessions:
1 active, is not multisession capable (disabled)
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family IPv4 Unicast: advertised and received
Multisession Capability:
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent Rcvd
Opens: 1 1
Notifications: 0 0
Updates: 2 2
Keepalives: 5 5
Route Refresh: 0 0
Total: 8 8
Default minimum time between advertisement runs is 30 seconds
For address family: IPv4 Unicast
Session: 203.0.113.2
BGP table version 7, neighbor version 7/0
Output queue size : 0
Index 1
1 update-group member
Sent Rcvd
Prefix activity: ---- ----
Prefixes Current: 3 3 (Consumes 240 bytes)
Prefixes Total: 3 3
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 3
Used as multipath: n/a 0
Outbound Inbound
Local Policy Denied Prefixes: -------- -------
Bestpath from this peer: 3 n/a
Total: 3 0
Number of NLRIs in the update sent: max 3, min 0
Address tracking is enabled, the RIB does have a route to 203.0.113.2
Connections established 1; dropped 0
Last reset never
Transport(tcp) path-mtu-discovery is enabled
Graceful-Restart is disabled
Routes BGP
Configuration ASA-1
ASA-1(config)# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 10.106.44.1 to network 0.0.0.0
B 10.10.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B 10.180.10.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
B 172.16.30.0 255.255.255.0 [20/0] via 203.0.113.2, 00:05:48
Configuration ASA-2
ASA-2# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is not set
B 10.106.44.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 172.16.20.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
B 192.168.10.0 255.255.255.0 [20/0] via 203.0.113.1, 00:36:32
Afin de voir des artères pour une ASA specfic, sélectionnez la commande BGP <AS-No.> de show route.
ASA-1(config)# show route bgp ?
exec mode commands/options:
100 Autonomous system number
| Output modifiers
<cr>
Détail spécifique d'artère d'eBGP
ASA-1(config)# show route 172.16.30.0
Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0
Tag 200, type external
Last update from 203.0.113.2 0:09:43 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:09:43 ago
Route metric is 0, traffic share count is 1
AS Hops 1-----------------------------------> ASA HOP is one
Route tag 200
MPLS label: no label string provided
ASA-1(config)# show bgp cidr-only
BGP table version is 7, local router ID is 203.0.113.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.0/24 203.0.113.2 0 0 200 i
*> 10.106.44.0/24 0.0.0.0 0 32768 i
*> 10.180.10.0/24 203.0.113.2 0 0 200 i
*> 172.16.20.0/24 0.0.0.0 0 32768 i
*> 172.16.30.0/24 203.0.113.2 0 0 200 i
Résumé BGP
ASA-1(config)# show bgp summary
BGP router identifier 203.0.113.1, local AS number 100
BGP table version is 7, main routing table version 7
6 network entries using 1200 bytes of memory
6 path entries using 480 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2120 total bytes of memory
BGP activity 6/0 prefixes, 6/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
203.0.113.2 4 200 16 17 7 0 0 00:14:19 3
Dans la version 9.2, une nouvelle commande, show route summary, a été introduite.
