Modifica del comportamento per l'annuncio route VPN in BGP a partire da 7.1

Opzioni per il download

  • PDF     (233.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:25 luglio 2024
ID documento:222214

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il cambiamento di comportamento dell'inserimento della route VPN nella tabella di routing BGP a partire dalla versione 7.1.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenza della tecnologia Firepower
    • Conoscenza della configurazione di BGP e dell'annuncio route

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Secure Firewall Management Center (FMC)
    • Cisco Firepower Threat Defense (FTD)

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Il requisito è annunciare le route VPN su BGP.

    Le route VPN vengono filtrate utilizzando criteri di corrispondenza hop successivo.

    L'elenco degli accessi standard è configurato in modo da corrispondere all'hop successivo 0.0.0.0.

    Modifica del comportamento

    Nella versione 6.6.5, le route VPN vengono inserite nella tabella di routing BGP con l'hop successivo impostato su 0.0.0.0.

    Nella versione 7.1, le route VPN vengono inserite nella tabella di routing BGP con l'hop successivo impostato come indirizzo IP di rete della subnet corrispondente.

    Configurazione

    Configurazione BGP:

    router bgp 12345 bgp log-neighbor-changes bgp router-id vrf auto-assign address-family ipv4 unicast neighbor 172.30.0.21 remote-as 12346 neighbor 172.30.0.21 description CISCO-FTD-B neighbor 172.30.0.21 transport path-mtu-discovery disable neighbor 172.30.0.21 timers 10 40 neighbor 172.30.0.21 fall-over bfd neighbor 172.30.0.21 ha-mode graceful-restart neighbor 172.30.0.21 activate neighbor 172.30.0.21 send-community neighbor 172.30.0.21 route-map VPN_INSIDE_IN in neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out redistribute static redustribute connected no auto-summary no synchronization exit-address-family

    Configurazione route-map:

    firepower# sh run route-map VPN_INSIDE_OUT route-map VPN_INSIDE_PRI_OUT permit 10 match ip next-hop NextHopZeroes firepower# sh run access-list NextHopZeroes access-list NextHopZeroes standard permit host 0.0.0.0

    Con questa configurazione, BGP annuncia solo le route per cui l'hop successivo è definito come 0.0.0.0.

    Installazione route VPN nella tabella di routing:

    firepower# sh route | inc 172.20.192 
    V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE

    Output di show bgp:

    Nella versione 6.6.5

    show bgp :
    *> 172.20.192.0/22 0.0.0.0 0 32768 ?

    Si noti che la subnet 172.20.192.0/22 viene installata nella tabella BGP con l'indirizzo IP dell'hop successivo definito come 0.0.0.0.

    Nella versione 7.1

    show bgp : 
    *> 172.20.192.0/22 172.20.192.0 0 32768 ?

    La subnet 172.20.192.0/22 viene installata nella tabella BGP con l'IP dell'hop successivo definito come IP della rete subnet : 172.20.192.0.

    Scenario di impatto

    Se la configurazione include una mappa dei percorsi impostata in modo che corrisponda all'IP dell'hop successivo pari a 0.0.0.0, il filtro dei percorsi verrà modificato e le route VPN non verranno annunciate.

    Lavora in giro

    Due soluzioni alternative disponibili:

    1. Creare un elenco di tutte le subnet VPN e configurarle singolarmente per la pubblicità su BGP. Nota: questo metodo non è scalabile.
    2. Configurare BGP per l'annuncio delle route generate localmente. Applica questo comando di configurazione: 
    route-map <route-map-name> permit 10
    match route-type local

    Implementando una delle soluzioni discusse in precedenza, FTD pubblicizza le route VPN iniettate tramite BGP.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    25-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Kunal Khapekar
      Responsabile tecnico del Customer Delivery Engineering

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti