BGP multipath configureren in Secure Firewall Threat Defence

Downloadopties

  • PDF     (561.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (385.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (278.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 maart 2025
Document-id:222861

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u BGP-multipath (border gateway protocol) kunt configureren in Cisco Secure Firewall Threat Defence.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • BGP-configuratie op Cisco Secure Firewall Threat Defence (FTD)
    • Algemene BGP
    • Cisco Secure Firewall Management Center (FMC)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op deze software- en hardwareversie:

    • Cisco FTD versie 7.6
    • Cisco FMC versie 7.6

    Vrijwaring: De netwerken en IP-adressen waarnaar in dit document wordt verwezen, zijn niet gekoppeld aan individuele gebruikers, groepen of organisaties. Deze configuratie is exclusief gemaakt voor gebruik in een laboratoriumomgeving.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document beschrijft hoe u BGP multipath werklastverdeling moet configureren in Firepower Threat Defence wanneer een route naar dezelfde bestemming wordt ontvangen van verschillende routers in hetzelfde AS (bijvoorbeeld dezelfde ISP).

    BGP multipath maakt installatie in de IP-routeringstabel mogelijk van meerdere gelijkwaardige BGP-paden naar dezelfde doelprefix. Het verkeer naar de bestemmingsprefix wordt vervolgens gedeeld over alle geïnstalleerde paden.

    Deze paden worden toegevoegd aan de routeringstabel naast het beste pad voor doeleinden om de lading te delen. BGP Multipath heeft geen invloed op het proces voor het selecteren van het beste pad. Een FTD selecteert bijvoorbeeld nog steeds één pad als het beste gebaseerd op het algoritme en adverteert dit beste pad naar zijn BGP-peers.

    Om in aanmerking te komen als kandidaten voor multipath, moeten paden naar dezelfde bestemming overeenkomen met het beste pad in deze kenmerken:

    • Gewicht
    • Lokale voorkeur
    • LENGTE AS-PATH
    • Oorsprongscode
    • Meervoudige exitonderscheiding (MED)

    Een van de volgende:

    • Aangrenzend AS of sub-AS (vóór BGP multipath toevoeging)
    • AS-PATH (volgende BGP multipath toevoeging)

    Bepaalde BGP multipath-functies leggen verdere eisen op aan multipath kandidaten:

    • Het pad moet afkomstig zijn van een externe of confederatie-externe buur (eBGP).
    • De IGP-metriek met de volgende BGP-hop moet overeenkomen met de IGP-metriek van het beste pad.

    Voor interne iBGP-multipath kandidaten zijn de volgende aanvullende vereisten van toepassing:

    • Het pad moet worden geleerd van een interne buur (iBGP).
    • De IGP-metriek met de volgende hop in de BGP moet overeenkomen met de beste IGP-metriek paden, tenzij de router is ingesteld voor oneven kosten van iBGP-multipath.

    BGP voegt tot n meest recent ontvangen paden van multipath kandidaten in de IP-routeringstabel in, waar n het aantal routes is dat moet worden geïnstalleerd aan de routeringstabel, zoals gespecificeerd wanneer u BGP Multipath configureert. Het bereik van de waarden voor n is van 1-8 voor FTD. De standaardwaarde, wanneer multipath is uitgeschakeld, is 1.

    note-icon

    Opmerking: Het equivalente volgende-hop-zelf wordt uitgevoerd op het beste pad dat is geselecteerd onder eBGP multipath voordat het wordt doorgestuurd naar interne peers.

    Configureren

    Diagram

    Network DiagramNetwerkdiagram

    BGP-configuratie

    Ga naar Apparaten > Apparaatbeheer > Apparaat bewerken > Routing > BGP > IPv4 om BGP te configureren nadat u het hebt ingeschakeld.

    BGP ConfigurationBGP-configuratie

    BGP-configuratie van LINA:

    router bgp 177
     bgp log-neighbor-changes
     bgp router-id 1.1.x.x
     bgp router-id vrf auto-assign
     address-family ipv4 unicast
      neighbor 10.197.200.72 remote-as 188
      neighbor 10.197.200.72 transport path-mtu-discovery disable
      neighbor 10.197.200.72 activate
      neighbor 10.197.200.227 remote-as 188
      neighbor 10.197.200.227 transport path-mtu-discovery disable
      neighbor 10.197.200.227 activate
      no auto-summary
      no synchronization
     exit-address-family
    !