ASA-1(config)# show route summary
IP routing table maximum-paths is 3
Route Source Networks Subnets Replicates Overhead Memory (bytes)
connected 0 8 0 704 2304
static 2 5 0 616 2016
ospf 1 0 0 0 0 0
Intra-area: 0 Inter-area: 0 External-1: 0 External-2: 0
NSSA External-1: 0 NSSA External-2: 0
bgp 100 0 3 0 264 864
External: 3 Internal: 0 Local: 0
internal 7 3176
Total 9 16 0 1584 8360
Vérifiez la proximité d'iBGP
ASA-1(config)# show bgp neighbors
BGP neighbor is 203.0.113.2, context single_vf, remote AS 100, internal link >> iBGP
BGP version 4, remote router ID 203.0.113.2
BGP state = Established, up for 00:02:19
Last read 00:00:13, last write 00:00:17, hold time is 180, keepalive interval is
60 seconds
Neighbor sessions:
1 active, is not multisession capable (disabled)
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family IPv4 Unicast: advertised and received
Multisession Capability:
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent Rcvd
Opens: 1 1
Notifications: 0 0
Updates: 2 2
Keepalives: 5 5
Route Refresh: 0 0
Total: 8 8
Default minimum time between advertisement runs is 30 seconds
For address family: IPv4 Unicast
Session: 203.0.113.2
BGP table version 7, neighbor version 7/0
Output queue size : 0
Index 1
1 update-group member
Sent Rcvd
Prefix activity: ---- ----
Prefixes Current: 3 3 (Consumes 240 bytes)
Prefixes Total: 3 3
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 3
Used as multipath: n/a 0
Outbound Inbound
Local Policy Denied Prefixes: -------- -------
Bestpath from this peer: 3 n/a
Total: 3 0
Number of NLRIs in the update sent: max 3, min 0
Address tracking is enabled, the RIB does have a route to 203.0.113.2
Connections established 1; dropped 0
Last reset never
Transport(tcp) path-mtu-discovery is enabled
Graceful-Restart is disabled
Détail spécifique d'artère d'iBGP
ASA-1(config)# show route 172.16.30.0
Routing entry for 172.16.30.0 255.255.255.0
Known via "bgp 100", distance 20, metric 0, type internal
Last update from 203.0.113.2 0:07:05 ago
Routing Descriptor Blocks:
* 203.0.113.2, from 203.0.113.2, 0:07:05 ago
Route metric is 0, traffic share count is 1
AS Hops 0 -------------------->> ASA HOP is 0 as it's internal route
MPLS label: no label string provided
Valeur de TTL pour des paquets BGP
Par défaut, des voisins BGP doivent être directement connectés. C'est parce que la valeur de TTL pour des paquets BGP est toujours 1 (par défaut). Ainsi au cas où un voisin BGP ne serait pas directement connecté, vous devez définir une valeur de multi-alimentation BGP qui dépend de combien de sauts sont dedans dans tout le chemin.
Voici un exemple d'un cas de valeur de TTL directement de connecté :
ASA-1(config)#show cap bgp detail
5: 06:30:19.789769 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
203.0.113.1.44368 > 203.0.113.2.179: S [tcp sum ok] 3733850223:3733850223(0)
win 32768 <mss 1460,nop,nop,timestamp 15488246 0> (DF) [tos 0xc0] [ttl 1] (id 62822)
6: 06:30:19.792286 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 58
203.0.113.22.179 > 203.0.113.1.44368: S [tcp sum ok] 1053711883:1053711883(0)
ack 3733850224 win 16384 <mss 1360> [tos 0xc0] [ttl 1] (id 44962)
7: 06:30:19.792302 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 54
203.0.113.1.44368 > 203.0.113.22.179: . [tcp sum ok] 3733850224:3733850224(0)
ack 1053711884 win 32768 (DF) [tos 0xc0] [ttl 1] (id 52918)
Si des voisins ne vous sont pas directement connecté alors le besoin de sélectionner la commande de multi-alimentation BGP afin de définir combien de SAUTS un voisin est pour augmenter la valeur de TTL dans l'en-tête IP.
