Introduction
Ce document décrit le changement de comportement de l'injection de route VPN dans la table de routage BGP à partir de la version 7.1.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissance de la technologie Firepower
- Connaissances sur la configuration de BGP et l'annonce de route
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco Secure Firewall Management Center (FMC)
- Cisco Firepower Threat Defense (FTD)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
La condition requise est d'annoncer les routes VPN sur BGP.
Les routes VPN sont filtrées à l’aide de critères de correspondance de tronçon suivant.
La liste de contrôle d’accès standard est configurée pour correspondre à un tronçon suivant 0.0.0.0.
Changement De Comportement
Dans la version 6.6.5, les routes VPN sont injectées dans la table de routage BGP avec le saut suivant défini sur 0.0.0.0.
Dans la version 7.1, les routes VPN sont injectées dans la table de routage BGP avec le saut suivant défini comme adresse IP réseau du sous-réseau correspondant.
Configuration
Configuration BGP :
router bgp 12345 bgp log-neighbor-changes bgp router-id vrf auto-assign address-family ipv4 unicast neighbor 172.30.0.21 remote-as 12346 neighbor 172.30.0.21 description CISCO-FTD-B neighbor 172.30.0.21 transport path-mtu-discovery disable neighbor 172.30.0.21 timers 10 40 neighbor 172.30.0.21 fall-over bfd neighbor 172.30.0.21 ha-mode graceful-restart neighbor 172.30.0.21 activate neighbor 172.30.0.21 send-community neighbor 172.30.0.21 route-map VPN_INSIDE_IN in neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out redistribute static redustribute connected no auto-summary no synchronization exit-address-family
Configuration de la carte de routage :
firepower# sh run route-map VPN_INSIDE_OUT route-map VPN_INSIDE_PRI_OUT permit 10 match ip next-hop NextHopZeroes firepower# sh run access-list NextHopZeroes access-list NextHopZeroes standard permit host 0.0.0.0
Avec cette configuration, BGP annonce uniquement les routes pour lesquelles le saut suivant est défini comme 0.0.0.0.
Installation des routes VPN dans la table de routage :
firepower# sh route | inc 172.20.192
V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE
Résultat de la commande show bgp :
Dans la version 6.6.5
show bgp :
*> 172.20.192.0/22 0.0.0.0 0 32768 ?
On peut voir que le sous-réseau 172.20.192.0/22 est installé dans la table BGP avec l'IP de tronçon suivant définie comme 0.0.0.0.
Dans la version 7.1
show bgp :
*> 172.20.192.0/22 172.20.192.0 0 32768 ?
On peut voir que le sous-réseau 172.20.192.0/22 est installé dans la table BGP avec l'IP de tronçon suivant définie comme l'IP de réseau de sous-réseau : 172.20.192.0.
Scénario d'impact
Si la configuration inclut une route-map définie pour correspondre à une adresse IP de tronçon suivant de 0.0.0.0, le filtrage de route est affecté et les routes VPN ne sont pas annoncées.
Contourner
Deux solutions de contournement :
- Créez une liste de tous les sous-réseaux VPN et configurez-les individuellement pour l'annonce sur BGP. Remarque : cette méthode n'est pas évolutive.
- Configurez BGP pour annoncer les routes générées localement. Appliquez cette commande de configuration :
route-map <route-map-name> permit 10
match route-type local
En mettant en oeuvre l'une des solutions décrites précédemment, FTD annonce les routes injectées par VPN via BGP.