Jump to content
Калькуляторы

Проблема с ASN32 capability

День добрый.

 

Обновили тут на днях IOS. Имеем:

border>sh ver

Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXI3, RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2009 by Cisco Systems, Inc.

Compiled Tue 27-Oct-09 11:12 by prod_rel_team

 

После чего перестали устанавливаться bgp сессии с d-link-ом (у клиента. не в курсе, что за модель) и edge-core-ой.

Говорят:

*Jan 18 07:11:48: %BGP-3-NOTIFICATION: received from neighbor X.X.X.X 2/7 (unsupported/disjoint capability) 6 bytes 4104XXXXXXXX

 

Я понимаю, что им не нравится, что мы умеем ASN32. Даже понимаю, что разработчики читали RFC поперек и не усмотрели, что параметр опциональный.

 

Не понимаю вот чего - циска, по идее, должна после такого отлупа устанавливать сессию без 65-й опции, но упорно продолжает её выставлять.

Вопрос - как это лечится и нельзя ли кошке принудительно сказать, чтобы она не анонсировала ASN32 capability в OPEN-е?

Share this post


Link to post
Share on other sites

Попробуйте циску в пассив поставить, что получиться ?

 

Share this post


Link to post
Share on other sites

Пробовали: всё равно сначала шлёт свой OPEN, а затем разбирает пришедший от пира (который явно по логам пришел раньше).

Результат, соответственно, без изменений.

Share this post


Link to post
Share on other sites

PS: скрытая командочка "neighbor X.X.X.X dont-capability-negotiate" с обоих сторон разрешила ситуацию.

Share this post


Link to post
Share on other sites

А не получиться, что вы пошлете route refresh, а сессия грохнется, если коммутатор это не поддерживает и согласования не было.

 

Share this post


Link to post
Share on other sites

Сомневаюсь я, что она вообще пошлёт route refresh, т.к. не согласовано.

Но клиента устраивает - сойдемся пока на этом.

Пока мне слать клиенту route refresh нужды нету.

 

Я вообще надеялся, что есть какая-нибудь скрытая коммандочка типа "no nei X.X.X.X cap asn32" или чего-то подобное. Но, видимо, таки нету.

Edited by VVG

Share this post


Link to post
Share on other sites

Так не согласовано, это использовать и не спрашивать или не использовать вообще ничего. Эдак недолго и mpbgp зарубить, тогда как эту скрытую команду в реальной сети использовать, только в ipv4 family ?

Может все же использовать разрешено без согласования.

 

 

Я вообще надеялся, что есть какая-нибудь скрытая коммандочка типа "no nei X.X.X.X cap asn32" или чего-то подобное. Но, видимо, таки нету.

Это на циске нету )

Посмотрел свое железо, есть!

Share this post


Link to post
Share on other sites

Я вообще надеялся, что есть какая-нибудь скрытая коммандочка типа "no nei X.X.X.X cap asn32" или чего-то подобное. Но, видимо, таки нету.

В Alcatel-Lucent SR 7750 уже как год есть команда disable-4byte-asn. Можно поставить per neighbor. Как раз для таких случаев. Странно, но я думал, что Cisco давно сделала нормальную обработку 4х байтных ASN. А тут даже по capability нормально не договариваются. Интересно, а ASN 23456 для них всех тоже ничего не значит?!

Edited by JoeDoe

Share this post


Link to post
Share on other sites

А вот интересно, D-link у Edge Core украл этот глючный BGP-шный код или наоборот :)

Share this post


Link to post
Share on other sites

А вот интересно, D-link у Edge Core украл этот глючный BGP-шный код или наоборот :)

Скорей всего обе конторы купили код (вместе с глюками, а как же иначе) и какой-нибудь третьей.

Share this post


Link to post
Share on other sites

rus-p, в таком случае она должна подразумевать, что пир умеет ASN32, и сессия рвалась бы раньше, еще при попытке послать AS4_PATH. Здравый смысл подсказывает, что такого быть не должно.

 

mpbgp страдать не должен. Как пишет квагга, если пир ничего не прислал, "bgp configures the peer with configured capabilities". Т.е. если явно сказано

 

addr ipv4 multicast

nei X.X.X.X. activate

 

то, видимо, подразумевается, что пир это умеет. Правда, как ведёт себя в этой ситуации циска, неизвестно.

