Flap de session BGP en raison des limites de préfixe de route dans l'accès sécurisé à l'intégration Direct Connect AWS
Table des matières
Problème
Les sessions BGP sont instables sur un tunnel de site à site entre Cisco Secure Access et AWS Direct Connect. L'instabilité se produit parce que le nombre de préfixes de route annoncés à partir de Secure Access dépasse les limites AWS Direct Connect, ce qui empêche un échange de route stable et affecte la capacité à établir une connectivité cohérente entre Secure Access et AWS.
Environnement
Cisco Secure Access (CSA)
Connexion directe AWS avec routage BGP
Configuration de tunnel site à site entre Secure Access et AWS
AWS Direct Connect - Limite de préfixe BGP de 100 routes
Résolution
La résolution implique plusieurs approches pour répondre à la contrainte de limite de préfixe BGP.
L'analyse des paquets réseau révèle des messages de NOTIFICATION BGP indiquant que le nombre maximal de préfixes a été atteint :
Border Gateway Protocol - NOTIFICATION Message
Length: 28
Type: NOTIFICATION Message (3)
Major error Code: Cease (6)
Minor error Code (Cease): Maximum Number of Prefixes Reached (1)
Solutions de contournement immédiates
Option 1: Filtrage de route côté AWS
Évaluez les options côté AWS pour ignorer ou filtrer les préfixes de route entrants de Secure Access pour rester dans la limite de 100 préfixes imposée par AWS Direct Connect.
Option 2: Implémentation de la passerelle de transit AWS
Envisagez de migrer vers une passerelle de transit AWS en tant que modèle de connectivité alternatif. Cette approche peut offrir des options de routage plus flexibles et aider à contourner les limitations de préfixe Direct Connect.
Solution à long terme
Implémentation de demande de fonctionnalité
Une demande de fonctionnalité (CSE-I-4783) a été déposée pour permettre le filtrage de route ou les fonctionnalités de résumé sur l'accès sécurisé. Cette amélioration permettrait :
Récapitulation de route pour réduire le nombre de préfixes annoncés
Filtrage de route pour contrôler les préfixes annoncés à AWS Direct Connect
Meilleur contrôle des annonces BGP du côté de l'accès sécurisé
Étapes de mise en oeuvre
1: Examiner les limitations de la connexion directe AWS. Consultez la documentation sur les limites AWS Direct Connect pour comprendre les contraintes spécifiques.
2: Évaluer les annonces de routage actuelles. Analysez le nombre actuel de routes annoncées à partir de l'accès sécurisé pour déterminer combien dépassent la limite AWS de 100 préfixes.
3: Mettez en oeuvre une solution immédiate. Choisissez entre le filtrage côté AWS ou la mise en oeuvre de la passerelle de transit en fonction des exigences de l'architecture réseau et des besoins de l'entreprise.
4: Surveillez la progression de la demande de fonctionnalité. Collaborer avec les équipes de compte Cisco concernées afin d'examiner la faisabilité et l'impact de la demande de fonction de résumé/filtrage de routage proposée.
Motif
La cause première est une limitation fondamentale dans AWS Direct Connect, qui limite les annonces de route BGP à un maximum de 100 préfixes. Cisco Secure Access annonce plus de 100 préfixes de route, ce qui entraîne l'envoi par AWS Direct Connect de messages de NOTIFICATION BGP avec le code d'erreur « Maximum Number of Prefixes Reached » et, par la suite, la fermeture de la session BGP. Ceci crée un cycle d'établissement et de déconnexion de session, résultant en un comportement de battement de session BGP observé.
Autres informations utiles
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
14-May-2026
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)