所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

BGP邻居无法建立成功

发布时间:  2019-12-18  |   浏览次数:  236  |   下载次数:  0  |   作者:  yWX657141  |   文档编号: EKB1100042294

目录

问题描述

xx局点使用NE路由器走运营商租用线路与总公司边界设备对接,使用BGP路由协议作为路由协议。邻居关系建立失败,业务不通。拓扑图如下图:

dd92fc0bdb30459fb8d2b98f261b5919


处理过程

防火墙是新采购的友商设备,为了不改变原有拓扑,采用了透明的方法接入现有网络。客户反馈没有加入防火墙的时候,业务可以正常访问。

ne路由器配置如下

interface GigabitEthernet3/0/1
ip address 192.168.120.1 255.255.255.252
#
bgp 65012 
peer X.X.X.2 as-number 65001 
ipv4-family unicast   
undo synchronization   
network 172.16.12.0 255.255.255.0

1.在NE路由器上做ping 测试,发现目的主机不可达。

2.检查路由,无对应的路由条目。BGP对等体关系一直在Active无法到达Established状态。

3.联系友商防火墙工程师,检查新加防火墙配置。

4.经过检查发现,安全策略只放行了业务网段的IP地址(172.16.12.0/24),没有放行NE路由器发送BGP报文源接口的IP地址(192.168.120.0/30)。

5.友商工程师添加对应的安全策略条目后,故障解决。

 

根因

友商防火墙阻断TCP 链接,因为BGP的传输层协议是TCP协议,所以在BGP对等体建立之前,对等体之间首先进行TCP连接。

解决方案

友商防火墙添加安全策略,放行NE路由器发送BGP报文的接口IP。在【防火墙】--【策略】--【安全策略】添加规则( 源地址:192.168.120.0 目的地址:192.168.120.0 访问控制:允许) 。

19f13f86af9a44138ac6476638d2fc63