Jump to content
Калькуляторы

Приём только дефолта из FW На старенькой цицке

Имею 3550. Есть задача принять от аплика только дефолт и проанонсировать свою AS.

Аплинк не может отдать только default и отдаёт FW.

 

Казалось-бы, задача тривиальна.

 

router bgp XXXX
no synchronization
bgp log-neighbor-changes
no auto-summary
!
address-family ipv4 vrf inet
 neighbor 33.33.33.33 remote-as YYYY
 neighbor 33.33.33.33 shutdown
 neighbor 33.33.33.33 activate
 neighbor 33.33.33.33 next-hop-self
 neighbor 33.33.33.33 prefix-list ONLYDEF in
 neighbor 33.33.33.33 prefix-list ASXXXX out
 neighbor 33.33.33.33 route-map def-only in
 neighbor 66.66.66.66 remote-as ZZZZ
 neighbor 66.66.66.66 activate
 neighbor 66.66.66.66 next-hop-self
 neighbor 66.66.66.66 prefix-list ONLYDEF in
 neighbor 66.66.66.66 prefix-list ASXXXX out
 no synchronization
 network 11.11.10.0 mask 255.255.254.0
 aggregate-address 11.11.10.0 255.255.254.0
exit-address-family
!
ip classless
ip route vrf inet 11.11.10.0 255.255.254.0 Null0
!
!
!
ip prefix-list ASXXXX seq 10 permit 11.11.10.0/23
!
ip prefix-list ONLYDEF seq 10 permit 0.0.0.0/0
!
ip prefix-list default seq 10 permit 0.0.0.0/0

route-map def-only permit 100
match ip address prefix-list default
!
route-map def-only deny 200

 

Попытка зарезать приём всего, кроме дефола и префикс-листами и роут-мапами была экспериментом.

 

С пиром 66.66.66.66 всё отлично, они шлют только дефолт.

С пиром 33.33.33.33, при подъёме сессии BGP , кошка крашится со словами о нехватке памяти для приёма очередного префикса. С той стороны можжевельник.

 

Софт c3550-ipservicesk9-mz.122-55.SE4

 

Поменять дедушку на 6500 в малой конфигурации не предлагать. Дедушка не мой, владельцу предложение озвучено.

Share this post


Link to post
Share on other sites

А логов крэша нема? Что-то мне кажется собака порылась в vrf...

Share this post


Link to post
Share on other sites
an954, changed state to up
*Mar  1 00:01:41.992: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan955, changed state to up
*Mar  1 00:01:41.992: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan956, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan957, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan958, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan959, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan960, changed state to up
*Mar  1 00:01:42.328: %LINK-3-UPDOWN: Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/10, changed state to up
*Mar  1 00:01:43.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:43.700: %OSPF-5-ADJCHG: Process 1, Nbr 10.10.11.7 on Vlan100 from LOADING to FULL, Loading Done
*Mar  1 00:01:44.184: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:22.866: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Feb 20 21:10:23.358: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966E8, alignment 0
Pool: Processor  Free: 98176  Cause: Memory fragmentation
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP Router", ipl= 0, pid= 201
-Traceback= 12828C0 1284DE0 12850F0 12966EC 1297348 7CC9C0 82EF50 82FFC8 7D1278 7D8FF0 7DA2C0 5124F0 508F68
Feb 20 21:10:23.374: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:23.378: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 1B1B 450C 4615 E5A9 4003 0425 1D15 7A14 7476 E016 67E9 C4
Feb 20 21:10:27.915: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up
Feb 20 21:10:55.390: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:57.826: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966D0, alignment 0
Pool: Processor  Free: 55172  Cause: Not enough free memory
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP I/O", ipl= 0, pid= 126
-Traceback= 12828C0 1284DE0 1284F00 12966D4 1297348 7F4BA4 7BF148 7C3578 7C492C 7C4D7C 5124F0 508F68
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory
Feb 20 21:10:57.922: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 0DA3 251A E4E9 D9B5 4003 0425 1D15 7A18 67F0 2C18 67F0 2F