    Twee BGP-buren van hetzelfde AS:

    ftd1# show bgp summary
    BGP router identifier 1.1.x.x, local AS number 177
    BGP table version is 9, main routing table version 9
    2 network entries using 400 bytes of memory
    4 path entries using 320 bytes of memory
    1/1 BGP path/bestpath attribute entries using 208 bytes of memory
    1 BGP AS-PATH entries using 40 bytes of memory
    0 BGP route-map cache entries using 0 bytes of memory
    0 BGP filter-list cache entries using 0 bytes of memory
    BGP using 968 total bytes of memory
    BGP activity 4/2 prefixes, 10/6 paths, scan interval 60 secs

    Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
    10.197.200.72   4          188 67      66             9    0    0 01:10:15  1      
    10.197.200.227  4          188 60      60             9    0    0 01:00:56  1      

    Bericht dat er twee geldige routes zijn die voor zelfde bestemmingsnetwerk worden ontvangen, één van elke buur.

    ftd1# show bgp 192.168.10.0 255.255.255.0
    BGP routing table entry for 192.168.10.0/24, version 9
    Paths: (2 available, best #2, table default)
      Advertised to update-groups: 3
      188 200
        10.197.200.227 from 10.197.200.227 (3.3.x.x)
          Origin incomplete, localpref 100, valid, external
      188 200
        10.197.200.72 from 10.197.200.72 (2.2.x.x)
          Origin incomplete, localpref 100, valid, external, best

    U kunt zien dat het beste pad dat geselecteerd en geïnstalleerd is in de routeringstabel, het pad is dat ontvangen wordt van buur 10.197.200.72.

    ftd1# show route bgp
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.72, 00:01:55

    BGP multipath configuratie

    Configureer BGP multipath onder Apparaten > Apparaatbeheer > Apparaat bewerken > Routing > BGP > IPv4 > Voorwaartse pakketten bewerken via meerdere paden.

    BGP Multipath in FMC - GeneralBGP multipath in FMC

    BGP Multipath in FMC - Edit Forward Packets over Multi PathsBGP multipath in FMC

    Sla de wijzigingen op en implementeer.

    Verifiëren

    BGP-configuratie van LINA na multipath inschakelen:

    ftd1# sh run router
    router bgp 177
    bgp log-neighbor-changes
    bgp router-id 1.1.x.x
    bgp router-id vrf auto-assign
    address-family ipv4 unicast
    neighbor 10.197.200.72 remote-as 188
    neighbor 10.197.200.72 transport path-mtu-discovery disable
    neighbor 10.197.200.72 activate
    neighbor 10.197.200.227 remote-as 188
    neighbor 10.197.200.227 transport path-mtu-discovery disable
    neighbor 10.197.200.227 activate
    maximum-paths 2
    no auto-summary
    no synchronization
    exit-address-family

    Let op de m voor een van de routes die op multipath wijzen

    ftd1# show bgp

    BGP table version is 11, local router ID is 1.1.x.x
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
    r RIB-failure, S Stale, m multipath
    Origin codes: i - IGP, e - EGP, ? - incomplete

    Network Next Hop Metric LocPrf Weight Path
    *m 192.168.10.0 10.197.200.227 0 188 200 ?
    *> 10.197.200.72 0 188 200 ?

    ftd1# show bgp 192.168.10.0 255.255.255.0 
    BGP routing table entry for 192.168.10.0/24, version 11
    Paths: (2 available, best #2, table default)
    Multipath: eBGP
    Advertised to update-groups: 3
    188 200 
    10.197.200.227 from 10.197.200.227 (3.3.x.x)
    Origin incomplete, localpref 100, valid, external, multipath
    188 200 
    10.197.200.72 from 10.197.200.72 (2.2.x.x)
    Origin incomplete, localpref 100, valid, external, multipath, best

    Bericht dat, nu er twee routes aan de zelfde die bestemming in de routeringstabel wordt geïnstalleerd na het toelaten van BGP multipath zijn.

    ftd1# show route bgp
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B 192.168.10.0 255.255.255.0 [20/0] via 10.197.200.227, 00:01:17
                                 [20/0] via 10.197.200.72, 00:01:17

    Problemen oplossen 

    1. Controleer de BGP-configuratie: 

    Gebruik tonen bgp-opdracht om de BGP-tabel te controleren en ervoor te zorgen dat meerdere paden als meervoudig worden gemarkeerd.

    Bevestig dat het aantal paden zo is geconfigureerd dat meerdere paden zijn toegestaan.

    2. Controleer padkenmerken: 

    Zorg ervoor dat de paden dezelfde BGP-kenmerken hebben als voor multipath; zoals gewicht, lokale voorkeur, AS Path Lengte enzovoort.

    3. Controle van het delen van de lading: 

    Gebruik de opdracht show route om te verifiëren dat de paden worden gebruikt voor het delen van ladingen. De uitvoer moet meerdere paden voor dezelfde bestemming tonen.

    Vraag en antwoord

    1.Is het commando bgp bestpath as-path multipath-relaxen ondersteund in FTD via Flex config voor load sharing?

    Neen, er is al een uitbreiding voor ondersteuning in FTD/ASA. Cisco bug-id CSCvw16654

    Gerelateerde informatie

    Probleemoplossing voor algemene BGP-problemen

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    19-Mar-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Sangeeth Namath
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten