Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:bgp [2021/11/08 14:45] – [Contrôle avancé des annonces] pteu
+++ informatique:fortinet:bgp [2024/07/22 13:55] (current) – [soft-reconfiguration] pteu
@@ Line 98: / Line 98: @@
                     unset le
                 end
+                edit 2
+                    set action deny
+                    set prefix any
+                    unset ge
+                    unset le
+                end
+            end
-# on l'applique comme distribute-list sur notre voisin
+# on l'applique sur notre voisin
 config router bgp
     set as 65000
@@ Line 105: / Line 112: @@
             edit "192.168.0.2"
                 set remote-as 65001
-                set set distribute-list-in "pref_BGP-in"
+                set prefix-list-in "pref_BGP-in"
             end
 </code>
 Les options ''ge'' et ''le'' servent à préciser le masque minimum et maximum pour que la liste matche. Par défaut le masque doit être strictement égal à celui spécifié pour matcher, ici un /16. Cela signifie que si le voisin nous annonce 192.168.0.0**/24**, notre routeur refusera la route.
-On peut faire de même pour contrôler nos annonces vers ce voisin, en définissant de la même façon une ''distribute-list-out''.
+On peut faire de même pour contrôler nos annonces vers ce voisin, en définissant de la même façon une ''prefix-list-out''.
-Ce résultat aurait pu être identique avec l'utilisation d'une access-list de filtrage + route-map-in/out ; mais cette solution consomme plus de ressources et ne devrait être réservée que pour des actions plus spécifiques (voir "[[informatique:fortinet:bgp#Contrôle avancé des annonces|Contrôle avancé des annonces]]" dans la suite).
+Ce résultat aurait pu être identique avec l'utilisation d'une ''access-list'' de filtrage + ''distribute-list-in/out'' ou ''route-map-in/out'' ; mais cette solution consomme plus de ressources et ne devrait être réservée que pour des actions plus spécifiques (voir "[[informatique:fortinet:bgp#Contrôle avancé des annonces|Contrôle avancé des annonces]]" dans la suite).
@@ Line 195: / Line 202: @@
 Pour prendre en compte ces modifications, il faut faire un ''execute router restart'' qui va relancer tout le routage (**attention, ça va couper !**).
-A chaque modification de la configuration BGP, il faut également rafraîchir les routes BGP avec : ''execute router clear bgp all''.
+A chaque modification de la configuration BGP, il faut également la reprendre en compte avec :
+<code bash>
+# recharger toute la configuration BGP (relancer le process BGP)
+execute router clear bgp all
+# soft reset (limite la portée de l'update aux annonces in)
+execute router clear bgp ip soft in
+# MAJ uniquement les annonces d'un peer
+execute router clear bgp ip in 192.168.0.3
+</code>
 ====Vérifications====
@@ Line 214: / Line 232: @@
 get router info bgp neighbors 192.168.0.3 adv
 get router info bgp neighbors 192.168.0.3 received-routes
+</code>
+<code bash>
+get router info bgp community-info
+Address Refcnt Community
+[0x404237b8ff] (12) 65001:100
+[0x40423788af] (3) 65001:200
+get router info bgp community 65001:100
+get router info bgp route-map "rm_BGP-nom-out"
 </code>
 =====Vérifications=====
@@ Line 320: / Line 349: @@
 On a ensuite accès à des commandes plus fines, comme les routes reçues ou envoyées à un voisin spécifique :
 <code bash>
-get router info bgp neighbors 10.55.200.94 received-route
+# afficher les routes annoncées par un voisin
-get router info bgp neighbors 10.55.200.94 advertised-routes
+get router info bgp neighbors 10.55.202.92 received-route
+# afficher les routes apprises (en tenant compte des éventuels filtrages) d'un voisin
+get router info bgp neighbors 10.55.202.92 routes
+!
+# afficher les routes annoncées à un voisin
+get router info bgp neighbors 10.55.202.92 advertised-routes
 </code>