Gedragsverandering voor VPN-routeadvertenties in BGP vanaf 7.1

Downloadopties

  • PDF     (250.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (68.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:25 juli 2024
Document-id:222214

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de verandering in het gedrag van VPN-routeinjectie in de BGP-routeringstabel die begint met versie 7.1.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Kennis van Firepower technologie
    • Kennis over het configureren van BGP en Route advertenties

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Secure Firewall Management Center (FMC)
    • Cisco Firepower Threat Defense (FTD)

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Vereiste is om de VPN-routes te adverteren via BGP.

    VPN-routes worden gefilterd met behulp van next-hop matching criteria.

    De standaard access-list is geconfigureerd om overeen te komen met een next-hop 0.0.0.0.

    Gedragsverandering

    In versie 6.6.5 worden VPN-routes geïnjecteerd in de BGP-routeringstabel met de volgende hop ingesteld op 0.0.0.0.

    In versie 7.1 worden VPN-routes geïnjecteerd in de BGP-routeringstabel met de volgende hop ingesteld als het IP-adres van het bijbehorende subnet.

    Configuratie

    BGP-configuratie:

    router bgp 12345
 bgp log-neighbor-changes
 bgp router-id vrf auto-assign
 address-family ipv4 unicast
  neighbor 172.30.0.21 remote-as 12346
  neighbor 172.30.0.21 description CISCO-FTD-B
  neighbor 172.30.0.21 transport path-mtu-discovery disable
  neighbor 172.30.0.21 timers 10 40
  neighbor 172.30.0.21 fall-over bfd
  neighbor 172.30.0.21 ha-mode graceful-restart
  neighbor 172.30.0.21 activate
  neighbor 172.30.0.21 send-community
  neighbor 172.30.0.21 route-map VPN_INSIDE_IN in
  neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out
  redistribute static
  redustribute connected
  no auto-summary
  no synchronization
 exit-address-family

    Routekaartconfiguratie:

    firepower# sh run route-map VPN_INSIDE_OUT

route-map VPN_INSIDE_PRI_OUT permit 10
 match ip next-hop NextHopZeroes

firepower# sh run access-list NextHopZeroes
access-list NextHopZeroes standard permit host 0.0.0.0

    Met deze configuratie adverteert BGP alleen die routes waarvoor de volgende hop is gedefinieerd als 0.0.0.0.

    Installatie van VPN-routes in routingtabel:

    firepower# sh route | inc 172.20.192 
    V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE

    Uitvoer van show bgp:

    In versie 6.6.5

    show bgp :
    *> 172.20.192.0/22 0.0.0.0 0 32768 ?

    Het is te zien dat het subnet 172.20.192.0/22 is geïnstalleerd in de BGP-tabel met de next-hop IP gedefinieerd als 0.0.0.0.

    In versie 7.1

    show bgp : 
    *> 172.20.192.0/22 172.20.192.0 0 32768 ?

    Het is te zien dat het subnet 172.20.192.0/22 is geïnstalleerd in de BGP-tabel met de next-hop IP gedefinieerd als het subnet netwerk IP: 172.20.192.0.

    impactscenario

    Als de configuratie een routekaart bevat die is ingesteld op een next-hop IP van 0.0.0.0, wordt de routefiltering beïnvloed en worden VPN-routes niet geadverteerd.

    Werk rond

    Twee beschikbare werkrondes:

    1. Maak een lijst van alle VPN-subnetten en configureer ze afzonderlijk voor advertenties via BGP. Opmerking: deze methode is niet schaalbaar.
    2. Configureer BGP om lokaal gegenereerde routes te adverteren. Deze configuratieopdracht toepassen: 
    route-map <route-map-name> permit 10
    match route-type local

    Door een van de eerder besproken oplossingen te implementeren, adverteert FTD de VPN-geïnjecteerde routes via BGP.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    25-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Kunal Khapekar
      Technisch leider op het gebied van Customer Delivery Engineering

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten