BGP基础配置

BGP简介

边界网关协议(BGP)是一种标准化的路由协议,用于在互联网上路由流量。它在互联网上的自治系统(AS)之间交换路由信息,并根据路径、网络策略和规则集做出路由决策。BGP包含两个子集:内部BGP(iBGP)和外部BGP(eBGP)。iBGP用于在自己的网络内部使用。eBGP用于连接不同的网络,并且是互联网骨干的主要路由协议。

FortiGate的BGP基础配置参数如下:

选项 描述
本地AS 本地FortiGate的AS号。
Router ID 一个用于在网络中标识你的路由器的唯一ID,通常以x.x.x.x的格式表示。
邻居 FortiGate将与之进行BGP连接的邻居。配置远程路由器的自治系统(Remote AS)号码,与邻居连接所使用的任何其他属性,以及IPv4和IPv6路由过滤。
邻居组 共享相同出站策略配置的邻居组,一般用于被多个BGP邻居主动连接的情况。
邻居范围 BGP邻居的源地址范围,用于分配给一个邻居组。
IPv4 & IPv6网络 要宣告给其他BGP路由器的网络。
IPv4 & IPv6重分发 启用协议的重分发。指定某个路由协议的路由,可以通过route-map进行过滤。
Dampening 启用路由振荡抑制以减少振荡路由的传播。
优雅重启(graceful-restart) 启用BGP优雅重启(graceful-restart),相邻的路由器在FortiGate重启BGP进程时保持BGP路由条目。在HA中发生主备切换时非常有用(暂不支持GR Helper配置为GR Helper-only模式)。
高级选项 多种BGP高级选项,如Local Preference、Local Preference、Distance internal、Keepalive、Holdtime等。
最佳路径选择 路径选择的相关属性配置。

网络拓扑

image-20240105180413078

  1. 网络连接:

    • FGT-1与FGT-2通过ISP1的Internet建立IPSec隧道,二阶段保护网段两端均为0.0.0.0/0(配置略)。
    • 为两台FortiGate的IPSec Tunnel接口配置IP,并配置IPSec业务互访的放通策略(配置略):
      • FGT-1 Tunnel IP:100.1.1.1。
      • FGT-2 Tunnel IP:100.1.1.2。
    • FGT-1与Router为直连网段设备。
  2. BGP邻居:

    • FGT-1与FGT-2通过IPSec隧道建立iBGP邻居,BGP均创建在IPSec Tunnel接口上。

    • FGT-1与Router之间使用物理口建立eBGP邻居。

  3. 路由学习:

    • FGT-1和FGT-2互相学习IBGP路由并通过IPSec隧道通信。
    • FGT-1从Router学习eBGP路由,并发布到FGT-2,但不允许发布任何iBGP路由到Router。
    • FGT-1通过eBGP向Router发布默认路由。

配置步骤

基础配置

  1. FGT-1的VPN配置。

    config vpn ipsec phase1-interface
        edit "to_FGT-2"
            set interface "port2"
            set ike-version 2
            set peertype any
            set net-device disable
            set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
            set dpd on-idle
            set remote-gw 101.103.2.2
            set psksecret xxxxxxxx
        next
    end
    
    config vpn ipsec phase2-interface
        edit "to_FGT-2"
            set phase1name "to_FGT-2"
            set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
            set auto-negotiate enable
        next
    end
    
  2. FGT-2的VPN配置。

    config vpn ipsec phase1-interface
        edit "to_FGT-1"
            set interface "port2"
            set ike-version 2
            set peertype any
            set net-device disable
            set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
            set dpd on-idle
            set remote-gw 101.103.1.2
            set psksecret xxxxxxxx
        next
    end
    
    config vpn ipsec phase2-interface
        edit "to_FGT-1"
            set phase1name "to_FGT-1"
            set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
            set auto-negotiate enable
        next
    end
    
  3. FGT-1的接口与静态路由配置。

    config system interface
        edit "port2"
            set vdom "root"
            set ip 101.103.1.2 255.255.255.0
            set alias "WAN1"
        next
        edit "port3"
            set vdom "root"
            set ip 202.103.1.2 255.255.255.0
            set alias "WAN2"
        next
        edit "port4"
            set vdom "root"
            set ip 10.10.1.1 255.255.255.0
            set allowaccess ping https http
            set alias "LAN"
        next
        edit "to_FGT-2"
            set vdom "root"
            set ip 100.1.1.1 255.255.255.255
            set allowaccess ping
            set type tunnel
            set remote-ip 100.1.1.254 255.255.255.0
            set interface "port2"
        next
    end
    
    config router static
        edit 1
            set gateway 101.103.1.1
            set device "port2"
        next
    end
    
  4. FGT-2的接口与静态路由配置。

    config system interface
        edit "port2"
            set vdom "root"
            set ip 101.103.2.2 255.255.255.0
            set alias "WAN"
        next
        edit "port3"
            set vdom "root"
            set ip 10.10.2.1 255.255.255.0
            set alias "LAN"
        next
        edit "to_FGT-1"
            set vdom "root"
            set ip 100.1.1.2 255.255.255.255
            set allowaccess ping https http
            set type tunnel
            set remote-ip 100.1.1.254 255.255.255.0
            set interface "port2"
        next
    end
    
    config router static
        edit 1
            set gateway 101.103.2.1
            set device "port2"
        next
    end
    
  5. 配置安全策略,放通FGT-1和FGT-2间IPSec隧道的流量,按需配置其他安全策略(略)。

  6. 等待FGT-1和FGT-2之间的IPSec隧道建立成功。

    FGT-1 # get vpn ipsec tunnel summary 
    'to_FGT-2' 101.103.2.2:0  selectors(total,up): 1/1  rx(pkt,err): 395/0  tx(pkt,err): 396/0
    
    FGT-2 # get vpn ipsec tunnel summary
    'to_FGT-1' 101.103.1.2:0  selectors(total,up): 1/1  rx(pkt,err): 397/0  tx(pkt,err): 396/0
    

iBGP(FGT-1 to FGT-2)

  1. 在FGT-1上进入网络→BGP页面,配置本地AS和Router ID,在网络选项中配置要发布的本地路由。

    image-20240105150527957

    默认配置下,BGP只能发布设备自身路由表中已经存在的路由条目(路由与掩码都要一致),如果需要发布路由表中不存在的路由条目,需要使用如下CLI关闭发布路由的检查。

    config router bgp
        set network-import-check disable
    end
    
  2. 点击邻居选项中的新建按钮,在弹出的新建邻居页面中配置iBGP邻居的IP、远程AS,接口和更新源都选择IPSec Tunnel接口,开启“Next hop self”(FGT-1向FGT-2宣告Router发送的eBGP路由时,将下一跳改为自己的IPSec tunnel口IP),建议开启软重配功能,点击确认下发BGP邻居配置。

    image-20240105170137401

  3. 在BGP页面点击应用下发BGP配置。

    image-20240105152108404

  4. 相关CLI如下。

    config router bgp
        set as 65001
        set router-id 101.103.1.2
        config neighbor
            edit "100.1.1.2"
                set next-hop-self enable
                set soft-reconfiguration enable
                set interface "to_FGT-2"
                set remote-as 65001
                set update-source "to_FGT-2"
            next
        end
        config network
            edit 1
                set prefix 10.10.1.0 255.255.255.0
            next
        end
    end
    
  5. 在FGT-2使用与FGT-1同样的步骤配置iBGP,过程略,相关配置CLI如下。

    config router bgp
        set as 65001
        set router-id 101.103.2.2
        config neighbor
            edit "100.1.1.1"
                set soft-reconfiguration enable
                set interface "to_FGT-1"
                set remote-as 65001
                set update-source "to_FGT-1"
            next
        end
        config network
            edit 1
                set prefix 10.10.2.0 255.255.255.0
            next
        end
    end
    

eBGP

  1. 在FGT-1上新建Route Map,用于阻止从FGT-2学到的iBGP路由发布到eBGP邻居Router。进入网络→路由对象页面,点击新建→Route Map。

    image-20240105153649806

  2. 配置Route Map的名称,并点击规则下的新建按钮。在弹出的新建规则页面中配置动作为拒绝,在“其他规则变量”中开启“匹配初始”,并选择IGP,下发规则和Route Map的配置。

    image-20240105155148318

    config router route-map
        edit "deny_iBGP"
            config rule
                edit 1
                    set action deny
                    set match-origin igp
                next
            end
        next
    end
    
  3. 在FGT-1上进入网络→BGP页面,点击邻居选项中的新建按钮,在弹出的新建邻居页面中配置eBGP邻居的IP、远程AS,在“IPv4过滤”中的“Route map out”引用上步创建的Route Map,开启“Capability: default originate”功能,向Router宣告默认路由,建议开启软重配功能,随后下发BGP邻居配置和BGP配置。

    如果与此eBGP邻居之间存在多跳(非直连),需要开启eBGP多跳功能(set ebgp-enforce-multihop enable)。

    image-20240105162907817

    config router bgp
        config neighbor
            edit "202.103.1.1"
                set capability-default-originate enable
                set soft-reconfiguration enable
                set remote-as 65002
                set route-map-out "deny_iBGP"
            next
        end
    end
    
  4. 在Router上参考FGT-1配置eBGP邻居,配置略,相关CLI如下。

    config router bgp
        set as 65002
        set router-id 202.103.1.1
        config neighbor
            edit "202.103.1.2"
                set soft-reconfiguration enable
                set remote-as 65001
            next
        end
        config network
            edit 1
                set prefix 10.10.3.0 255.255.255.0
            next
            edit 2
                set prefix 10.10.4.0 255.255.255.0
            next
            edit 3
                set prefix 10.10.5.0 255.255.255.0
            next
            edit 4
                set prefix 10.10.6.0 255.255.255.0
            next
        end
    end
    

结果验证

FGT-1

  1. 在FGT-1上查看BGP邻居状态,可以看到和FGT-2、Router分别建立了BGP邻居,并学习到路由(从FGT-2学到1条,从Router学习到4条)。

    查看BGP邻居的详细信息,请使用“get router info bgp neighbors”。
    FGT-1 # get router info bgp summary 
    
    VRF 0 BGP router identifier 101.103.1.2, local AS number 65001
    BGP table version is 8
    2 BGP AS-PATH entries
    0 BGP community entries
    
    Neighbor    V         AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
    100.1.1.2   4      65001     142     162        8    0    0 00:29:39        1
    202.103.1.1 4      65002      15      16        8    0    0 00:11:01        4
    
    Total number of neighbors 2
    
  2. 在FGT-1上查看从不同邻居收到的路由条目。

    FGT-1 # get router info bgp neighbors 100.1.1.2 received-routes 
    VRF 0 BGP table version is 3, local router ID is 101.103.1.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *>i10.10.2.0/24     100.1.1.2                     100      0        0 i <-/->
    
    Total number of prefixes 1
    
    FGT-1 # get router info bgp neighbors 202.103.1.1 received-routes
    VRF 0 BGP table version is 3, local router ID is 101.103.1.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *> 10.10.3.0/24     202.103.1.1                            0        0 65002 i <-/->
    *> 10.10.4.0/24     202.103.1.1                            0        0 65002 i <-/->
    *> 10.10.5.0/24     202.103.1.1                            0        0 65002 i <-/->
    *> 10.10.6.0/24     202.103.1.1                            0        0 65002 i <-/->
    
    Total number of prefixes 4
    
  3. 在FGT-1上查看向不同邻居发布的路由条目。

    FGT-1 # get router info bgp neighbors 100.1.1.2 advertised-routes
    VRF 0 BGP table version is 3, local router ID is 101.103.1.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *>i10.10.1.0/24     100.1.1.1                     100  32768        0 i <-/->
    *>i10.10.3.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    *>i10.10.4.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    *>i10.10.5.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    *>i10.10.6.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    
    Total number of prefixes 5
    
    FGT-1 # get router info bgp neighbors 202.103.1.1 advertised-routes
    VRF 0 BGP table version is 3, local router ID is 101.103.1.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *> 0.0.0.0/0        202.103.1.2                   100  32768        0 i <-/->
    
    Total number of prefixes 1
    
  4. 在FGT-1上查看BGP路由数据库,可以看到iBGP路由前边会有i标记,包含本地发布的路由(weight为32768)。

    FGT-1 # get router info bgp network 
    VRF 0 BGP table version is 8, local router ID is 101.103.1.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  S Stale
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *> 10.10.1.0/24     0.0.0.0                       100  32768        0 i <-/1>
    *>i10.10.2.0/24     100.1.1.2       0             100      0        0 i <-/1>
    *> 10.10.3.0/24     202.103.1.1     0                      0        0 65002 i <-/1>
    *> 10.10.4.0/24     202.103.1.1     0                      0        0 65002 i <-/1>
    *> 10.10.5.0/24     202.103.1.1     0                      0        0 65002 i <-/1>
    *> 10.10.6.0/24     202.103.1.1     0                      0        0 65002 i <-/1>
    
    Total number of prefixes 6
    
  5. 查看指定的某个BGP路由详细信息可以在该命令后加相应网段。

    FGT-1 # get router info bgp network 10.10.3.0
    VRF 0 BGP routing table entry for 10.10.3.0/24
    Paths: (1 available, best #1, table Default-IP-Routing-Table)
      Advertised to non peer-group peers:
       100.1.1.2
      Original VRF 0
      65002
        202.103.1.1 from 202.103.1.1 (202.103.1.1)
          Origin IGP metric 0, localpref 100, valid, external, best
          Last update: Fri Jan  5 17:12:47 2024
    
  6. 查看FGT-1的路由表中的BGP路由,可以看到FGT-1从FGT-2、Router学习到的路由均已被放入路由表,iBGP路由的distance为200,eBGP路由的distance为20。

    FGT-1 # get router info routing-table bgp
    Routing table for VRF=0
    B       10.10.2.0/24 [200/0] via 100.1.1.2 (recursive via to_FGT-2 tunnel 101.103.2.2), 00:34:19, [1/0]
    B       10.10.3.0/24 [20/0] via 202.103.1.1 (recursive is directly connected, port3), 00:17:59, [1/0]
    B       10.10.4.0/24 [20/0] via 202.103.1.1 (recursive is directly connected, port3), 00:17:59, [1/0]
    B       10.10.5.0/24 [20/0] via 202.103.1.1 (recursive is directly connected, port3), 00:17:59, [1/0]
    B       10.10.6.0/24 [20/0] via 202.103.1.1 (recursive is directly connected, port3), 00:17:59, [1/0]
    
  7. FGT-1内网PC可以正常访问FGT-2和Router内网PC。

FGT-2

  1. 在FGT-2上查看BGP邻居状态,可以看到和FGT-1建立了BGP邻居,并学习到路由(从FGT-1学到5条,其中1条为FGT-1发布,4条为Router发布)。

    查看BGP邻居的详细信息,请使用“get router info bgp neighbors”。
    FGT-2 # get router info bgp summary 
    
    VRF 0 BGP router identifier 101.103.2.2, local AS number 65001
    BGP table version is 2
    2 BGP AS-PATH entries
    0 BGP community entries
    
    Neighbor  V         AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
    100.1.1.1 4      65001     172     154        1    0    0 00:39:35        5
    
    Total number of neighbors 1
    
  2. 在FGT-2上查看从BGP邻居收到的路由条目。

    FGT-2 # get router info bgp neighbors 100.1.1.1 received-routes 
    VRF 0 BGP table version is 2, local router ID is 101.103.2.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *>i10.10.1.0/24     100.1.1.1                     100      0        0 i <-/->
    *>i10.10.3.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    *>i10.10.4.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    *>i10.10.5.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    *>i10.10.6.0/24     100.1.1.1                     100      0        0 65002 i <-/->
    
    Total number of prefixes 5
    
  3. 在FGT-2上查看向邻居发布的路由条目。

    FGT-2 # get router info bgp neighbors 100.1.1.1 advertised-routes 
    VRF 0 BGP table version is 2, local router ID is 101.103.2.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *>i10.10.2.0/24     100.1.1.2                     100  32768        0 i <-/->
    
    Total number of prefixes 1
    
  4. 在FGT-2上查看BGP路由数据库,可以看到iBGP路由前边会有i标记,包含本地发布的路由(weight为32768)。Router发布的路由经过FGT-1发送给FGT-2,变为iBGP路由。

    FGT-2 # get router info bgp network 
    VRF 0 BGP table version is 2, local router ID is 101.103.2.2
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  S Stale
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *>i10.10.1.0/24     100.1.1.1       0             100      0        0 i <-/1>
    *> 10.10.2.0/24     0.0.0.0                       100  32768        0 i <-/1>
    *>i10.10.3.0/24     100.1.1.1       0             100      0        0 65002 i <-/1>
    *>i10.10.4.0/24     100.1.1.1       0             100      0        0 65002 i <-/1>
    *>i10.10.5.0/24     100.1.1.1       0             100      0        0 65002 i <-/1>
    *>i10.10.6.0/24     100.1.1.1       0             100      0        0 65002 i <-/1>
    
    Total number of prefixes 6
    
  5. 查看指定的某个BGP路由详细信息可以在该命令后加相应网段。

    FGT-2 # get router info bgp network 10.10.3.0
    VRF 0 BGP routing table entry for 10.10.3.0/24
    Paths: (1 available, best #1, table Default-IP-Routing-Table)
      Not advertised to any peer
      Original VRF 0
      65002
        100.1.1.1 from 100.1.1.1 (101.103.1.2)
          Origin IGP metric 0, localpref 100, valid, internal, best
          Last update: Fri Jan  5 17:12:50 2024
    
  6. 查看FGT-2的路由表中的BGP路由,可以看到FGT-2从FGT-1学习到的路由均已被放入路由表,iBGP路由的distance为200。

    FGT-2 # get router info routing-table bgp
    Routing table for VRF=0
    B       10.10.1.0/24 [200/0] via 100.1.1.1 (recursive via to_FGT-1 tunnel 101.103.1.2), 00:43:14, [1/0]
    B       10.10.3.0/24 [200/0] via 100.1.1.1 (recursive via to_FGT-1 tunnel 101.103.1.2), 00:24:36, [1/0]
    B       10.10.4.0/24 [200/0] via 100.1.1.1 (recursive via to_FGT-1 tunnel 101.103.1.2), 00:24:36, [1/0]
    B       10.10.5.0/24 [200/0] via 100.1.1.1 (recursive via to_FGT-1 tunnel 101.103.1.2), 00:24:36, [1/0]
    B       10.10.6.0/24 [200/0] via 100.1.1.1 (recursive via to_FGT-1 tunnel 101.103.1.2), 00:24:36, [1/0]
    
  7. FGT-2内网PC可以正常访问FGT-1和Router内网PC。

Router

  1. 在Router上查看BGP邻居状态,可以看到和FGT-1建立了BGP邻居,并学习到路由(从FGT-1学到1条,为FGT-1发布的默认路由)。

    查看BGP邻居的详细信息,请使用“get router info bgp neighbors”。
    Router # get router info bgp summary 
    
    VRF 0 BGP router identifier 202.103.1.1, local AS number 65002
    BGP table version is 2
    2 BGP AS-PATH entries
    0 BGP community entries
    
