sol Опубликовано 21 февраля, 2015 · Жалоба Имею 3550. Есть задача принять от аплика только дефолт и проанонсировать свою AS. Аплинк не может отдать только default и отдаёт FW. Казалось-бы, задача тривиальна. router bgp XXXX no synchronization bgp log-neighbor-changes no auto-summary ! address-family ipv4 vrf inet neighbor 33.33.33.33 remote-as YYYY neighbor 33.33.33.33 shutdown neighbor 33.33.33.33 activate neighbor 33.33.33.33 next-hop-self neighbor 33.33.33.33 prefix-list ONLYDEF in neighbor 33.33.33.33 prefix-list ASXXXX out neighbor 33.33.33.33 route-map def-only in neighbor 66.66.66.66 remote-as ZZZZ neighbor 66.66.66.66 activate neighbor 66.66.66.66 next-hop-self neighbor 66.66.66.66 prefix-list ONLYDEF in neighbor 66.66.66.66 prefix-list ASXXXX out no synchronization network 11.11.10.0 mask 255.255.254.0 aggregate-address 11.11.10.0 255.255.254.0 exit-address-family ! ip classless ip route vrf inet 11.11.10.0 255.255.254.0 Null0 ! ! ! ip prefix-list ASXXXX seq 10 permit 11.11.10.0/23 ! ip prefix-list ONLYDEF seq 10 permit 0.0.0.0/0 ! ip prefix-list default seq 10 permit 0.0.0.0/0 route-map def-only permit 100 match ip address prefix-list default ! route-map def-only deny 200 Попытка зарезать приём всего, кроме дефола и префикс-листами и роут-мапами была экспериментом. С пиром 66.66.66.66 всё отлично, они шлют только дефолт. С пиром 33.33.33.33, при подъёме сессии BGP , кошка крашится со словами о нехватке памяти для приёма очередного префикса. С той стороны можжевельник. Софт c3550-ipservicesk9-mz.122-55.SE4 Поменять дедушку на 6500 в малой конфигурации не предлагать. Дедушка не мой, владельцу предложение озвучено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 21 февраля, 2015 · Жалоба А логов крэша нема? Что-то мне кажется собака порылась в vrf... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 21 февраля, 2015 · Жалоба an954, changed state to up *Mar 1 00:01:41.992: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan955, changed state to up *Mar 1 00:01:41.992: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan956, changed state to up *Mar 1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan957, changed state to up *Mar 1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan958, changed state to up *Mar 1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan959, changed state to up *Mar 1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan960, changed state to up *Mar 1 00:01:42.328: %LINK-3-UPDOWN: Interface GigabitEthernet0/4, changed state to up *Mar 1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up *Mar 1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/10, changed state to up *Mar 1 00:01:43.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/4, changed state to up *Mar 1 00:01:43.700: %OSPF-5-ADJCHG: Process 1, Nbr 10.10.11.7 on Vlan100 from LOADING to FULL, Loading Done *Mar 1 00:01:44.184: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up Feb 20 21:10:22.866: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up Feb 20 21:10:23.358: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966E8, alignment 0 Pool: Processor Free: 98176 Cause: Memory fragmentation Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "BGP Router", ipl= 0, pid= 201 -Traceback= 12828C0 1284DE0 12850F0 12966EC 1297348 7CC9C0 82EF50 82FFC8 7D1278 7D8FF0 7DA2C0 5124F0 508F68 Feb 20 21:10:23.374: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory Feb 20 21:10:23.378: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 1B1B 450C 4615 E5A9 4003 0425 1D15 7A14 7476 E016 67E9 C4 Feb 20 21:10:27.915: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up Feb 20 21:10:55.390: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up Feb 20 21:10:57.826: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966D0, alignment 0 Pool: Processor Free: 55172 Cause: Not enough free memory Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "BGP I/O", ipl= 0, pid= 126 -Traceback= 12828C0 1284DE0 1284F00 12966D4 1297348 7F4BA4 7BF148 7C3578 7C492C 7C4D7C 5124F0 508F68 Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory Feb 20 21:10:57.922: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 0DA3 251A E4E9 D9B5 4003 0425 1D15 7A18 67F0 2C18 67F0 2F *Mar 1 00:01:42.328: %LINK-3-UPDOWN: Interface GigabitEthernet0/4, changed state to up *Mar 1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up *Mar 1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/10, changed state to up *Mar 1 00:01:43.