Changement de comportement pour l'annonce de route VPN dans BGP à partir de 7.1

Options de téléchargement

  • PDF     (233.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:25 juillet 2024
ID du document:222214

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le changement de comportement de l'injection de route VPN dans la table de routage BGP à partir de la version 7.1.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissance de la technologie Firepower
    • Connaissances sur la configuration de BGP et l'annonce de route

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Secure Firewall Management Center (FMC)
    • Cisco Firepower Threat Defense (FTD)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    La condition requise est d'annoncer les routes VPN sur BGP.

    Les routes VPN sont filtrées à l’aide de critères de correspondance de tronçon suivant.

    La liste de contrôle d’accès standard est configurée pour correspondre à un tronçon suivant 0.0.0.0.

    Changement De Comportement

    Dans la version 6.6.5, les routes VPN sont injectées dans la table de routage BGP avec le saut suivant défini sur 0.0.0.0.

    Dans la version 7.1, les routes VPN sont injectées dans la table de routage BGP avec le saut suivant défini comme adresse IP réseau du sous-réseau correspondant.

    Configuration

    Configuration BGP :

    router bgp 12345 bgp log-neighbor-changes bgp router-id vrf auto-assign address-family ipv4 unicast neighbor 172.30.0.21 remote-as 12346 neighbor 172.30.0.21 description CISCO-FTD-B neighbor 172.30.0.21 transport path-mtu-discovery disable neighbor 172.30.0.21 timers 10 40 neighbor 172.30.0.21 fall-over bfd neighbor 172.30.0.21 ha-mode graceful-restart neighbor 172.30.0.21 activate neighbor 172.30.0.21 send-community neighbor 172.30.0.21 route-map VPN_INSIDE_IN in neighbor 172.30.0.21 route-map VPN_INSIDE_OUT out redistribute static redustribute connected no auto-summary no synchronization exit-address-family

    Configuration de la carte de routage :

    firepower# sh run route-map VPN_INSIDE_OUT route-map VPN_INSIDE_PRI_OUT permit 10 match ip next-hop NextHopZeroes firepower# sh run access-list NextHopZeroes access-list NextHopZeroes standard permit host 0.0.0.0

    Avec cette configuration, BGP annonce uniquement les routes pour lesquelles le saut suivant est défini comme 0.0.0.0.

    Installation des routes VPN dans la table de routage :

    firepower# sh route | inc 172.20.192 
    V 172.20.192.0 255.255.252.0 connected by VPN (advertised), VPN-OUTSIDE

    Résultat de la commande show bgp :

    Dans la version 6.6.5

    show bgp :
    *> 172.20.192.0/22 0.0.0.0 0 32768 ?

    On peut voir que le sous-réseau 172.20.192.0/22 est installé dans la table BGP avec l'IP de tronçon suivant définie comme 0.0.0.0.

    Dans la version 7.1

    show bgp : 
    *> 172.20.192.0/22 172.20.192.0 0 32768 ?

    On peut voir que le sous-réseau 172.20.192.0/22 est installé dans la table BGP avec l'IP de tronçon suivant définie comme l'IP de réseau de sous-réseau : 172.20.192.0.

    Scénario d'impact

    Si la configuration inclut une route-map définie pour correspondre à une adresse IP de tronçon suivant de 0.0.0.0, le filtrage de route est affecté et les routes VPN ne sont pas annoncées.

    Contourner

    Deux solutions de contournement :

    1. Créez une liste de tous les sous-réseaux VPN et configurez-les individuellement pour l'annonce sur BGP. Remarque : cette méthode n'est pas évolutive.
    2. Configurez BGP pour annoncer les routes générées localement. Appliquez cette commande de configuration : 
    route-map <route-map-name> permit 10
    match route-type local

    En mettant en oeuvre l'une des solutions décrites précédemment, FTD annonce les routes injectées par VPN via BGP.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    25-Jul-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Kunal Khapekar
      Responsable technique de l'ingénierie de livraison client

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits