IbZ

Я так понимаю в этом должно быть пофиксено? Я на самом деле не с праздным интересом... У меня такая же примерно проблема с bgp. Я ее вроде как решил с помощью переписывания policy и аксесс-листов, но в процессе решения у меня возникло ощущение что я сделал что-то некошерно....

Заранее извиняюсь если мертвеца из гроба поднимаю... :)) Да, у меня вот есть очень большое подозрение что так и происходит у вас и 10.255.10.1 и 10.255.10.5 для циски стоят со стороны тех интерфейсов где service-policy type control ISG-IP-POLICY стоит, и очень похоже на то что в какой то момент (например кто-то трассировочку пускает) длинки посылают пакет _через_ циску, соответственно создается ип-сессия, скорее всего в вашем радиусе они не проавторизовываются ( посмотрите в этот момент sh sss sess | i 10.255.10. ) и соответственно в течении "20 set-timer UNAUTH-TIMER 1" одной минуты весь трафик от длинков дропается. Минута проходит, неавторизованная сессия удаляется, мультикаст от длинка до сиски (не через, не сквозь! ) нормально начинает ходить. До следующей трассировочки... когда длинк попытается прокинуть пакетик со своим сурс_ип через/сквозь (а не до) сиску...

Если эти ип можно обьединить в общую подсеть - можно отдать при авторизации в ответе радиуса атрибут Framed-IP-Netmask и тогда первый авторизовавшийся ип позволит выпустить всю эту подсеть. Здесь на форумах уже обсуждалось вроде.

Нам он помог несколько раз, так что отчаиваться думаю не стоит, может случай трудный. Райп кстати я заметил стал очень подолгу отвечать - если раньше ответы приходили в тот же день - теперь бывает отвечают только через 2-3 дня.

Присоединяюсь с благодарностями - нам они очень помогли. Спасибо!

согласен, как были лишние группы так и остались ... Виноват. Предыдущий ответ был неполныйвот такое еще добавляем (для 3052) create access_profile ip destination_ip 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip destination_ip 224.0.0.1 port 1-52 permit config access_profile profile_id 10 add access_id 2 ip destination_ip 224.0.0.2 port 1-52 permit create access_profile ip destination_ip 224.0.0.0 profile_id 15 config access_profile profile_id 15 add access_id 1 ip destination_ip 224.0.0.0 port 49-52 permit config access_profile profile_id 15 add access_id 2 ip destination_ip 224.0.0.0 port 1-52 deny ну и примерное такое у вас уже есть по моему create mcast_filter_profile profile_id 1 profile_name IPTV config mcast_filter_profile profile_id 1 add 239.250.0.0-239.250.0.100 config mcast_filter_profile profile_id 1 add 224.2.127.254 config mcast_filter_profile profile_id 1 add 239.251.0.1-239.251.0.50 config max_mcast_group port 1-52 max_group 256 config limited_multicast_addr ports 1-48 add profile_id 1 config limited_multicast_addr ports 49-52 delete profile_id 1 после этого "левые" мультикасты могут быть только с аплинка

ichbinkubik aaa pod server ?

config cpu_filter l3_control_pkt 1-28 ospf dvmrp pim igmp_query rip vrrp state enable config cpu_filter l3_control_pkt 25-28 igmp_query state disable enable igmp_snooping forward_mcrouter_only config router_ports_forbidden multicast_vlan add 1-24 вот такое есть. предполагается что клиенты тока на 1-24 порту первые две команды правда работают только в старших прошивках

Беру свои слова обратно.Действительно оставив для чистоты эксперимента только одну сессию и поигравшись разными настройками с последующим отслеживанием на различных лукинг-глассах показало что сиска в команде sh ip bgp ne .. advertised-routes не выводит добавляемые мною же препенды, но соседям таки их анонсирует :) Возможно это особенность конкретно моей модели сиски, и/или иоса ибо в книжках и в инете видел что выводится... :) Спасибо большое всем кто откликнулся, вопрос снимаю, тему можно закрыть.

Нет, все-тки не нормально :( На лукинг-глассах обоих аплинков как раз смотрю - другие мои подсети вижу приходят и с препендами и комьюнити видны. А подсетка с сиски приходит только с комьюнити - которые ведь навешиваютя теми же роут-мапами, там же где и препенды! :( :wall:

в общем ни ip route my_subnet 255.255.255.128 loo0 ни int loo0 ip address ... не изменило ситуации и сиска по прежнему пишет в Next HOP = 0.0.0.0 а в линуксе - свой ип-шник neighbor next-hop-self neighbor update-source ставил И не будет видно на cisco, этой командой можно увидеть маршруты из локальной таблицы BGP, то есть увидеть установленные препенды таким образом нельзя. это в случае iBGP если не ошибаюсь, а с eBGP как у меня показывать должно, причем в next hop должен быть сискин ип в сессии с этим нейбором

Естьвот такой ip route my_subnet 255.255.255.128 Null0 240 Может через loopback лучше сделать?

