Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:bgp [2021/11/08 14:23] – [Contrôler les préfixes in/out] pteu
+++ informatique:fortinet:bgp [2025/09/25 06:36] (current) – pteu
@@ Line 98: / Line 98: @@
                     unset le
                 end
+                edit 2
+                    set action deny
+                    set prefix any
+                    unset ge
+                    unset le
+                end
+            end
-# on l'applique comme distribute-list sur notre voisin
+# on l'applique sur notre voisin
 config router bgp
     set as 65000
@@ Line 105: / Line 112: @@
             edit "192.168.0.2"
                 set remote-as 65001
-                set set distribute-list-in "pref_BGP-in"
+                set prefix-list-in "pref_BGP-in"
             end
 </code>
 Les options ''ge'' et ''le'' servent à préciser le masque minimum et maximum pour que la liste matche. Par défaut le masque doit être strictement égal à celui spécifié pour matcher, ici un /16. Cela signifie que si le voisin nous annonce 192.168.0.0**/24**, notre routeur refusera la route.
-On peut faire de même pour contrôler nos annonces vers ce voisin, en définissant de la même façon une ''distribute-list-out''.
+On peut faire de même pour contrôler nos annonces vers ce voisin, en définissant de la même façon une ''prefix-list-out''.
-Ce résultat aurait pu être identique avec l'utilisation d'une access-list de filtrage + route-map-in/out ; mais cette solution consomme plus de ressources et ne devrait être réservée que pour des actions plus spécifiques (voir "[[informatique:fortinet:bgp#Contrôle avancé des annonces|Contrôle avancé des annonces]]" dans la suite).
+Ce résultat aurait pu être identique avec l'utilisation d'une ''access-list'' de filtrage + ''distribute-list-in/out'' ou ''route-map-in/out'' ; mais cette solution consomme plus de ressources et ne devrait être réservée que pour des actions plus spécifiques (voir "[[informatique:fortinet:bgp#Contrôle avancé des annonces|Contrôle avancé des annonces]]" dans la suite).
 =====Contrôle avancé des annonces=====
-Pour contrôler le routage quand on a 2 liens WANs, on s'appuie sur les spécificités du BGP : on va utiliser les **attributs de communauté** pour envoyer une préférence de routes à appliquer par notre voisin ; et utiliser l'attribut **weight** (poids) pour contrôler la préférence des routes apprises depuis ce dernier :
+Pour contrôler le routage quand on a 2 liens WANs, on s'appuie sur les spécificités du BGP : on va utiliser les **community strings** (communautés étendues) pour tagguer les préfixes que l'on annoncent, que nos voisins utiliseront pour prioriser certains préfixes ; et utiliser l'attribut **weight** (poids) pour contrôler la préférence des routes apprises depuis ces derniers :
-  * envoi de la communauté 65001:100 à notre voisin "backup", et 65001:200 à notre voisin "nominal".
+  * envoi de la communauté 65001:100 à notre voisin "backup", et 65001:200 à notre voisin "nominal" (les tags 100 et 200 sont arbitraires, et une //policy// doit être configurée explicitement sur chaque voisin, pour appliquer une action de priorisation -ou non- du préfixe (via une **local pref** par exemple).
   * affectation du poids (weight) 100 aux routes apprises par le voisin backup, et 200 par le nominal.
 NB: nos 2 voisins sont dans le même AS, 65001.
@@ Line 173: / Line 180: @@
     end
-# On place ces routemap sur chaque voisin, en "in" pour le weight et en "out" pour la commu :
+# On place ces routemap sur chaque voisin, en "in" pour le weight et en "out" pour le tag de commu :
 config router bgp
     set as 65000
@@ Line 193: / Line 200: @@
 </code>
-Pour prendre en compte ces modifications, il faut faire un ''execute router restart'' qui va relancer le process (**attention, ça va couper tout le routage !** quelques instants). A chaque modification de la configuration BGP, il faut également rafraîchir les routes BGP avec : ''execute router clear bgp all''.
+Pour prendre en compte ces modifications, il faut faire un ''execute router restart'' qui va relancer tout le routage (**attention, ça va couper !**).
+A chaque modification de la configuration BGP, il faut également la reprendre en compte avec :
+<code bash>
+# recharger (soft reset) toute les annonces in et out
+execute router clear bgp all soft
+# soft reset (limite la portée de l'update aux annonces in)
+execute router clear bgp all in
+# MAJ uniquement les annonces envoyées vers un peer défini
+execute router clear bgp ip 192.168.0.3 out
+# MAJ uniquement les annonces envoyées vers les peers d'un AS spécifique
+execute router clear bgp as 65001 out
+# recharger la configuration BGP (relancer le process BGP)
+execute router clear bgp all
+</code>
+Pour que ces commandes soient prisent en compte immédiatement (avant le prochain //advertisement-interval//) il faut activer la fonction **BGP Soft Reconfiguration** (voir plus bas).
 ====Vérifications====
@@ Line 212: / Line 239: @@
 get router info bgp neighbors 192.168.0.3 adv
 get router info bgp neighbors 192.168.0.3 received-routes
+</code>
+<code bash>
+get router info bgp community-info
+Address Refcnt Community
+[0x404237b8ff] (12) 65001:100
+[0x40423788af] (3) 65001:200
+get router info bgp community 65001:100
+get router info bgp route-map "rm_BGP-nom-out"
 </code>
 =====Vérifications=====
@@ Line 280: / Line 318: @@
 <code bash>
+diagnose debug reset
 # mettre en place un debug du processus BGP
 diagnose ip router bgp all enable
@@ Line 285: / Line 325: @@
 # voir les update sortantes
 diagnose ip router bgp updates out en
+# niveau de debug pour le BGP
+diagnose ip router bgp level info
 # (activer le debug)
 diagnose debug enable
+# pour terminer le debug
+diagnose debug disable
+diagnose debug reset
 </code>
@@ Line 305: / Line 352: @@
 </code>
-====soft-reconfiguration====
+====BGP Soft reconfiguration====
-Si le routeur n'est pas surchargé en terme de mémoire, on peut activer l'option ''soft-reconfiguration'' par neighbor, qui apporte plus d'informations pour les diagnostiques :
+Si le routeur n'est pas surchargé en terme de mémoire, on peut activer la fonction [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-BGP-soft-reset-to-refresh-BGP-routing-table/ta-p/190141|BGP Soft Reconfiguration]] par neighbor :
 <code bash>
 config router bgp
@@ Line 315: / Line 362: @@
       end
 </code>
+Cela permet l'application plus rapide des confs BGP dans le cas de modifications de configuration en "in".
 On a ensuite accès à des commandes plus fines, comme les routes reçues ou envoyées à un voisin spécifique :
 <code bash>
-get router info bgp neighbors 10.55.200.94 received-route
+# afficher les routes annoncées par un voisin
-get router info bgp neighbors 10.55.200.94 advertised-routes
+get router info bgp neighbors 10.55.202.92 received-route
+# afficher les routes apprises (en tenant compte des éventuels filtrages) d'un voisin
+get router info bgp neighbors 10.55.202.92 routes
+!
+# afficher les routes annoncées à un voisin
+get router info bgp neighbors 10.55.202.92 advertised-routes
 </code>