Voici un exemple d'une valeur de TTL en cas de connexion multiple entre deux noeuds (dans ce cas le voisin BGP est 1 SAUT loin) :
ASA-1(config)#show cap bgp detail
5: 13:10:04.059963 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 70
203.0.113.1.63136 > 198.51.100.1.179: S [tcp sum ok] 979449598:979449598(0)
win 32768 <mss 1460,nop,nop,timestamp 8799571 0> (DF) [tos 0xc0] (ttl 2, id 62012)
6: 13:10:04.060681 a0cf.5b5c.5060 6c41.6a1f.25e3 0x0800 Length: 70 198.51.100.1.179 >
203.0.113.1.63136: S [tcp sum ok] 0:0(0) ack 979449599 win 32768 <mss 1460,nop,nop,
timestamp 6839704 8799571> (DF) [tos 0xac] [ttl 1] (id 60372)
7: 13:10:04.060696 6c41.6a1f.25e3 a0cf.5b5c.5060 0x0800 Length: 66
203.0.113.1.63136 >198.51.100.1.179: . [tcp sum ok] 979449599:979449599(0) ack 1
win 32768 <nop,nop,timestamp 8799571 6839704> (DF) [tos 0xc0] (ttl 2, id 53699)
Processus récursif de résolution d'artère
ASA-1(config)# show asp table routing
route table timestamp: 66
in 255.255.255.255 255.255.255.255 identity
in 203.0.113.1 255.255.255.255 identity
in 203.47.198.254 255.255.255.255 via 12.13.14.4, outside
in 106.10.199.78 255.255.255.255 via 15.16.17.4, DMZ
in 192.168.0.1 255.255.255.255 identity
in 172.16.20.1 255.255.255.255 identity
in 10.106.44.190 255.255.255.255 identity
in 10.10.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 66)
in 172.16.30.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 64)
in 10.180.10.0 255.255.255.0 via 203.0.113.2, outside (resolved, timestamp: 65)
in 203.0.113.0 255.255.255.0 outside
in 172.16.10.0 255.255.255.0 via 12.13.14.4, outside
in 192.168.10.0 255.255.255.0 via 12.13.14.20, outside
in 192.168.20.0 255.255.255.0 via 15.16.17.4, DMZ
in 172.16.20.0 255.255.255.0 inside
in 10.106.44.0 255.255.255.0 management
in 192.168.0.0 255.255.0.0 DMZ
BGP ASA et capacité de reprise gracieuse
La caractéristique BGP dans la version 9.2.1 ASA ne prend en charge pas l'option gracieuse de reprise négociée dans le message OUVERT BGP. Quand un périphérique de pair envoie à un BGP le message OUVERT, l'ASA relâche le paquet de mise à jour et envoie un message de NOTIFICATION BGP. Ces messages de Syslog sont vus sur l'ASA :
%ASA-3-418018: neighbor 192.168.1.10 Down BGP Notification sent
%ASA-3-418019: sent to neighbor 192.168.1.10/11 (invalid or corrupt AS path) 9 bytes
40020602 010 000 fc08
%ASA-3-418040: unsupported or mal-formatted message received from 192.168.1.10:
Il n'y a rien mal avec l'attribut as_path. C'est parce que l'ASA ne prend en charge pas la capacité de reprise gracieuse dans la version 9.2.1. Ceci a été observé avec des périphériques de Nexus pendant qu'ils négocient la capacité de reprise gracieuse par défaut. Le contournement pour réparer cette question est de désactiver la capacité de reprise gracieuse sur le périphérique de pair. Voyez l'exemple présenté ici. Sur le Nexus 5000, sélectionnez ces commandes :
inside-N5K(config)# router bgp 64520
inside-N5K(config-router)# no graceful-restar
Voir les notes de mise à jour pour la gamme de Cisco ASA, 9.3(x) pour en savoir plus.
BGP support for nonstop forwarding We added support for BGP Nonstop Forwarding. We introduced the following new commands: bgp graceful-restart, neighbor ha-mode graceful-restart
Dépanner
- Après que configuration que vous devez s'assurer les deux périphériques ont la Connectivité. Vérifiez la Connectivité d'ICMP et de port TCP 179.
- Si les pairs BGP ne sont pas directement connectés, alors assurez que vous faites configurer la connexion multiple entre deux noeuds d'eBGP.
- Si la Connectivité est correcte, le socket de TCP sera dans l'état d'ÉTABLISSEMENT dans la sortie de commande de socket de table d'asp d'exposition.
ASA-1(config)# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00001478 LISTEN 172.16.20.1:443 0.0.0.0:*
TCP 000035e8 LISTEN 203.0.113.1:179 0.0.0.0:*
TCP 00005cd8 ESTAB 203.0.113.1:44368 203.0.113.2:179
SSL 00006658 LISTEN 10.106.44.221:443 0.0.0.0:* - Après une prise de contact à trois voies, les deux messages OUVERTS BGP d'échange de pairs et négocient des paramètres.
- Après que l'échange de paramètre, les deux pairs permutent les informations de routage avec un message de MISE À JOUR BGP.