*Mar  1 00:01:42.328: %LINK-3-UPDOWN: Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/10, changed state to up
*Mar  1 00:01:43.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:43.700: %OSPF-5-ADJCHG: Process 1, Nbr 10.10.11.7 on Vlan100 from LOADING to FULL, Loading Done
*Mar  1 00:01:44.184: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:22.866: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Feb 20 21:10:23.358: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966E8, alignment 0
Pool: Processor  Free: 98176  Cause: Memory fragmentation
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP Router", ipl= 0, pid= 201
-Traceback= 12828C0 1284DE0 12850F0 12966EC 1297348 7CC9C0 82EF50 82FFC8 7D1278 7D8FF0 7DA2C0 5124F0 508F68
Feb 20 21:10:23.374: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:23.378: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 1B1B 450C 4615 E5A9 4003 0425 1D15 7A14 7476 E016 67E9 C4
Feb 20 21:10:27.915: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up
Feb 20 21:10:55.390: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:57.826: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966D0, alignment 0
Pool: Processor  Free: 55172  Cause: Not enough free memory
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP I/O", ipl= 0, pid= 126
-Traceback= 12828C0 1284DE0 1284F00 12966D4 1297348 7F4BA4 7BF148 7C3578 7C492C 7C4D7C 5124F0 508F68
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory
Feb 20 21:10:57.922: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 0DA3 251A E4E9 D9B5 4003 0425 1D15 7A18 67F0 2C18 67F0 2F
Feb 20 21:11:16.475: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up
Feb 20 21:11:29.996: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:11:54.507: %SYS-2-MALLOCFAIL: Memory allocation of 32768 bytes failed from 0x12966E8, alignment 0
Pool: Processor  Free: 7096  Cause: Not enough free memory
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP Router", ipl= 0, pid= 201
Feb 20 21:11:54.559: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:11:54.563: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory
Feb 20 21:11:54.563: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 005F 0200 0000 1840 0101 0040 020A 0204 799D 1B1B B727 8309 4003 0425 1D15 7A13 AD2E 6018 4816 B318 C053 FD18 4816 B118 4816 B218 4816 B418 C0F6 E716 C0F6 E816 C0F6 E017 C0F6 E418 C04C EF18 C0F6 EB
Feb 20 21:12:05.752: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:12:36.514: %SYS-5-CONFIG_I: Configured from console by sol on vty1 (10.10.10.9)

Share this post


Link to post
Share on other sites

Что самое поразительно, на стенде (правда, на софте SE8) фильтрация работает. Я анонсировал с соседней мелкой кошки несколько роутов. Фильтр их фильтрует и они не попадают в RIB. Дефолт попадает, а всё остальное - нет. Конфиг - копия проблемной железки. Так-же с VRF и прочим.

 

ЗЫ

На проблемной железке памяти свободно 9+ МБ

Share this post


Link to post
Share on other sites

Может, гарбли реализации какие-то? Ну т.е. сначала принимается таблица целиком, а потом - фильтруется?

Более другой софт не помогает? Если погасить "хороший" пир - все так же падает?

Share this post


Link to post
Share on other sites

DVM-Avgoor

А есть разница в применении prefix-list vs route-map в bgp-соседстве?

Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default?

Share this post


Link to post
Share on other sites

DVM-Avgoor

А есть разница в применении prefix-list vs route-map в bgp-соседстве?

Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default?

 

почитайте про bgp adjacency rib in / out, фильтрация проиходит после принятия всех маршрутов.

Share this post


Link to post
Share on other sites

DVM-Avgoor

А есть разница в применении prefix-list vs route-map в bgp-соседстве?

Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default?

 

почитайте про bgp adjacency rib in / out, фильтрация проиходит после принятия всех маршрутов.

 

А разве это не только при включенном soft reconfiguration inbound так происходит?

На сколько я помню, когда этот режим выключен (а у ТС он выключен), то фильтрация происходит в момент получения префикса.

Share this post


Link to post
Share on other sites

судя по всему 3550 не поддерживает SRI

 

 

Unsupported BGP Router Configuration Commands


Note These BGP commands have not been tested for the Catalyst 3550 and are not supported for the switch in Cisco IOS release 12.1(12c)EA1. This is not a complete list.
address-family vpnv4
address-family ipv4 [multicast | unicast]
default-information originate
neighbor advertise-map
neighbor advertisement-interval
neighbor allowas-in
neighbor default-originate
neighbor description
neighbor distribute-list
neighbor prefix-list
neighbor route-reflector client
neighbor soft-reconfiguration
neighbor version
network backdoor
table-map

 

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-1_12c_ea1/configuration/guide/3550scg/swuncli.html

