Bienvenidos 👏, soy César Sánchez y vengo a ayudaros con: ⤵️
Consejo para la resolución de problemas: Fallo de vecindad EBGP con IP de bucle de retorno
En este escenario, hay dos FortiGates intentando establecer BGP con su dirección IP de bucle de retorno.
(loop back)FGT1———FGT2(loop back)
Pero no se puede establecer una conexión BGP.
Solución de problemas:
Los principales requisitos para establecer la vecindad BGP con la dirección IP de bucle de retorno son:
1) Debe haber una política de firewall entre el puerto que escucha la conexión BGP entrante y el puerto de bucle de retorno.
2) Cuando la conexión BGP viene de un peer debe venir de la dirección IP de la que el otro peer está esperando.
3) Por defecto, el envío de vecinos EBGP sólo puede establecerse si el otro peer es el siguiente salto, aquí en este escenario ya que el EBGP se está estableciendo con la dirección IP de bucle de retorno no será el siguiente salto.
Es necesario cambiar el comportamiento por defecto.
Diagrama de red:
Loop back IP (FGT1)puerto1————puerto1(FGT2)Loopback
Caso 1:
La conexión BGP de un peer se iniciará en otro peer en el puerto 179, en el otro peer, es necesario definir una política de firewall entre el puerto1 y la dirección IP de bucle de retorno, para que el tráfico pueda llegar a la interfaz de bucle de retorno.
Del mismo modo, es necesario definir una política de firewall entre el puerto1 y la interfaz de bucle de retorno en FGT1 también.
Caso 2:
Consideremos que en FGT1 se ha definido como vecino «12.0.0.1 (dirección IP de bucle de retorno de los vecinos)» y en FGT2 se ha definido como vecino «11.0.0.1 (IP de bucle de retorno de FGT1)».
En este escenario, FGT1 esperará la conexión de FGT2 desde la IP de origen ‘12.0.0.1’, al mismo tiempo FGT2 esperará la conexión de FGT1 desde la IP de origen ‘11.0.0.1’.
Al configurar el vecino, es necesario definir la IP de origen, como se muestra en la siguiente captura de pantalla:
Captura de pantalla de FGT1:
Captura de pantalla de FGT2:
Al definir esta configuración, la conexión BGP se iniciará realmente desde esta dirección IP de origen.
Caso 3:
La vecindad de BGP sólo se establecerá si el vecino es el siguiente salto.
Para cambiar este comportamiento por defecto, es necesario habilitar multi hop opción.
Es posible ejecutar los siguientes comandos para la misma:
# config router bgp
# config neighbor
edit 12.0.0.1 <—–12.0.0.1 es la IP del vecino.
set ebgp-enforce-multihop enable
set ebgp-multihop-ttl 5 <—– 5 significa el número de saltos que la conexión debe pasar para alcanzar el otro salto.
fin
Nota.
Defina esta configuración en ambos vecinos si el peer no es el siguiente salto.
🔒 Para terminar, felicitarte que hayas leído hasta el final de esta publicación. Esperamos que haya servido de ayuda y que nos vuelvas a visitar pronto.
Si no logras dar con la solución a tu pregunta usa la barra de búsqueda o contacta con nosotros en los comentarios.
¡Hasta luego!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!