Перейти к содержимому
Калькуляторы

Приём только дефолта из FW На старенькой цицке

Имею 3550. Есть задача принять от аплика только дефолт и проанонсировать свою AS.

Аплинк не может отдать только default и отдаёт FW.

 

Казалось-бы, задача тривиальна.

 

router bgp XXXX
no synchronization
bgp log-neighbor-changes
no auto-summary
!
address-family ipv4 vrf inet
 neighbor 33.33.33.33 remote-as YYYY
 neighbor 33.33.33.33 shutdown
 neighbor 33.33.33.33 activate
 neighbor 33.33.33.33 next-hop-self
 neighbor 33.33.33.33 prefix-list ONLYDEF in
 neighbor 33.33.33.33 prefix-list ASXXXX out
 neighbor 33.33.33.33 route-map def-only in
 neighbor 66.66.66.66 remote-as ZZZZ
 neighbor 66.66.66.66 activate
 neighbor 66.66.66.66 next-hop-self
 neighbor 66.66.66.66 prefix-list ONLYDEF in
 neighbor 66.66.66.66 prefix-list ASXXXX out
 no synchronization
 network 11.11.10.0 mask 255.255.254.0
 aggregate-address 11.11.10.0 255.255.254.0
exit-address-family
!
ip classless
ip route vrf inet 11.11.10.0 255.255.254.0 Null0
!
!
!
ip prefix-list ASXXXX seq 10 permit 11.11.10.0/23
!
ip prefix-list ONLYDEF seq 10 permit 0.0.0.0/0
!
ip prefix-list default seq 10 permit 0.0.0.0/0

route-map def-only permit 100
match ip address prefix-list default
!
route-map def-only deny 200

 

Попытка зарезать приём всего, кроме дефола и префикс-листами и роут-мапами была экспериментом.

 

С пиром 66.66.66.66 всё отлично, они шлют только дефолт.

С пиром 33.33.33.33, при подъёме сессии BGP , кошка крашится со словами о нехватке памяти для приёма очередного префикса. С той стороны можжевельник.

 

Софт c3550-ipservicesk9-mz.122-55.SE4

 

Поменять дедушку на 6500 в малой конфигурации не предлагать. Дедушка не мой, владельцу предложение озвучено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А логов крэша нема? Что-то мне кажется собака порылась в vrf...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

an954, changed state to up
*Mar  1 00:01:41.992: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan955, changed state to up
*Mar  1 00:01:41.992: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan956, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan957, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan958, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan959, changed state to up
*Mar  1 00:01:41.996: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan960, changed state to up
*Mar  1 00:01:42.328: %LINK-3-UPDOWN: Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/10, changed state to up
*Mar  1 00:01:43.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:43.700: %OSPF-5-ADJCHG: Process 1, Nbr 10.10.11.7 on Vlan100 from LOADING to FULL, Loading Done
*Mar  1 00:01:44.184: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:22.866: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Feb 20 21:10:23.358: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966E8, alignment 0
Pool: Processor  Free: 98176  Cause: Memory fragmentation
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP Router", ipl= 0, pid= 201
-Traceback= 12828C0 1284DE0 12850F0 12966EC 1297348 7CC9C0 82EF50 82FFC8 7D1278 7D8FF0 7DA2C0 5124F0 508F68
Feb 20 21:10:23.374: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:23.378: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 1B1B 450C 4615 E5A9 4003 0425 1D15 7A14 7476 E016 67E9 C4
Feb 20 21:10:27.915: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up
Feb 20 21:10:55.390: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:57.826: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966D0, alignment 0
Pool: Processor  Free: 55172  Cause: Not enough free memory
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP I/O", ipl= 0, pid= 126
-Traceback= 12828C0 1284DE0 1284F00 12966D4 1297348 7F4BA4 7BF148 7C3578 7C492C 7C4D7C 5124F0 508F68
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory
Feb 20 21:10:57.922: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 0DA3 251A E4E9 D9B5 4003 0425 1D15 7A18 67F0 2C18 67F0 2F

*Mar  1 00:01:42.328: %LINK-3-UPDOWN: Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
*Mar  1 00:01:42.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/10, changed state to up
*Mar  1 00:01:43.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/4, changed state to up
*Mar  1 00:01:43.700: %OSPF-5-ADJCHG: Process 1, Nbr 10.10.11.7 on Vlan100 from LOADING to FULL, Loading Done
*Mar  1 00:01:44.184: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:22.866: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Feb 20 21:10:23.358: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966E8, alignment 0
Pool: Processor  Free: 98176  Cause: Memory fragmentation
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP Router", ipl= 0, pid= 201
-Traceback= 12828C0 1284DE0 12850F0 12966EC 1297348 7CC9C0 82EF50 82FFC8 7D1278 7D8FF0 7DA2C0 5124F0 508F68
Feb 20 21:10:23.374: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:23.378: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 1B1B 450C 4615 E5A9 4003 0425 1D15 7A14 7476 E016 67E9 C4
Feb 20 21:10:27.915: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up
Feb 20 21:10:55.390: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:10:57.826: %SYS-2-MALLOCFAIL: Memory allocation of 65536 bytes failed from 0x12966D0, alignment 0
Pool: Processor  Free: 55172  Cause: Not enough free memory
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP I/O", ipl= 0, pid= 126
-Traceback= 12828C0 1284DE0 1284F00 12966D4 1297348 7F4BA4 7BF148 7C3578 7C492C 7C4D7C 5124F0 508F68
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:10:57.918: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory
Feb 20 21:10:57.922: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0039 0200 0000 1A40 0101 0040 020C 0205 799D 0DA3 251A E4E9 D9B5 4003 0425 1D15 7A18 67F0 2C18 67F0 2F
Feb 20 21:11:16.475: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Up
Feb 20 21:11:29.996: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:11:54.507: %SYS-2-MALLOCFAIL: Memory allocation of 32768 bytes failed from 0x12966E8, alignment 0
Pool: Processor  Free: 7096  Cause: Not enough free memory
Alternate Pool: None  Free: 0  Cause: No Alternate pool
-Process= "BGP Router", ipl= 0, pid= 201
Feb 20 21:11:54.559: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Down No memory
Feb 20 21:11:54.563: %BGP-5-ADJCHANGE: neighbor 66.66.66.66 vpn vrf inet Down No memory
Feb 20 21:11:54.563: %BGP-3-NOTIFICATION: sent to neighbor 33.33.33.33 3/1 (update malformed) 0 bytes  FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 005F 0200 0000 1840 0101 0040 020A 0204 799D 1B1B B727 8309 4003 0425 1D15 7A13 AD2E 6018 4816 B318 C053 FD18 4816 B118 4816 B218 4816 B418 C0F6 E716 C0F6 E816 C0F6 E017 C0F6 E418 C04C EF18 C0F6 EB
Feb 20 21:12:05.752: %BGP-5-ADJCHANGE: neighbor 33.33.33.33 vpn vrf inet Up
Feb 20 21:12:36.514: %SYS-5-CONFIG_I: Configured from console by sol on vty1 (10.10.10.9)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что самое поразительно, на стенде (правда, на софте SE8) фильтрация работает. Я анонсировал с соседней мелкой кошки несколько роутов. Фильтр их фильтрует и они не попадают в RIB. Дефолт попадает, а всё остальное - нет. Конфиг - копия проблемной железки. Так-же с VRF и прочим.

 

ЗЫ

На проблемной железке памяти свободно 9+ МБ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может, гарбли реализации какие-то? Ну т.е. сначала принимается таблица целиком, а потом - фильтруется?

Более другой софт не помогает? Если погасить "хороший" пир - все так же падает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уберите neighbor 33.33.33.33 route-map def-only in

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DVM-Avgoor

А есть разница в применении prefix-list vs route-map в bgp-соседстве?

Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DVM-Avgoor

А есть разница в применении prefix-list vs route-map в bgp-соседстве?

Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default?

 

почитайте про bgp adjacency rib in / out, фильтрация проиходит после принятия всех маршрутов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DVM-Avgoor

А есть разница в применении prefix-list vs route-map в bgp-соседстве?

Не получается ли так, что роутер сначала принимает весь FW, а лишь затем сохраняет в таблицу маршрутизации default?

 

почитайте про bgp adjacency rib in / out, фильтрация проиходит после принятия всех маршрутов.

 

А разве это не только при включенном soft reconfiguration inbound так происходит?

