BGP对等体不能建立连接

发布时间:  2014-09-20 浏览次数:  189 下载次数:  0
问题描述
针对图21-1所示的网络,在配置各NGFW后发现BGP对等体不能建立连接。
图21-1 BGP对等体不能建立连接组网图

在上述组网图中:
 NGFW_A属于AS域65008,NGFW_B和NGFW_C属于AS域65009,物理接口地址和Loopback0地址分别如图中所示。
 NGFW_A和NGFW_B建立一条EBGP连接,互相配置Loopback0地址为对等体的地址。
 NGFW_B和NGFW_C建立一条IBGP连接,互相配置GE直连接口地址为对等体的地址。
处理过程
 原因一:TCP连接不正常。
使用Ping命令检查路由是否正常。命令格式为ping ip-address,在NGFW_B上使用如下命令:
ping 10.1.1.1
显示如下说明路由不正常,则进行下一步判断。
  PING 10.1.1.1: 56  data bytes, press CTRL_C to break                      
    Request time out                                                            
    Request time out                                                            
    Request time out                                                            
    Request time out                                                            
    Request time out                                                            
                                                                                
  --- 10.1.1.1 ping statistics ---                                          
    5 packet(s) transmitted                                                     
    0 packet(s) received                                                        
    100.00% packet loss
 原因二:配置了禁止TCP端口179的ACL。
检查是否配置了禁止TCP端口179的ACL
使用display current-configuration命令或display acl all命令可以查看是否配置了禁止TCP端口179的ACL。179端口为BGP对等体建立TCP连接的侦听端口,如果被禁止,将无法建立连接TCP连接。
 原因三:BGP连接使用Loopback口,但没有使用peer connect-interface配置连接接口。
使用display current-configuration configuration bgp命令可以查看BGP的配置信息。以NGFW_A为例,查看是否包含了peer 10.1.1.2 connect-interface LoopBack0的配置。
 原因四:本端与对端的AS配置不一致。
用debugging bgp ipv4-address all打开某个对等体的debugging开关。例如,NGFW_B和NGFW_A不能建立连接,可以在NGFW_B上用debugging bgp 10.1.1.2 all命令打开BGP的debugging开关,观察和NGFW_B不能建立连接的原因。
− 如果出现“Send/Receive NOTIFICATION Err/SubErr: 2/2 (OPEN Message Error/Bad Peer AS)”说明AS配置有误,请在NGFW_A和NGFW_B上检查自己的AS是否和对端指定的一致。
 原因五:两端配置了相同的Router ID。
用debugging bgp ipv4-address all打开某个对等体的debugging开关。例如,NGFW_B和NGFW_A不能建立连接,可以在NGFW_B上用debugging bgp 10.1.1.2 all命令打开BGP的debugging开关,观察和NGFW_B不能建立连接的原因。
− 如果出现“Send/Receive NOTIFICATION Err/SubErr: 2/3 (OPEN Message Error/Bad BGP Identifier)”说明Router-ID配置有误,请检查NGFW_A和NGFW_B上Router-ID是否错误地配置为相同值。
 原因六:邻居为EBGP对等体,而且未配置ebgp-max-hop。
如果出现提示信息“Might miss configing ebgp-max-hop for ebgp multi-hop peer”,说明非直连接口建立EBGP对等体,但没有配置Ebgp-Max-Hop。
 如果检查结束,故障仍然无法排除,请联系技术支持工程师。

根因
 原因一:TCP连接不正常。
 原因二:配置了禁止TCP端口179的ACL。
 原因三:BGP连接使用Loopback口,但没有使用peer connect-interface配置连接接口。
 原因四:本端与对端的AS配置不一致。
 原因五:两端配置了相同的Router ID。
 原因六:邻居为EBGP对等体,而且未配置ebgp-max-hop。


END