المقدمة
يصف هذا المستند التغيير في سلوك حقن مسار VPN في جدول توجيه BGP بدءا من الإصدار 7.1.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة تقنية FirePOWER
- معرفة حول تكوين بروتوكول بوابة الحدود (BGP) وإعلان المسار
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مركز إدارة جدار الحماية الآمن (FMC) من Cisco
- الدفاع ضد تهديد FirePOWER (FTD) من Cisco
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
متطلب أن يعلن ال VPN إتجاه عبر BGP.
تتم تصفية مسارات شبكات VPN باستخدام معايير مطابقة الخطوة التالية.
يتم تكوين قائمة الوصول القياسية لمطابقة المرحلة التالية 0.0.0.0.
تغيير السلوك
في الإصدار 6.6.5، يتم حقن مسارات VPN في جدول توجيه BGP مع تعيين الخطوة التالية على 0.0.0.0.
في الإصدار 7.1، يتم حقن مسارات VPN في جدول توجيه BGP مع تعيين الخطوة التالية كعنوان IP للشبكة للشبكة الفرعية المقابلة.
التكوين
تكوين BGP:
router bgp 12345 bgp log-neighbor-changes bgp router-id vrf auto-assign address-family ipv4 unicast neighbor 172.30.0.21 remote-as 12346 neighbor 172.30.0.21 description CISCO-FTD-B neighbor 172.30.0.21 transport path-mtu-discovery disable neighbor 172.30.0.21 timers 10 40 neighbor 172.30.0.21 fall-over bfd neighbor 172.30.0.21 ha-mode graceful-restart neighbor 172.30.0.21 activate neighbor 172.30.0.21 send-community neighbor 172.30.0.21 route-map VPN_INSIDE_IN in neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out redistribute static redustribute connected no auto-summary no synchronization exit-address-family
تكوين خريطة المسار:
firepower# sh run route-map VPN_INSIDE_OUT route-map VPN_INSIDE_PRI_OUT permit 10 match ip next-hop NextHopZeroes firepower# sh run access-list NextHopZeroes access-list NextHopZeroes standard permit host 0.0.0.0
باستخدام هذا التكوين، يعلن BGP فقط عن الموجهات التي يتم تعريف الخطوة التالية لها على 0.0.0.
تثبيت مسارات VPN في جدول التوجيه:
firepower# sh route | inc 172.20.192
V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE
إخراج show bgp:
في الإصدار 6.6.5
show bgp :
*> 172.20.192.0/22 0.0.0.0 0 32768 ?
يمكن ملاحظة أنه يتم تثبيت الشبكة الفرعية 172.20.192.0/22 في جدول BGP مع تحديد عنوان IP للخطوة التالية على 0.0.0.0.
في الإصدار 7.1
show bgp :
*> 172.20.192.0/22 172.20.192.0 0 32768 ?
يمكن ملاحظة أنه يتم تثبيت الشبكة الفرعية 172.20.192.0/22 في جدول BGP مع تحديد IP الخطوة التالية على أنه شبكة IP: 172.20.192.0.
سيناريو التأثير
إذا كان التكوين يتضمن خريطة مسار تم تعيينها لمطابقة عنوان IP للخطوة التالية من 0.0.0.0، فيتأثر تصفية المسار، ولا يتم الإعلان عن موجهات VPN.
العمل في الجوار
مكبرا عمل متوفران:
- قم بإنشاء قائمة بجميع الشبكات الفرعية لشبكة VPN وتكوينها بشكل فردي للإعلان عبر BGP. ملاحظة: هذه الطريقة غير قابلة للتطوير.
- قم بتكوين BGP للإعلان عن الموجهات التي تم إنشاؤها محليا. تطبيق أمر التكوين هذا:
route-map <route-map-name> permit 10
match route-type local
ومن خلال تنفيذ أحد الحلول التي تمت مناقشتها سابقا، يقوم برنامج الإرسال فائق السرعة (FTD) بالإعلان عن المسارات التي تم حقنها عبر بروتوكول VPN.
التعليقات