На сколько я помню, когда этот режим выключен (а у ТС он выключен), то фильтрация происходит в момент получения префикса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

судя по всему 3550 не поддерживает SRI

 

 

Unsupported BGP Router Configuration Commands


Note These BGP commands have not been tested for the Catalyst 3550 and are not supported for the switch in Cisco IOS release 12.1(12c)EA1. This is not a complete list.
address-family vpnv4
address-family ipv4 [multicast | unicast]
default-information originate
neighbor advertise-map
neighbor advertisement-interval
neighbor allowas-in
neighbor default-originate
neighbor description
neighbor distribute-list
neighbor prefix-list
neighbor route-reflector client
neighbor soft-reconfiguration
neighbor version
network backdoor
table-map

 

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-1_12c_ea1/configuration/guide/3550scg/swuncli.html

 

 

а здесь описана очередность применения фильтров http://xgu.ru/wiki/BGP_%D0%B2_Cisco#.D0.9F.D0.BE.D1.80.D1.8F.D0.B4.D0.BE.D0.BA_.D0.BF.D1.80.D0.B8.D0.BC.D0.B5.D0.BD.D0.B5.D0.BD.D0.B8.D1.8F_.D1.84.D0.B8.D0.BB.D1.8C.D1.82.D1.80.D0.BE.D0.B2_.D0.B2_BGP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому, я бы зафильтровал по route-map.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давайте дождемся пока автор сделает "no ... route-map ..." а потом поиграем в угадайку или чтение мануалов от cisco.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ноу роут мап не помогает, как явствует из первого сообщения. Роут мап появился позже и в рамках эсперимента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я не уверен, что ТС сделал:

1) Мягкое и жесткой обновление информации о пирах.

2) Тестировал запрещающих правил всего при коннекте ко второму пиру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Софт апдейты по умолчанию выключены. Проверено на стенде.

2. Не понял, о чём речь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Значит что-то сделали не так. В том и суть, что prefix-list фильтрует префиксы не загружая их в память, а route-map грузит. Поэтому я советую удалить роут-мап и оставить prefix-list, а не держать их вместе, т.к. см. ссылку на xgu.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DVM-Avgoor, ещё раз. Роут-мап появился, как эксперимент, ПОСЛЕ того, как всё упало. Я решил, что, каким-то образом, префикс лист не фильтрует префиксы и, не зная очерёдности применения фильтров, добавил роут-мап. Сейчас его нету. Ситуацию это не меняет. Как падало, так и падает..

 

Такая-же история со строчкой deny в конце роут-мапа. Я понимаю, что в конце и так должно быть неявное deny. Но тут явный полтергейст. 100 раз фильтровал всякое и оно фильтровалось, а тут на тебе.

 

Проблемный аплинк, если что, Мегафон.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Значит попробуйте крайний софт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть крайнее 122-55.SE8 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще в качестве эксперимента можно попробовать фильтрануть по AS-PATH. Дефолт же всё равно прилетает от имени автономной системы аплинка, плюс какие-то копеечные собственные маршруты, которые ни на что не повлияют.

Но это шаманство, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А на тестовой циске у вас случайно нет вланов? (Т.е. может разница в кол-ве вланов).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть крайнее 122-55.SE8 ?

 

На рутрекере несколько лет как есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аплинк не может отдать только default и отдаёт FW.

Не совсем понимаю почему аплинк в настройках вашей с ним сессии не может написать

nei a.b.c.d default-originate

 

?

 

во вторых - у вас этот "неспособный" аплинк - он основной или резервный?

Если резервный - то принимайте от основного default-route а на резервного повесьте floating static

ip route 0.0.0.0 0.0.0.0 250 name BACKUP-DEFAULT-ROUTE-TO-UPLINK2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В очередной раз прорекламирую рекурсивный дефолт :)

ФВ режете до сетей /8, и на пару из сетей /8 пишете дефолт (ip route 0.0.0.0 0.0.0.0 8.0.0.0 например).

 

итог: есть дефолт, с некстхопом того аплинка, от которого лучше маршрут к 8.0.0.0/8. И если вдруг этот аплинк перестал анонсировать 8/8, то некстхоп дефолта укажет на другого.

 

П.С: Упс, не дочитал первый пост :)

Изменено пользователем Stak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В очередной раз прорекламирую рекурсивный дефолт :)

ФВ режете до сетей /8, и на пару из сетей /8 пишете дефолт (ip route 0.0.0.0 0.0.0.0 8.0.0.0 например).

 

итог: есть дефолт, с некстхопом того аплинка, от которого лучше маршрут к 8.0.0.0/8. И если вдруг этот аплинк перестал анонсировать 8/8, то некстхоп дефолта укажет на другого.

 

Его проблема в другом,это же очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.