Нет, врядли. Я создал необходимые route object'ы и в принципе другие такие сетки с линуксовых бордеров даже в лукинг-гласах видны На самом деле мне главное чтобы у аплинков эти сети установились (на других бордерах я еще анонсирую и полную свою сеть чтоб в инете даже если кто и рубит < /24 - знали что путь лежит через моих аплинков) - главное чтобы рутер аплинка знал что вот эту конкретную /25 надо через вот этот конкретный ип (и соответственно через один из двух физических каналов до этого аплинка) моего бордера (чтобы работал нат) Тут видно прямо на моей сиске что в анонс ничего не добавляется - sh ip bgp neigh .. advertised-routes не показывает вот на другом линуксовом бордере с аналогично составленными роут-мапами например видно border# sh ip bgp ne neigh1_ip2 adv BGP table version is 0, local router ID is ххх Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> x.x.227.0/25 vlan2008_my_ip 0 32768 my_as i ... *> x.x.224.0/20 vlan2008_my_ip 0 32768 my_as my_as my_as my_as i *> x.x.232.0/21 vlan2008_my_ip 0 32768 my_as i Total number of prefixes 6

Помогите пожалуйста Есть два аплинка к каждому по два физических канала. Стоит несколько писишных бордеров. С помощью роут-мапов/комьюнити/локалпрефов и анонсирования только своих подсетей сделано так что каждый из бордеров работает по одному из каналов в каждом аплинке, а второй держит в резерве. Все замечательно. Тут понадобилось воткнуть еще один бордер - но уже сиску... И в общем теперь я вижу что не добавляются мои препенды при анонсировании чтобы не быть голословным конфиг router bgp my_as bgp router-id r_id bgp log-neighbor-changes ! scope global neighbor neigh1-ip1 remote-as UPLINK1_AS neighbor neigh1-ip1 description UPLINK1-2006 neighbor neigh1-ip1 ebgp-multihop 15 neighbor neigh1-ip2 remote-as UPLINK1_AS neighbor neigh1-ip2 description UPLINK1-2008 neighbor neigh1-ip2 ebgp-multihop 15 neighbor neigh2-ip1 remote-as UPLINK2_AS neighbor neigh2-ip1 description UPLINK2-2001 neighbor neigh2-ip1 ebgp-multihop 15 neighbor neigh2-ip2 remote-as UPLINK2_AS neighbor neigh2-ip2 description UPLINK2-2003 neighbor neigh2-ip2 ebgp-multihop 15 ! address-family ipv4 no synchronization network my_subnet mask 255.255.255.128 neighbor neigh1-ip1 activate neighbor neigh1-ip1 send-community neighbor neigh1-ip1 distribute-list UPLINKS_from in neighbor neigh1-ip1 distribute-list UPLINKS_to out neighbor neigh1-ip1 route-map route_map_UPLINK1_2006_in in neighbor neigh1-ip1 route-map route_map_UPLINK1_2006_out out neighbor neigh1-ip2 activate neighbor neigh1-ip2 send-community neighbor neigh1-ip2 distribute-list UPLINKS_from in neighbor neigh1-ip2 distribute-list UPLINKS_to out neighbor neigh1-ip2 route-map route_map_UPLINK1_2008_in in neighbor neigh1-ip2 route-map route_map_UPLINK1_2008_out out neighbor neigh2-ip1 activate neighbor neigh2-ip1 send-community neighbor neigh2-ip1 distribute-list UPLINKS_from in neighbor neigh2-ip1 distribute-list UPLINKS_to out neighbor neigh2-ip1 route-map route_map_UPLINK2_2001_in in neighbor neigh2-ip1 route-map route_map_UPLINK2_2001_out out neighbor neigh2-ip2 activate neighbor neigh2-ip2 send-community neighbor neigh2-ip2 distribute-list UPLINKS_from in neighbor neigh2-ip2 distribute-list UPLINKS_to out neighbor neigh2-ip2 route-map route_map_UPLINK2_2003_in in neighbor neigh2-ip2 route-map route_map_UPLINK2_2003_out out no auto-summary ! ! ! для примера один из роут-мапов (для канала который держится в резерве) ip access-list standard announce_to_uplinks_all deny my_subnet 0.0.0.127 permit all_my_nets 0.0.15.255 deny any ip access-list standard announce_to_uplinks_from_this_border permit my_subnet 0.0.0.127 deny any ! route-map route_map_UPLINK1_2008_out permit 1000 match ip address announce_to_uplinks_from_this_border set as-path prepend my_as my_as my_as set community UPLINK1_CMMNTY ! route-map route_map_UPLINK1_2008_out permit 2000 match ip address announce_to_uplinks_all set as-path prepend my_as my_as my_as my_as my_as my_as my_as set community UPLINK1_CMMNTY ! Access-list'ы пробовал поменять на ip prefix-list - все равно не добавляются ASR1004-1#sh ip bgp nei neigh1-ip2 adv BGP table version is 2899710, local router ID is r_id Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> my_subnet/25 0.0.0.0 0 32768 i Total number of prefixes 1 Может какой-то нюанс пропустил сискин? clear ip bgp делал... Сетка my_subnet/25 кстати используется для ната и поэтому чтобы анонсировалась вообще я воткнул ip route my_subnet 255.255.255.128 Null0 240 Причем сюдя по всему комьюнити работает - т.е. лукингглассы показывают что аплинки в свою очередь препенды добавляют... - что делать? только комьюнити использовать остается?

может route add -net 224.0.0.0/4 dev ethXX поможет?