Flapping della sessione BGP causato dai limiti del prefisso della route nell'accesso sicuro all'integrazione della connessione diretta AWS
Sommario
Problema
Nelle sessioni BGP si verifica lo sfarfallio su un tunnel da sito a sito tra Cisco Secure Access e AWS Direct Connect. L'instabilità si verifica perché il numero di prefissi di route annunciati da Secure Access supera i limiti della connessione diretta AWS, impedendo uno scambio di route stabile e impedendo la possibilità di stabilire una connettività coerente tra Secure Access e AWS.
Ambiente
Cisco Secure Access (CSA)
AWS Direct Connect con routing BGP
Configurazione del tunnel da sito a sito tra Secure Access e AWS
Limite di prefissi BGP di AWS Direct Connect di 100 route
Risoluzione
La risoluzione implica diversi approcci per risolvere il vincolo del limite del prefisso BGP.
L'analisi dei pacchetti di rete rivela messaggi BGP NOTIFICATION che indicano che è stato raggiunto il numero massimo di prefissi:
Border Gateway Protocol - NOTIFICATION Message
Length: 28
Type: NOTIFICATION Message (3)
Major error Code: Cease (6)
Minor error Code (Cease): Maximum Number of Prefixes Reached (1)
Soluzioni immediate
Opzione 1: Filtraggio route lato AWS
Valutare le opzioni del lato AWS per ignorare o filtrare i prefissi di route in ingresso da Secure Access e rimanere entro il limite di 100 prefissi imposto da AWS Direct Connect.
Opzione 2: Implementazione gateway di transito AWS
Prendere in considerazione la migrazione a un gateway di transito AWS come modello di connettività alternativo. Questo approccio può fornire opzioni di routing più flessibili e può aiutare ad aggirare le limitazioni del prefisso della connessione diretta.
Soluzione a lungo termine
Implementazione richiesta funzionalità
È stata archiviata una richiesta di funzionalità (CSE-I-4783) per consentire il filtro dei percorsi o funzionalità di riepilogo sull'accesso sicuro. Questo miglioramento consentirebbe di:
Riepilogo route per ridurre il numero di prefissi annunciati
Filtraggio route per controllare quali prefissi vengono annunciati alla connessione diretta AWS
Maggiore controllo sugli annunci BGP dal lato dell'accesso sicuro
Fasi di implementazione
1: Esaminare le limitazioni di AWS Direct Connect. Per informazioni sui vincoli specifici, consultare la documentazione sui limiti di connessione diretta AWS.
2: Valuta gli annunci route correnti. Analizza il numero corrente di route annunciate da Secure Access per determinare quante superano il limite AWS di 100 prefissi.
3: Implementazione immediata della soluzione alternativa. È possibile scegliere tra l'implementazione di un filtro AWS o di un gateway di transito in base ai requisiti dell'architettura di rete e alle esigenze aziendali.
4: Monitorare lo stato della richiesta di funzionalità. Collabora con i team Cisco competenti per esaminare la fattibilità e l'impatto della richiesta proposta di funzionalità di filtro/riepilogo delle route.
Causa
La causa principale è una limitazione fondamentale di AWS Direct Connect, che limita gli annunci delle route BGP a un massimo di 100 prefissi. Cisco Secure Access sta pubblicizzando più di 100 prefissi di route. In questo modo, AWS Direct Connect invia messaggi BGP NOTIFICATION con il codice di errore "Numero massimo di prefissi raggiunti" e quindi interrompe la sessione BGP. In questo modo viene creato un ciclo di definizione e disinstallazione delle sessioni, che determina il comportamento di flapping delle sessioni BGP osservato.
Contenuto correlato
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
14-May-2026
|
Versione iniziale |
Feedback