Inleiding
Dit document beschrijft de verandering in het gedrag van VPN-routeinjectie in de BGP-routeringstabel die begint met versie 7.1.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Kennis van Firepower technologie
- Kennis over het configureren van BGP en Route advertenties
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Secure Firewall Management Center (FMC)
- Cisco Firepower Threat Defense (FTD)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Vereiste is om de VPN-routes te adverteren via BGP.
VPN-routes worden gefilterd met behulp van next-hop matching criteria.
De standaard access-list is geconfigureerd om overeen te komen met een next-hop 0.0.0.0.
Gedragsverandering
In versie 6.6.5 worden VPN-routes geïnjecteerd in de BGP-routeringstabel met de volgende hop ingesteld op 0.0.0.0.
In versie 7.1 worden VPN-routes geïnjecteerd in de BGP-routeringstabel met de volgende hop ingesteld als het IP-adres van het bijbehorende subnet.
Configuratie
BGP-configuratie:
router bgp 12345
bgp log-neighbor-changes
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 172.30.0.21 remote-as 12346
neighbor 172.30.0.21 description CISCO-FTD-B
neighbor 172.30.0.21 transport path-mtu-discovery disable
neighbor 172.30.0.21 timers 10 40
neighbor 172.30.0.21 fall-over bfd
neighbor 172.30.0.21 ha-mode graceful-restart
neighbor 172.30.0.21 activate
neighbor 172.30.0.21 send-community
neighbor 172.30.0.21 route-map VPN_INSIDE_IN in
neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out
redistribute static
redustribute connected
no auto-summary
no synchronization
exit-address-family
Routekaartconfiguratie:
firepower# sh run route-map VPN_INSIDE_OUT
route-map VPN_INSIDE_PRI_OUT permit 10
match ip next-hop NextHopZeroes
firepower# sh run access-list NextHopZeroes
access-list NextHopZeroes standard permit host 0.0.0.0
Met deze configuratie adverteert BGP alleen die routes waarvoor de volgende hop is gedefinieerd als 0.0.0.0.
Installatie van VPN-routes in routingtabel:
firepower# sh route | inc 172.20.192
V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE
Uitvoer van show bgp:
In versie 6.6.5
show bgp :
*> 172.20.192.0/22 0.0.0.0 0 32768 ?
Het is te zien dat het subnet 172.20.192.0/22 is geïnstalleerd in de BGP-tabel met de next-hop IP gedefinieerd als 0.0.0.0.
In versie 7.1
show bgp :
*> 172.20.192.0/22 172.20.192.0 0 32768 ?
Het is te zien dat het subnet 172.20.192.0/22 is geïnstalleerd in de BGP-tabel met de next-hop IP gedefinieerd als het subnet netwerk IP: 172.20.192.0.
impactscenario
Als de configuratie een routekaart bevat die is ingesteld op een next-hop IP van 0.0.0.0, wordt de routefiltering beïnvloed en worden VPN-routes niet geadverteerd.
Werk rond
Twee beschikbare werkrondes:
- Maak een lijst van alle VPN-subnetten en configureer ze afzonderlijk voor advertenties via BGP. Opmerking: deze methode is niet schaalbaar.
- Configureer BGP om lokaal gegenereerde routes te adverteren. Deze configuratieopdracht toepassen:
route-map <route-map-name> permit 10
match route-type local
Door een van de eerder besproken oplossingen te implementeren, adverteert FTD de VPN-geïnjecteerde routes via BGP.