 

 

а здесь описана очередность применения фильтров http://xgu.ru/wiki/BGP_%D0%B2_Cisco#.D0.9F.D0.BE.D1.80.D1.8F.D0.B4.D0.BE.D0.BA_.D0.BF.D1.80.D0.B8.D0.BC.D0.B5.D0.BD.D0.B5.D0.BD.D0.B8.D1.8F_.D1.84.D0.B8.D0.BB.D1.8C.D1.82.D1.80.D0.BE.D0.B2_.D0.B2_BGP

Share this post


Link to post
Share on other sites

Давайте дождемся пока автор сделает "no ... route-map ..." а потом поиграем в угадайку или чтение мануалов от cisco.

Share this post


Link to post
Share on other sites

Ноу роут мап не помогает, как явствует из первого сообщения. Роут мап появился позже и в рамках эсперимента.

Share this post


Link to post
Share on other sites

А я не уверен, что ТС сделал:

1) Мягкое и жесткой обновление информации о пирах.

2) Тестировал запрещающих правил всего при коннекте ко второму пиру.

Share this post


Link to post
Share on other sites

1. Софт апдейты по умолчанию выключены. Проверено на стенде.

2. Не понял, о чём речь.

Share this post


Link to post
Share on other sites

Значит что-то сделали не так. В том и суть, что prefix-list фильтрует префиксы не загружая их в память, а route-map грузит. Поэтому я советую удалить роут-мап и оставить prefix-list, а не держать их вместе, т.к. см. ссылку на xgu.

Share this post


Link to post
Share on other sites

DVM-Avgoor, ещё раз. Роут-мап появился, как эксперимент, ПОСЛЕ того, как всё упало. Я решил, что, каким-то образом, префикс лист не фильтрует префиксы и, не зная очерёдности применения фильтров, добавил роут-мап. Сейчас его нету. Ситуацию это не меняет. Как падало, так и падает..

 

Такая-же история со строчкой deny в конце роут-мапа. Я понимаю, что в конце и так должно быть неявное deny. Но тут явный полтергейст. 100 раз фильтровал всякое и оно фильтровалось, а тут на тебе.

 

Проблемный аплинк, если что, Мегафон.

Share this post


Link to post
Share on other sites

есть крайнее 122-55.SE8 ?

Share this post


Link to post
Share on other sites

Еще в качестве эксперимента можно попробовать фильтрануть по AS-PATH. Дефолт же всё равно прилетает от имени автономной системы аплинка, плюс какие-то копеечные собственные маршруты, которые ни на что не повлияют.

Но это шаманство, конечно.

Share this post


Link to post
Share on other sites

А на тестовой циске у вас случайно нет вланов? (Т.е. может разница в кол-ве вланов).

Share this post


Link to post
Share on other sites
Аплинк не может отдать только default и отдаёт FW.

Не совсем понимаю почему аплинк в настройках вашей с ним сессии не может написать

nei a.b.c.d default-originate

 

?

 

во вторых - у вас этот "неспособный" аплинк - он основной или резервный?

Если резервный - то принимайте от основного default-route а на резервного повесьте floating static

ip route 0.0.0.0 0.0.0.0 250 name BACKUP-DEFAULT-ROUTE-TO-UPLINK2

Share this post


Link to post
Share on other sites

В очередной раз прорекламирую рекурсивный дефолт :)

ФВ режете до сетей /8, и на пару из сетей /8 пишете дефолт (ip route 0.0.0.0 0.0.0.0 8.0.0.0 например).

 

итог: есть дефолт, с некстхопом того аплинка, от которого лучше маршрут к 8.0.0.0/8. И если вдруг этот аплинк перестал анонсировать 8/8, то некстхоп дефолта укажет на другого.

 

П.С: Упс, не дочитал первый пост :)

Edited by Stak

Share this post


Link to post
Share on other sites

В очередной раз прорекламирую рекурсивный дефолт :)

ФВ режете до сетей /8, и на пару из сетей /8 пишете дефолт (ip route 0.0.0.0 0.0.0.0 8.0.0.0 например).

 

итог: есть дефолт, с некстхопом того аплинка, от которого лучше маршрут к 8.0.0.0/8. И если вдруг этот аплинк перестал анонсировать 8/8, то некстхоп дефолта укажет на другого.

 

Его проблема в другом,это же очевидно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this