网络通信 频道

Cisco ASA和BGP对等互连:命令行技巧

  如果您有Cisco ASA或PIX防火墙,您可能会遇到BGP对等互连问题。有一些简单的命令行技巧可以使两个节点恢复通信和认证。

  您会遇到的两个问题是:

  1.ASA清除了TCP Option 19。这是Border Gateway Protocol (BGP)用于进行认证的。

  2.ASA随机产生TCP序列号。

  在文中TechTarget编辑将邀请Fast Packet博客作者Ivan Pepeljnak解释这些问题的原因。

  由于清除了Option 19,配置用于认证的BGP路由器将无法看到来自它们节点的证书,因此无法建立BGP邻居。您可以执行一些kung-fu命令来解决这个问题:

  首先是匹配BGP Traffic

  access-list BGP extended permit tcp any eq bgp any

  access-list BGP extended permit tcp any any eq bgp

  接着创建允许Option 19的TCP Map

  tcp-map BGP

  tcp-options range 19 19 allow

  现在可以创建一个class-map来匹配之前您所创建的BGP ACL

  class-map BGP

  match access-list BGP

  最后,将class-map应用到全局策略中:

  policy-map global_policy

  class BGP

  set connection advanced-options BGP

  现在我们来解决第二个问题,当您仍然处于policy-map配置模式时,您需要禁用随机序列数。

  set connection random-sequence-number disable

  这样,您就可以使用一个相当简单的配置来解决一堆同类问题了。而且还有其他好的方面:一旦您了解了ASA是如何处理这个BGP流量的,您可能就开始理解为何您的网络会出现其它的问题。

  很多时候,我发现通过允许或者拒绝某些TCP属性,TCP图可以用于处理通过ASA的应用流量。同时,有意思的是,禁用随机序列数不会产生不良影响。有一些应用程序会使用这个序列数进行认证。如果序列数发生了改变,那么数据包可能无法验证。如果有疑问,可以尝试使用诸如Wireshark网络分析器的工具来捕捉ASA双向数据包以查看发生了什么变化,然后将ASA从流量路径删除。如果您发现有变化,而且能够在没有ASA的情况下验证功能,那么您通常可以修改ASA使之放行成功的流量流。

0
相关文章