    Neighbor    V         AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
    202.103.1.2 4      65001      86      95        1    0    0 00:27:29        1
    
    Total number of neighbors 1
    
  2. 在Router上查看从BGP邻居收到的路由条目。

    Router # get router info bgp neighbors 202.103.1.2 received-routes 
    VRF 0 BGP table version is 1, local router ID is 202.103.1.1
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *> 0.0.0.0/0        202.103.1.2                            0        0 65001 i <-/->
    
    Total number of prefixes 1
    
  3. 在FGT-2上查看向邻居发布的路由条目。

    Router # get router info bgp neighbors 202.103.1.2 advertised-routes 
    VRF 0 BGP table version is 1, local router ID is 202.103.1.1
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *> 10.10.3.0/24     202.103.1.1                   100  32768        0 i <-/->
    *> 10.10.4.0/24     202.103.1.1                   100  32768        0 i <-/->
    *> 10.10.5.0/24     202.103.1.1                   100  32768        0 i <-/->
    *> 10.10.6.0/24     202.103.1.1                   100  32768        0 i <-/->
    
    Total number of prefixes 4
    
  4. 在Router上查看BGP路由数据库,可以看到除了本地发布的路由(weight为32768)和FGT-1发布的默认路由,无法学习到FGT-1和FGT-2发布的iBGP路由,这说明在FGT-1上配置的route-map已生效(过滤IGP路由)。

    Router # get router info bgp network
    VRF 0 BGP table version is 2, local router ID is 202.103.1.1
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  S Stale
    Origin codes: i - IGP, e - EGP, ? - incomplete
    
       Network          Next Hop            Metric     LocPrf Weight RouteTag Path
    *> 0.0.0.0/0        202.103.1.2     0                      0        0 65001 i <-/1>
    *> 10.10.3.0/24     0.0.0.0                       100  32768        0 i <-/1>
    *> 10.10.4.0/24     0.0.0.0                       100  32768        0 i <-/1>
    *> 10.10.5.0/24     0.0.0.0                       100  32768        0 i <-/1>
    *> 10.10.6.0/24     0.0.0.0                       100  32768        0 i <-/1>
    
    Total number of prefixes 5
    
  5. 查看指定的某个BGP路由详细信息可以在该命令后加相应网段。

    Router # get router info bgp network 0.0.0.0
    VRF 0 BGP routing table entry for 0.0.0.0/0
    Paths: (1 available, best #1, table Default-IP-Routing-Table)
      Not advertised to any peer
      Original VRF 0
      65001
        202.103.1.2 from 202.103.1.2 (101.103.1.2)
          Origin IGP metric 0, localpref 100, valid, external, best
          Last update: Fri Jan  5 17:12:51 2024
    
  6. 查看Router的路由表中的BGP路由,只有一条默认路由指向FGT-1,distance为20(eBGP路由)。

    Router # get router info routing-table bgp
    Routing table for VRF=0
    B*      0.0.0.0/0 [20/0] via 202.103.1.2 (recursive is directly connected, port2), 00:31:31, [1/0]
    
  7. Router内网PC可以正常访问FGT-1和FGT-2内网PC。

BGP邻居建立排错

  1. 检查FGT-1的WAN1接口与FGT-2的WAN接口之间的连通性。
  2. 检查FGT-1和FGT-2之间的IPSec隧道是否建立成功,并验证IPSec隧道的连通性。
  3. 检查BGP建立的状态:
    • Idle:本地FortiGate尚未与邻居启动BGP进程。这可能是因为eBGP对等方距离较远,但未启用multihop。
    • Connect:本地FortiGate已启动BGP进程,但尚未发起TCP连接,可能是由于不正确的路由导致无法发起协商。
    • Active:本地FortiGate已启动TCP连接,但没有收到对端的响应。
  4. 如果BGP邻居间建立TCP连接存在问题,可以使用命令diagnose sniffer packet any 'tcp and port 179' 4来判断协商问题。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-02-28 16:40:09

results matching ""

    No results matching ""