%ASA-7-609001: Built local-host identity:203.0.113.1
%ASA-7-609001: Built local-host outside:203.0.113.2
%ASA-6-302013: Built outbound TCP connection 14 for outside:203.0.113.2/179
(203.0.113.2/179) to identity:203.0.113.1/43790 (203.0.113.1/43790)
%ASA-3-418018: neighbor 203.0.113.2 Up
Si la proximité n'est pas formée même après une prise de contact à trois voies de TCP réussi, alors la question est avec le FSM BGP. Collectez une capture et les Syslog de paquet de l'ASA et les vérifiez qui énoncent que vous avez des questions avec.
Débogage
Sélectionnez la commande de debug ip bgp afin de dépanner des questions connexes de mise à jour de proximité et de routage.
ASA-1(config)# debug ip bgp ?
exec mode commands/options:
A.B.C.D BGP neighbor address
events BGP events
in BGP Inbound information
ipv4 Address family
keepalives BGP keepalives
out BGP Outbound information
range BGP dynamic range
rib-filter Next hop route watch filter events
updates BGP updates
<cr>
Sélectionnez la commande d'événement de debug ip bgp afin de dépanner des questions connexes de proximité.
BGP: 203.0.113.2 active went from Idle to Active
BGP: 203.0.113.2 open active, local address 203.0.113.1
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Adding topology IPv4 Unicast:base
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Send OPEN
BGP: 203.0.113.2 active went from Active to OpenSent
BGP: 203.0.113.2 active sending OPEN, version 4, my as: 100, holdtime 180 seconds,
ID cb007101
BGP: 203.0.113.2 active rcv message type 1, length (excl. header) 34
BGP: ses global 203.0.113.2 (0x00007ffec085c590:0) act Receive OPEN
BGP: 203.0.113.2 active rcv OPEN, version 4, holdtime 180 seconds
BGP: 203.0.113.2 active rcv OPEN w/ OPTION parameter len: 24
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 1, length 4
BGP: 203.0.113.2 active OPEN has MP_EXT CAP for afi/safi: 1/1
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 128, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(old) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 2
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 2, length 0
BGP: 203.0.113.2 active OPEN has ROUTE-REFRESH capability(new) for all address-families
BGP: 203.0.113.2 active rcvd OPEN w/ optional parameter type 2 (Capability) len 6
BGP: 203.0.113.2 active OPEN has CAPABILITY code: 65, length 4
BGP: 203.0.113.2 active OPEN has 4-byte ASN CAP for: 200
BGP: 203.0.113.2 active rcvd OPEN w/ remote AS 200, 4-byte remote AS 200
BGP: 203.0.113.2 active went from OpenSent to OpenConfirm
BGP: 203.0.113.2 active went from OpenConfirm to Established
Sélectionnez la commande de mise à jour de debug ip bgp afin de dépanner conduire les questions liées à la mise à jour.
BGP: TX IPv4 Unicast Mem global 203.0.113.2 Changing state from DOWN to WAIT
(pending advertised bit allocation).
BGP: TX IPv4 Unicast Grp global 4 Created.
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (not in list).
BGP: TX IPv4 Unicast Wkr global 4 Ref Blocked (not in list).
BGP: TX IPv4 Unicast Rpl global 4 1 Created.
BGP: TX IPv4 Unicast Rpl global 4 1 Net bitfield index 0 allocated.
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Added to group (now has 1 members).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Staying in WAIT state
(current walker waiting for net prepend).
BGP: TX IPv4 Unicast Top global Start net prepend.
BGP: TX IPv4 Unicast Top global Inserting initial marker.
BGP: TX IPv4 Unicast Top global Done net prepend (0 attrs).
BGP: TX IPv4 Unicast Grp global 4 Starting refresh after prepend completion.
BGP: TX IPv4 Unicast Wkr global 4 Cur Start at marker 1.
BGP: TX IPv4 Unicast Grp global 4 Message limit changed from 100 to 1000 (used 0 + 0).
BGP: TX IPv4 Unicast Wkr global 4 Cur Unblocked
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Changing state from WAIT to ACTIVE
(ready).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 No refresh required.
BGP: TX IPv4 Unicast Top global Collection done on marker 1 after 0 net(s).
