簡介
本文檔描述從7.1版開始向BGP路由表注入VPN路由的行為變化。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower技術知識
- 有關配置BGP和路由通告的知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科安全防火牆管理中心(FMC)
- Cisco Firepower威脅防禦(FTD)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
要求是透過BGP通告VPN路由。
正在使用下一跳匹配條件過濾VPN路由。
標準型存取清單設定為與下一個躍點0.0.0.0相符。
行為更改
在6.6.5版中,VPN路由被注入到BGP路由表中,下一跳設定為0.0.0.0。
在7.1版中,VPN路由被注入到BGP路由表中,下一跳被設定為相應子網的網路IP地址。
組態
BGP配置:
router bgp 12345
bgp log-neighbor-changes
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 172.30.0.21 remote-as 12346
neighbor 172.30.0.21 description CISCO-FTD-B
neighbor 172.30.0.21 transport path-mtu-discovery disable
neighbor 172.30.0.21 timers 10 40
neighbor 172.30.0.21 fall-over bfd
neighbor 172.30.0.21 ha-mode graceful-restart
neighbor 172.30.0.21 activate
neighbor 172.30.0.21 send-community
neighbor 172.30.0.21 route-map VPN_INSIDE_IN in
neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out
redistribute static
redustribute connected
no auto-summary
no synchronization
exit-address-family
路由對映配置:
firepower# sh run route-map VPN_INSIDE_OUT
route-map VPN_INSIDE_PRI_OUT permit 10
match ip next-hop NextHopZeroes
firepower# sh run access-list NextHopZeroes
access-list NextHopZeroes standard permit host 0.0.0.0
透過此設定,BGP只會通告那些將下一個躍點定義為0.0.0.0的路由。
路由表中的VPN路由安裝:
firepower# sh route | inc 172.20.192
V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE
show bgp的輸出:
版本6.6.5
show bgp :
*> 172.20.192.0/22 0.0.0.0 0 32768 ?
可以看到,子網172.20.192.0/22安裝在BGP表中,下一跳IP定義為0.0.0.0。
在7.1版中
show bgp :
*> 172.20.192.0/22 172.20.192.0 0 32768 ?
可以看到,子網172.20.192.0/22安裝在BGP表中,下一跳IP被定義為子網網路IP :172.20.192.0 .
影響方案
如果配置包括匹配下一跳IP為0.0.0.0的路由對映集,則路由過濾會受到影響,並且不會通告VPN路由。
解決方法
兩種可用的工作方式:
- 建立所有VPN子網的清單,並分別配置它們以便通過BGP進行通告。附註:此方法不可擴展。
- 配置BGP以通告本地生成的路由。套用此組態命令:
route-map <route-map-name> permit 10
match route-type local
通過實施前面討論的解決方案之一,FTD將通過BGP通告VPN注入的路由。
意見