Cisco ASA和BGP对等互连问题：命令行技巧

　　如果您有Cisco ASA或PIX防火墙，您可能会遇到BGP对等互连问题。有一些简单的命令行技巧可以使两个节点恢复通信和认证。

　　您会遇到的两个问题是：

　　1.ASA清除了TCP Option 19。这是Border Gateway Protocol (BGP)用于进行认证的。

　　2.ASA随机产生TCP序列号。

　　在文中TechTarget编辑将邀请Fast Packet博客作者Ivan Pepeljnak解释这些问题的原因。

　　由于清除了Option 19，配置用于认证的BGP路由器将无法看到来自它们节点的证书，因此无法建立BGP邻居。您可以执行一些kung-fu命令来解决这个问题：

　　首先是匹配BGP Traffic

　　access-list BGP extended permit tcp any eq bgp any

　　access-list BGP extended permit tcp any any eq bgp

　　接着创建允许Option 19的TCP Map

　　tcp-map BGP

　　tcp-options range 19 19 allow

　　现在可以创建一个class-map来匹配之前您所创建的BGP ACL

　　class-map BGP

　　match access-list BGP

　　最后，将class-map应用到全局策略中：

　　policy-map global_policy

　　class BGP

　　set connection advanced-options BGP

　　现在我们来解决第二个问题，当您仍然处于policy-map配置模式时，您需要禁用随机序列数。

　　set connection random-sequence-number disable

　　这样，您就可以使用一个相当简单的配置来解决一堆同类问题了。而且还有其他好的方面：一旦您了解了ASA是如何处理这个BGP流量的，您可能就开始理解为何您的网络会出现其它的问题。

　　很多时候，我发现通过允许或者拒绝某些TCP属性，TCP图可以用于处理通过ASA的应用流量。同时，有意思的是，禁用随机序列数不会产生不良影响。有一些应用程序会使用这个序列数进行认证。如果序列数发生了改变，那么数据包可能无法验证。如果有疑问，可以尝试使用诸如Wireshark网络分析器的工具来捕捉ASA双向数据包以查看发生了什么变化，然后将ASA从流量路径删除。如果您发现有变化，而且能够在没有ASA的情况下验证功能，那么您通常可以修改ASA使之放行成功的流量流。