BGP(0): 203.0.113.2 rcvd UPDATE w/ attr: nexthop 203.0.113.2, origin i, metric 0,
merged path 200, AS_PATH
BGP(0): 203.0.113.2 rcvd 10.10.10.0/24
BGP(0): 203.0.113.2 rcvd 172.16.30.0/24
BGP(0): 203.0.113.2 rcvd 10.180.10.0/24-----------------> Routes rcvd from peer
BGP: TX IPv4 Unicast Net global 10.10.10.1/32 Changed.
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 Changed.
BGP(0): Revise route installing 1 of 1 routes for 10.10.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.10.10.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 172.16.30.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 172.16.30.0/24 RIB done.
BGP(0): Revise route installing 1 of 1 routes for 10.180.10.0 255.255.255.0 ->
203.0.113.2(global) to main IP table
BGP: TX IPv4 Unicast Net global 10.180.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Ready in READ-WRITE.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab All topologies are EOR ready.
BGP: TX IPv4 Unicast Tab RIB walk done version 4, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 1.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7b88.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.10.10.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.30.0/24 Skipped.
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.180.10.0/24 Skipped.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 4.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 4.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
0/3 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Checking EORs (0/1).
BGP: TX IPv4 Unicast Mem global 4 1 203.0.113.2 Send EOR.
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global First convergence done.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 1.
BGP: TX IPv4 Unicast Top global Collection reached marker 1 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 3 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 Changed.
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 Changed.
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 Changed.
BGP(0): nettable_walker 10.106.44.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 10.106.44.0/24
BGP: TX IPv4 Unicast Net global 10.106.44.0/24 RIB done.
BGP(0): nettable_walker 172.16.20.0/24 route sourced locally
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 172.16.20.0/24
BGP: TX IPv4 Unicast Net global 172.16.20.0/24 RIB done.
BGP(0): nettable_walker 192.168.10.0/24 route sourced locally---------> Routes
advertised
BGP: topo global:IPv4 Unicast:base Remove_fwdroute for 192.168.10.0/24
BGP: TX IPv4 Unicast Net global 192.168.10.0/24 RIB done.
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
BGP: TX IPv4 Unicast Tab Executing.
BGP: TX IPv4 Unicast Wkr global 4 Cur Processing.
BGP: TX IPv4 Unicast Top global Appending nets from attr 0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Wkr global 4 Cur Attr change from 0x0000000000000000 to
0x00007ffecc9b7c70.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 10.106.44.0/24 Set advertised bit (total 1).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 10.106.44.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 172.16.20.0/24 Set advertised bit (total 2).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 172.16.20.0/24 Formatted.
BGP: TX IPv4 Unicast Rpl global 4 1 Net 192.168.10.0/24 Set advertised bit (total 4).
BGP: TX IPv4 Unicast Wkr global 4 Cur Net 192.168.10.0/24 Formatted.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Top global Added tail marker with version 8.
BGP: TX IPv4 Unicast Wkr global 4 Cur Reached marker with version 8.
BGP: TX IPv4 Unicast Top global No attributes with modified nets.
BGP: TX IPv4 Unicast Wkr global 4 Cur Replicating.
BGP: TX IPv4 Unicast Wkr global 4 Cur Done (end of list), processed 1 attr(s),
4/4 net(s), 0 pos.
BGP: TX IPv4 Unicast Grp global 4 Start minimum advertisement timer (30 secs).
BGP: TX IPv4 Unicast Wkr global 4 Cur Blocked (minimum advertisement interval).
BGP: TX IPv4 Unicast Grp global 4 Converged.
BGP: TX IPv4 Unicast Tab Processed 1 walker(s).
BGP: TX IPv4 Unicast Tab Generation completed.
BGP: TX IPv4 Unicast Top global Deleting first marker with version 4.
BGP: TX IPv4 Unicast Top global Collection reached marker 4 after 0 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 4 net(s).
BGP: TX IPv4 Unicast Top global Collection done on marker 8 after 0 net(s).
BGP: TX Member message pool under period (60 < 600).
BGP: TX IPv4 Unicast Tab RIB walk done version 8, added 1 topologies.
Sélectionnez ces commandes afin de dépanner cette caractéristique :
- affichez le socket de table d'asp
- voisin de show bgp
- show bgp summary
- BGP de show route
- show bgp cidr-only
- show route summary
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)