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/4, changed state to up *Mar 1 00:01:43.700: %OSPF-5-ADJCHG: Process 1, Nbr 10.10.11.7 on Vlan100 from LOADING to FULL, Loading Done *Mar 1 00:01:44.184: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up Feb 20 21:10:22.866: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up Feb 20 21:10:23.358: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966E8, alignment 0 Pool: Processor Free: 98176 Cause: Memory fragmentation Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "BGP Router", ipl= 0, pid= 201 -Traceback= 12828C0 1284DE0 12850F0 12966EC 1297348 7CC9C0 82EF50 82FFC8 7D1278 7D8FF0 7DA2C0 5124F0 508F68 Feb 20 21:10:23.374: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory Feb 20 21:10:23.378: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 1B1B 450C 4615 E5A9 4003 0425 1D15 7A14 7476 E016 67E9 C4 Feb 20 21:10:27.915: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up Feb 20 21:10:55.390: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up Feb 20 21:10:57.826: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966D0, alignment 0 Pool: Processor Free: 55172 Cause: Not enough free memory Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "BGP I/O", ipl= 0, pid= 126 -Traceback= 12828C0 1284DE0 1284F00 12966D4 1297348 7F4BA4 7BF148 7C3578 7C492C 7C4D7C 5124F0 508F68 Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory Feb 20 21:10:57.922: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 0DA3 251A E4E9 D9B5 4003 0425 1D15 7A18 67F0 2C18 67F0 2F Feb 20 21:11:16.475: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up Feb 20 21:11:29.996: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up Feb 20 21:11:54.507: %SYS-2-MALLOCFAIL: Memory allocation of 32768 bytes failed from 0x12966E8, alignment 0 Pool: Processor Free: 7096 Cause: Not enough free memory Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "BGP Router", ipl= 0, pid= 201 Feb 20 21:11:54.559: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory Feb 20 21:11:54.563: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory Feb 20 21:11:54.563: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 005F 0200 0000 1840 0101 0040 020A 0204 799D 1B1B B727 8309 4003 0425 1D15 7A13 AD2E 6018 4816 B318 C053 FD18 4816 B118 4816 B218 4816 B418 C0F6 E716 C0F6 E816 C0F6 E017 C0F6 E418 C04C EF18 C0F6 EB Feb 20 21:12:05.752: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up Feb 20 21:12:36.514: %SYS-5-CONFIG_I: Configured from console by sol on vty1 (10.10.10.9) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 21 февраля, 2015 · Жалоба Что самое поразительно, на стенде (правда, на софте SE8) фильтрация работает. Я анонсировал с соседней мелкой кошки несколько роутов. Фильтр их фильтрует и они не попадают в RIB. Дефолт попадает, а всё остальное - нет. Конфиг - копия проблемной железки. Так-же с VRF и прочим. ЗЫ На проблемной железке памяти свободно 9+ МБ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 21 февраля, 2015 · Жалоба Может, гарбли реализации какие-то? Ну т.е. сначала принимается таблица целиком, а потом - фильтруется? Более другой софт не помогает? Если погасить "хороший" пир - все так же падает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 22 февраля, 2015 · Жалоба Уберите neighbor 33.33.33.33 route-map def-only in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 23 февраля, 2015 · Жалоба DVM-Avgoor А есть разница в применении prefix-list vs route-map в bgp-соседстве? Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 23 февраля, 2015 · Жалоба DVM-Avgoor А есть разница в применении prefix-list vs route-map в bgp-соседстве? Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default? почитайте про bgp adjacency rib in / out, фильтрация проиходит после принятия всех маршрутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 февраля, 2015 · Жалоба DVM-Avgoor А есть разница в применении prefix-list vs route-map в bgp-соседстве? Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default? почитайте про bgp adjacency rib in / out, фильтрация проиходит после принятия всех маршрутов. А разве это не только при включенном soft reconfiguration inbound так происходит? На сколько я помню, когда этот режим выключен (а у ТС он выключен), то фильтрация происходит в момент получения префикса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 февраля, 2015 · Жалоба судя по всему 3550 не поддерживает SRI Unsupported BGP Router Configuration Commands Note These BGP commands have not been tested for the Catalyst 3550 and are not supported for the switch in Cisco IOS release 12.1(12c)EA1. This is not a complete list. address-family vpnv4 address-family ipv4 [multicast | unicast] default-information originate neighbor advertise-map neighbor advertisement-interval neighbor allowas-in neighbor default-originate neighbor description neighbor distribute-list neighbor prefix-list neighbor route-reflector client neighbor soft-reconfiguration neighbor version network backdoor table-map http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-1_12c_ea1/configuration/guide/3550scg/swuncli.html а здесь описана очередность применения фильтров http://xgu.ru/wiki/BGP_%D0%B2_Cisco#.D0.9F.D0.BE.D1.80.D1.8F.D0.B4.D0.BE.D0.BA_.D0.BF.D1.80.D0.B8.D0.BC.D0.B5.D0.BD.D0.B5.D0.BD.D0.B8.D1.8F_.D1.84.D0.B8.D0.BB.D1.8C.D1.82.D1.80.D0.BE.D0.B2_.D0.B2_BGP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 23 февраля, 2015 · Жалоба Поэтому, я бы зафильтровал по route-map. