路由器对接防火墙bgp
- 0关注
- 0收藏,165浏览
问题描述:
路由器与secpath防火墙对接,secpath防火墙不发包
组网及组网描述:
我有台路由器ppppoe拨号,然后bgp 10
peer 202.1.1.2 as-number 200
peer 202.1.1.2 ebgp-max-hop 255
peer 203.1.1.2 as-number 100
peer 203.1.1.2 ebgp-max-hop 255
#
address-family ipv4 unicast
network 192.168.10.0 255.255.255.0
network 192.168.20.0 255.255.255.0
network 192.168.30.0 255.255.255.0
peer 202.1.1.2 enable
peer 203.1.1.2 enable
#防护墙的配置
bgp 100
peer 200.1.1.2 as-number 10
peer 200.1.1.2 connect-interface GigabitEthernet1/0/0
peer 200.1.1.2 ebgp-max-hop 255
peer 201.1.1.2 as-number 10
peer 201.1.1.2 connect-interface GigabitEthernet1/0/0
peer 201.1.1.2 ebgp-max-hop 255
#
address-family ipv4 unicast
network 192.168.50.0 255.255.255.0
network 192.168.60.0 255.255.255.0
peer 200.1.1.2 enable
peer 201.1.1.2 enable
<FW>dis security-policy ip
Security-policy ip
TotalRule: 3
TotalGroup: 0
rule 80 name untrusticmp
action pass
rule 81 name permitbgp
action pass
destination-zone local
rule 82 name allow-bgp-200
action pass
source-zone untrust
destination-zone local
service bgp
- BGP邻居配置问题:
- 路由器端配置了
peer 203.1.1.2 as-number 100,但防火墙端配置的是peer 200.1.1.2 as-number 10。这会导致AS号不匹配,BGP邻居无法建立。需确保两端AS号互为对方的AS值。- ✅ 修正方案:防火墙应配置
peer 200.1.1.2 as-number 10(与路由器AS 10对应)。
- ✅ 修正方案:防火墙应配置
connect-interface用法(防火墙侧):
peer 200.1.1.2 connect-interface GigabitEthernet1/0/0是正确配置,作用是指定BGP报文使用此接口的IP地址作为源地址。- 🔍 前提:接口
GigabitEthernet1/0/0需配置IP地址且与对端(200.1.1.2)路由可达。
PPPoE+BGP关键点:
- 动态IP问题:若PPPoE获取的IP非固定,BGP邻居IP需动态适应(或使用DDNS)。静态配置的peer IP(如203.1.1.2)需与实际PPPoE公网IP一致。
- 策略配置建议(参考案例):
# 防火墙侧需启用IPv4邻居并指定源接口 bgp 100 peer 200.1.1.2 enable peer 200.1.1.2 connect-interface GigabitEthernet1/0/0
验证步骤:
- 检查物理接口状态:
display interface GigabitEthernet1/0/0 - 确认IP可达性:
ping 200.1.1.2 - 排查BGP状态:
display bgp peer,观察状态是否为"Established"。
- 检查物理接口状态:
⚠️ 注:若路由器PPPoE获取的IP与
203.1.1.2不符,需调整peer IP或部署动态地址同步机制。
为您推荐相似问题:
MSR3640路由器的BGP邻居建立过程出现问题
展开
BGP邻居建立不起来可参考如下链接排查:根叔的云图:https://zhiliao.h3c.com/theme/Chart,点击“公共协议”>“IP路由”>“BGP故障排查”
IBGP邻居无法建立:https://zhiliao.h3c.com/Theme/details/66010
MSR G2路由器PPPoE拨号网速较慢? >
MSR3640-X1路由器PPPOE拨号失败的可能原因是什么? >
pppoe拨号时固定的ip地址
<FW>*Nov 18 07:26:24:012 2025 FW BGP/7/DEBUG: -COntext=1; BGP_TIMER.: 200.1.1.2 CR Timer Expired. *Nov 18 07:26:24:012 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 Receive ConnectRetryTimer_Expires event in CONNECT state. *Nov 18 07:26:24:013 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 state has changed from CONNECT to CONNECT. *Nov 18 07:26:24:013 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 Session connect failed, error is Operation not permitted.防火墙一直报这个错
配置应该没有问题
<FW>*Nov 18 07:26:24:012 2025 FW BGP/7/DEBUG: -COntext=1; BGP_TIMER.: 200.1.1.2 CR Timer Expired. *Nov 18 07:26:24:012 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 Receive ConnectRetryTimer_Expires event in CONNECT state. *Nov 18 07:26:24:013 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 state has changed from CONNECT to CONNECT. *Nov 18 07:26:24:013 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 Session connect failed, error is Operation not permitted.防火墙一直报这个错
防火墙是不是少了一条 local 到untrust的安全策略呢?
connect没建立起来 状态应该回到idle了 防火墙debugging看下吧
200.1.1.2 state has changed from CONNECT to CONNECT,他这个是在connect状态吧,tcp建立有问题
少打了个tcp 哈哈
<FW>dis security-policy ip Security-policy ip TotalRule: 4 TotalGroup: 0 rule 80 name untrusticmp action pass rule 81 name permitbgp action pass destination-zone local rule 82 name allow-bgp-200 action pass source-zone untrust destination-zone local service bgp rule 83 name PolicyV4_0 action pass source-zone Local 都放行的了 这是debug<FW>*Nov 18 07:26:24:012 2025 FW BGP/7/DEBUG: -COntext=1; BGP_TIMER.: 200.1.1.2 CR Timer Expired. *Nov 18 07:26:24:012 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 Receive ConnectRetryTimer_Expires event in CONNECT state. *Nov 18 07:26:24:013 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 state has changed from CONNECT to CONNECT. *Nov 18 07:26:24:013 2025 FW BGP/7/DEBUG: -COntext=1; BGP.: 200.1.1.2 Session connect failed, error is Operation not permitted
这个提示,刚才回复的大佬也说明了,tcp建立没成功,按照这个思路去排查,同时你也可以安全策略做一条 any到any试一下 看是否是安全策略的问题导致。bgp的配置是看着没问题的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明