Dépannage de l'échec d'établissement de contiguïté eBGP
Table des matières
Problème
La contiguïté eBGP (Border Gateway Protocol) externe entre le pare-feu et les périphériques homologues échoue. Ces symptômes sont observés :
1. L’état homologue sur le pare-feu est inactif :
fw# show bgp summary
BGP router identifier 192.0.2.2, local AS number 65001
BGP table version is 1, main routing table version 1
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
198.51.100.2 4 65002 0 0 1 0 0 never Idle
2. Seuls les paquets TCP SYN du périphérique homologue sont visibles dans les captures d’interface :
fw# cap capo interface WAN-Telekom
fw# show cap capo
26 packets captured
1: 06:22:44.990595 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
2: 06:22:46.990152 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
3: 06:22:50.991007 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
4: 06:22:58.991281 198.51.100.2.31242 > 192.0.2.2.179: S 2838607371:2838607371(0) win 16384 <mss 1460>
3. Une connexion ICMP à l’adresse IP du périphérique homologue a été établie :
fw# ping 198.51.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.51.100.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Cela confirme l'accessibilité du réseau IP entre le pare-feu et le périphérique homologue.
4. Les messages syslog de niveau de débogage indiquent une requête TCP rejetée du périphérique homologue :
fw# show logging
…
May 20 2026 06:32:58: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
May 20 2026 06:33:00: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
May 20 2026 06:33:04: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
May 20 2026 06:33:12: %FTD-7-710005: TCP request discarded from 198.51.100.2/20217 to WAN-Telekom:192.0.2.2/179
5. Les débogages BGP affichent le message « no route to peer » :
fw# debug ip bgp
BGP debugging is on
for address family: IPv4 Unicast
Successfully set for module BGP at level 1
BGP: 198.51.100.2 Active open failed - no route to peer, open active delayed 21504ms (35000ms max, 60% jitter)
Environnement
Topologie
Firepower 2110 exécutant FTD 7.4.4 et géré par le Centre de gestion de pare-feu sécurisé (FMC). D'autres plates-formes matérielles et versions logicielles peuvent également être affectées.
Le pare-feu a une route statique vers l'adresse homologue via l'interface WAN-Telekom connectée au fournisseur d'accès Internet (FAI) :
fw# show route 198.51.100.2
Routing entry for 198.51.100.2 255.255.255.255
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.0.2.1, via WAN-Telekom
Route metric is 0, traffic share count is 1
Le pare-feu a la configuration BGP. L'homologue 198.51.100.2 a un numéro de système autonome différent, donc est externe :
fw# show run router
router bgp 65001
bgp log-neighbor-changes
bgp graceful-restart
address-family ipv4 unicast
neighbor 198.51.100.2 remote-as 65002
neighbor 198.51.100.2 transport path-mtu-discovery disable
neighbor 198.51.100.2 update-source WAN-Telekom
neighbor 198.51.100.2 activate
Résolution
La contiguïté est établie après l'activation de l'option Allow connections with neighbor that is not directly connected dans la section Advanced de la configuration de voisinage BGP et la définition de la valeur TTL Hops sur 255 :
Motif
Par défaut, le pare-feu autorise la contiguïté eBGP entre les homologues connectés directement, c'est-à-dire les homologues du même sous-réseau. Afin d'autoriser la contiguïté entre des homologues non directement connectés, l'option Autoriser les connexions avec le voisin qui n'est pas directement connecté doit être activée. En outre, l'utilisateur peut limiter le nombre de sauts TTL à l'homologue et définir la valeur de durée de vie minimale attendue dans l'en-tête IP du paquet TCP reçu de l'homologue. La valeur par défaut est 1.
Vérification
1. L'option Autoriser les connexions avec le voisin qui n'est pas directement connecté n'est pas configurée :
fw# show bgp neighbors 198.51.100.2 | i External
External BGP neighbor not directly connected.
2. L'option Allow connections with neighbor that is not directly connected est configurée et la valeur TTL Hops est 1 :
fw# show run router bgp | i 198.51.100.2
neighbor 198.51.100.2 remote-as 65002
neighbor 198.51.100.2 ebgp-multihop 1
neighbor 198.51.100.2 transport path-mtu-discovery disable
neighbor 198.51.100.2 update-source WAN-Telekom
neighbor 198.51.100.2 activate
fw# show bgp neighbors 198.51.100.2 | i External
External BGP neighbor not directly connected.
3. L'option Allow connections with neighbor that is not directly connected est configurée et la valeur TTL Hops est 255 :
fw# show run router bgp | i 198.51.100.2
neighbor 198.51.100.2 remote-as 65002
neighbor 198.51.100.2 ebgp-multihop 255
neighbor 198.51.100.2 transport path-mtu-discovery disable
neighbor 198.51.100.2 update-source WAN-Telekom
neighbor 198.51.100.2 activate
fw# show bgp neighbors 198.51.100.2 | i External
External BGP neighbor may be up to 255 hops away.
Autres informations utiles
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
20-May-2026
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)