シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA を絡む BGP のトラブルシューティング

ASA を経由して BGP セッションが正常に張れない場合、下記の観点で切り分けを進めることができます。

  • どちらかの BGP ルータのアドレスが NAT によって変換されているか。MD5 認証では、送信元アドレスがハッシュの生成に使われるため、アドレスが途中で変わってしまうと認証が失敗します。nat-control が有効になっている場合は、BGP セッションに使われるアドレスに対して Identity NAT を設定する必要があります。
  • BGP の認証に利用される TCP Option 19 が ASA に許可されているか。これは tcp-map で設定できます。
  • BGP パケットに対して TCP シーケンス番号の Randomizing を無効にしているか。

TCP Option 19 を許可し、TCP シーケンス番号の Randomizing を無効にする設定例:


access-list BGP-ACL extended permit tcp any any eq bgp
access-list BGP-ACL extended permit tcp any eq bgp any
!
tcp-map BGP-OPTION
  tcp-options range 19 19 allow
!
class-map BGP-CLASS
  match access-list BGP-ACL
!
policy-map global_policy
class BGP-CLASS
  set connection advanced-options BGP-OPTION
  set connection random-sequence-number disable

もしくは、下記の設定でも同じ効果です。


tcp-map BGP-OPTION
  tcp-options range 19 19 allow
!
class-map BGP-CLASS
   match port tcp eq 179
!

policy-map global_policy
class BGP-CLASS
  set connection  advanced-options BGP-OPTION
  set connection random-sequence-number  disable

1037
閲覧回数
5
いいね!
0
コメント