ASA を経由して BGP セッションが正常に張れない場合、下記の観点で切り分けを進めることができます。
- どちらかの BGP ルータのアドレスが NAT によって変換されているか。MD5 認証では、送信元アドレスがハッシュの生成に使われるため、アドレスが途中で変わってしまうと認証が失敗します。nat-control が有効になっている場合は、BGP セッションに使われるアドレスに対して Identity NAT を設定する必要があります。
- BGP の認証に利用される TCP Option 19 が ASA に許可されているか。これは tcp-map で設定できます。
- BGP パケットに対して TCP シーケンス番号の Randomizing を無効にしているか。
TCP Option 19 を許可し、TCP シーケンス番号の Randomizing を無効にする設定例:
access-list BGP-ACL extended permit tcp any any eq bgp
access-list BGP-ACL extended permit tcp any eq bgp any
!
tcp-map BGP-OPTION
tcp-options range 19 19 allow
!
class-map BGP-CLASS
match access-list BGP-ACL
!
policy-map global_policy
class BGP-CLASS
set connection advanced-options BGP-OPTION
set connection random-sequence-number disable
もしくは、下記の設定でも同じ効果です。
tcp-map BGP-OPTION
tcp-options range 19 19 allow
!
class-map BGP-CLASS
match port tcp eq 179
!
policy-map global_policy
class BGP-CLASS
set connection advanced-options BGP-OPTION
set connection random-sequence-number disable