BGP AS Override configureren in Secure Firewall
Inleiding
In dit document wordt beschreven hoe u BGP Autonomous System (AS) Override configureert in Cisco Secure Firewall Threat Defense.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- BGP (Border Gateway Protocol)
- Cisco Secure Firewall Management Center (FMC)
- Cisco Secure Firewall Threat Defense (FTD)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Secure Firewall Management Center met versie 7.7.0.
- Cisco Secure Firewall Threat Defense met versie 7.7.0.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Voor grote bedrijven met geografisch verspreide locaties kan het bereiken van end-to-end bereikbaarheid een uitdaging zijn wanneer meerdere locaties hetzelfde nummer van het Autonomous System (AS) gebruiken. Huidig BGP-gedrag is om de ontvangen routeringsupdates weg te gooien als het AS-pad het AS-nummer van zichzelf bevat, om lussen in het netwerk te voorkomen.
De 7.6-versie introduceerde as-override ondersteuning specifiek voor SD-WAN-gerelateerde use cases. Vanaf versie 7.7 is as-override-ondersteuning voor eBGP echter beschikbaar voor alle implementaties vanwege de vereiste routering. Hierdoor kunt u identieke sites met hetzelfde AS-nummer hebben.
Toepassingen en managers:
| FTD | Alle FTD-platforms |
|
FMC op 7.7.0 FMC REST API |
Ja Ja |
| Versies voor FTD-ondersteuning | alleen 7.7.0 |
| Ondersteuning snuiven | Korten 3 |
| FDM op 7.7.0 | Niet ondersteund |
BGP AS overschrijft pakketverwerkingsstroom
- BGP stuurt routeupdates naar zijn collega's / buren via UPDATEberichten.
- Bekende, verplichte attributen worden herkend door alle BGP-peers, doorgegeven aan alle peers en aanwezig in alle UPDATE-berichten.
- AS-path attribuut in het UPDATE bericht bevat een geordende lijst van alle autonome systemen waar deze update doorheen is gegaan.
- Wanneer as-override CLI is ingeschakeld, wordt elk voorkomen van het AS-nummer van de buren vervangen door het lokale AS-nummer in het as-pad.
Configureren
Netwerkdiagram
Topologie
route-updatestroom
- Site A en Site B zijn twee identieke sites met apparaten/peers met hetzelfde AS-nummer.
- In dit geval is 10.1.1.1/32 het prefix/route-update dat wordt geadverteerd van CE1 van site A naar CE2 van site B via FTD.
- Voordat as-override wordt ingeschakeld, stuurt de FTD de routeupdates door zoals deze is naar CE2 van site B. Maar CE2 verwijdert de route-update bij ontvangst ervan omdat het zijn eigen AS-nummer in het as-pad ziet (600).
- Nadat as-override is ingeschakeld, stuurt de FTD de routeupdate door naar CE2 door het AS-nummer van CE1 in het as-pad te vervangen door het eigen/lokale AS-nummer (500). CE2 accepteert nu de route-update.
Overzicht van functies
- Nieuw selectievakje in FMC om AS Override in te schakelen.
- Nieuwe CLI-opdracht buurman <buurman-ip-adres> als-overschrijvingen wordt geïntroduceerd in BGP als onderdeel van deze functie.
Opmerking: de BGP AS Override-functie is alleen beschikbaar voor configuratie via het Secure Firewall Management Center (FMC).
Configuratiestappen voor FMC
Stap 1: Navigeer naar Apparaten > Apparaatbeheer en bewerk het apparaat voor bedreigingsbeveiliging.
Stap 2: Selecteer Routing.
Stap 3: (Voor een apparaat dat geschikt is voor een virtuele router) Klik onder Algemene instellingen op BGP.
Stap 4: Schakel het selectievakje BGP inschakelen in om het BGP-routeringsproces in te schakelen.
Opmerking: Als u BGP-routering wilt configureren, raadpleegt u Apparaatconfiguratiehandleiding 7.7 van Cisco Secure Firewall Management Center
BGP IPv4-buur
- AS Override inschakelen voor 198.51.100.2-buren.
- Klik op Opslaan en implementeren.
AS-overschrijving inschakelen
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Einde FTD:
FTD# show running-config router bgp all
router bgp 500
bgp log-neighbor-changes
address-family ipv4 unicast (Same applicable for IPv6 as well)
neighbor 192.0.2.2 remote-as 600
neighbor 192.0.2.2 update-source Outside-1
neighbor 192.0.2.2 activate
neighbor 198.51.100.2 remote-as 600
neighbor 198.51.100.2 update-source Outside-2
neighbor 198.51.100.2 activate
neighbor 198.51.100.2 as-override
no auto-summary
no synchronization
exit-address-family
FTD# show bgp ipv4 unicast neighbors 198.51.100.2
BGP neighbor is 198.51.100.2, vrf single_vf, remote AS 600, external link
BGP version 4, remote router ID 198.51.100.2
BGP state = Established, up for 01:13:02
Last read 00:00:07, last write 00:00:54, hold time is 180, keepalive interval is 60 seconds
Neighbor sessions:
1 active, is not multisession capable (disabled)
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family IPv4 Unicast: advertised and received
Multisession Capability:
Message statistics:
InQ depth is 0
OutQ depth is 0
.
.
For address family: IPv4 Unicast
Session: 198.51.100.2
BGP table version 4, neighbor version 4/0
Output queue size : 0
Index 5
5 update-group member
Overrides the neighbor AS with my AS before sending updates
.
.
Transport(tcp) path-mtu-discovery is disabled
Graceful-Restart is disabled
FTD# show bgp ipv4 unicast neighbors 198.51.100.2 advertised-routes
BGP table version is 4, local router ID is 198.51.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.1/32 192.0.2.2 0 0 600 i
Total number of prefixes 1
Einde ontvangers:
As-path for 10.1.1.1/32 prefix/route has been modified from 600 to 500 by FTD (where as-override is enabled)
Cisco_C1127#show bgp ipv4 unicast
BGP table version is 10, local router ID is 198.51.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.1/32 198.51.100.1 0 500 500 i
Cisco_C1127#show bgp ipv4 unicast 10.1.1.1
BGP routing table entry for 10.1.1.1/32, version 10
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
500 500
198.51.100.1 from 198.51.100.1 (198.51.100.1)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
Updated on Apr 6 2025 17:02:24 UTC
Problemen oplossen
Opdrachten
- toon uitvoeren router bgp alle moet AS-override CLI ingeschakeld in FTD.
-
toon bgp <ipv4/ipv6> unicast-buren op FTD moeten deze tekst opgeven die aangeeft dat as-override is ingeschakeld -> Hiermee overschrijft u de buurman AS met mijn AS voordat u updates verzendt.
- BGP <IPv4/IPv6>Unicast aan het uiteinde van de ontvanger moet de gewijzigde padinformatie hebben.
Debugs
debug ip bgp updates
debug ip bgp ipv6 unicast updates
debug ip bgp all updates
Opmerking: Er zijn geen wijzigingen in de debugs voor en na het inschakelen van as-override.
Systeembestanden
Dit logbestand bevat informatie over de implementatie van de functie as-override van FMC.
/opt/CSCOpx/MDC/log/operation/vmsbesvcs.log
router bgp 500
address-family ipv4 unicast
neighbor 198.51.100.2 as-override
exit-address-family
Gerelateerde informatie
Cisco Technical Support en downloads
Apparaatconfiguratiehandleiding Cisco Secure Firewall Management Center, 7.7
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
12-Apr-2025
|
De typografische fout bijwerken |
1.0 |
08-Apr-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)