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 23 февраля, 2015 · Жалоба Давайте дождемся пока автор сделает "no ... route-map ..." а потом поиграем в угадайку или чтение мануалов от cisco. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 февраля, 2015 · Жалоба Ноу роут мап не помогает, как явствует из первого сообщения. Роут мап появился позже и в рамках эсперимента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 23 февраля, 2015 · Жалоба А я не уверен, что ТС сделал: 1) Мягкое и жесткой обновление информации о пирах. 2) Тестировал запрещающих правил всего при коннекте ко второму пиру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 февраля, 2015 · Жалоба 1. Софт апдейты по умолчанию выключены. Проверено на стенде. 2. Не понял, о чём речь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 23 февраля, 2015 · Жалоба Значит что-то сделали не так. В том и суть, что prefix-list фильтрует префиксы не загружая их в память, а route-map грузит. Поэтому я советую удалить роут-мап и оставить prefix-list, а не держать их вместе, т.к. см. ссылку на xgu. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 февраля, 2015 · Жалоба DVM-Avgoor, ещё раз. Роут-мап появился, как эксперимент, ПОСЛЕ того, как всё упало. Я решил, что, каким-то образом, префикс лист не фильтрует префиксы и, не зная очерёдности применения фильтров, добавил роут-мап. Сейчас его нету. Ситуацию это не меняет. Как падало, так и падает.. Такая-же история со строчкой deny в конце роут-мапа. Я понимаю, что в конце и так должно быть неявное deny. Но тут явный полтергейст. 100 раз фильтровал всякое и оно фильтровалось, а тут на тебе. Проблемный аплинк, если что, Мегафон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 23 февраля, 2015 · Жалоба Значит попробуйте крайний софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 февраля, 2015 · Жалоба есть крайнее 122-55.SE8 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 февраля, 2015 · Жалоба Еще в качестве эксперимента можно попробовать фильтрануть по AS-PATH. Дефолт же всё равно прилетает от имени автономной системы аплинка, плюс какие-то копеечные собственные маршруты, которые ни на что не повлияют. Но это шаманство, конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 24 февраля, 2015 · Жалоба А на тестовой циске у вас случайно нет вланов? (Т.е. может разница в кол-ве вланов). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 февраля, 2015 · Жалоба есть крайнее 122-55.SE8 ? На рутрекере несколько лет как есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boombastic Опубликовано 24 февраля, 2015 · Жалоба Аплинк не может отдать только default и отдаёт FW. Не совсем понимаю почему аплинк в настройках вашей с ним сессии не может написать nei a.b.c.d default-originate ? во вторых - у вас этот "неспособный" аплинк - он основной или резервный? Если резервный - то принимайте от основного default-route а на резервного повесьте floating static ip route 0.0.0.0 0.0.0.0 250 name BACKUP-DEFAULT-ROUTE-TO-UPLINK2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 24 февраля, 2015 (изменено) · Жалоба В очередной раз прорекламирую рекурсивный дефолт :) ФВ режете до сетей /8, и на пару из сетей /8 пишете дефолт (ip route 0.0.0.0 0.0.0.0 8.0.0.0 например). итог: есть дефолт, с некстхопом того аплинка, от которого лучше маршрут к 8.0.0.0/8. И если вдруг этот аплинк перестал анонсировать 8/8, то некстхоп дефолта укажет на другого. П.С: Упс, не дочитал первый пост :) Изменено 24 февраля, 2015 пользователем Stak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 февраля, 2015 · Жалоба В очередной раз прорекламирую рекурсивный дефолт :) ФВ режете до сетей /8, и на пару из сетей /8 пишете дефолт (ip route 0.0.0.0 0.0.0.0 8.0.0.0 например). итог: есть дефолт, с некстхопом того аплинка, от которого лучше маршрут к 8.0.0.0/8. И если вдруг этот аплинк перестал анонсировать 8/8, то некстхоп дефолта укажет на другого. Его проблема в другом,это же очевидно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...