 

Но пока это мои личные умозаключения, могу и ошибаться...

Share this post


Link to post
Share on other sites

Я тут невнимательно сначала прочитал третий абзац в rfc3392, а там написано, что рутер не должен переинициализировать сессию если другая сторона не поддерживает какую-то конкретную капабилити. Рестарт идет только если он вообще ничего о капабилити не знает. Так что циска ведет себя в соответствии с...

А дальше, из-за отсутствия возможности выключить конкретную, и следовать квагге ), все заработает и mpbgp тоже.

Вопрос в другом, если удаленная сторона не поддерживает роут рефреш, а он придет от циски, что будет ?

Поскольку это не атрибут а тип сообщения, завершиться сессия или проигнорирует ?

С атрибутом as4_path как раз проблем нет, удаленная сторона просто выплюнет его соседям без обработки.

Посмотрел 12.2(33), действительно, не шлет роут рефреш при несогласованных капабилити.

 

Share this post


Link to post
Share on other sites

В общем, да. Циска ведёт себя вроде в соответствии (где-то я вычитал, что второй раз она не должна выставлять capability). Перечитал первоисточник.

 

Так вот, там ничего не говорится о том, что сессия должна рваться, если обнаружена неизвестная capability. Сессия рвется, если не поддерживается _параметр_ capabilities. В этом случае вторая попытка должна быть без этого параметра.

 

А ошибка 2/7 вообще может слаться только спикером, который обнаружил, что его пир не поддерживает capability, которую он хочет.

Share this post


Link to post
Share on other sites

Как же не говориться, все есть чуть ниже в том документе ).

Другое дело, что отдано на локальное рассмотрение и циска выбрала вариант посылки уведомления вкупе с терминацией.

А ошибку, если правильно понимаю, коммутатор должен слать 2/4 ?

 

Share this post


Link to post
Share on other sites

В этом документе всего два варианта разрыва сессии:

 

1. Раздел 3 абзац 4.

A BGP speaker determines that its peer doesn't support capabilities advertisement, if in response to an OPEN message that carries the Capabilities Optional Parameter, the speaker receives a NOTIFICATION message with the Error Subcode set to Unsupported Optional Parameter.

Когда пир не понимает вообще параметр capabilities (т.е. вообще не знает, что такое эти capabilities). В этом случае предпринимается повторная попытка соединения без этого параметра.

 

2. Раздел 3 абзац 5.

If a BGP speaker that supports a certain capability determines that its peer doesn't support this capability, the speaker MAY send a NOTIFICATION message to the peer, and terminate peering

Когда выясняется, что пир не поддерживает capability, которая очень нам нужна. В этом случае _мы_ _можем_ послать 2/7 пиру с указанием того, что нам нужно и чего именно пир не умеет. Повторных попыток соединения быть не должно в этом случае.

 

В моём случае пир (т.е. длинк) шлёт мне 2/7 с указанием того, что я, мол (т.е. кошка), не умею asn32. Т.е. в данном случае со стороны длинка идет полное непонимание rfc.

Share this post


Link to post
Share on other sites

возникла подобная ошибка на Summit 450a-24x после обновления прошивки

с 12.3.1.2 на 12.4.1.7, целью обновления прошивки была именно поддержка 32бит ASN для подключения нового пира,

в итоге новый пир не заработал, но и отвалилось два других... у всех пиров установлена quagga

сессии с другими екстримами поднялиь без проблем

 

 

04/21/2010 09:44:49.05 <Warn:bgp.msgs.rxNotif> Rxed Notify 3/5 msg from peer 10.1.1.1

04/21/2010 09:44:12.96 <Warn:bgp.msgs.rxNotif> Rxed Notify 2/7 msg from peer 10.1.1.12

 

Capabilities Tx : 4-Byte-AS

Capabilities Rx : None

Error : 'Unsupported Capability' Tx: 0 Rx: 1

Last State : OPENSENT Last Event : RX_NOTIFY

LastError : 'Unsupported Capability' (RX) on: Wed Apr 21 10:23:03 2010

 

ктото вкурсе как побороть данную проблему?

Share this post


Link to post
Share on other sites

Приветсвую.

Значитца ситуация следующая...

Есть два Л3 коммутатора Foxgate 9816X2 (не смейтесь) и Alcatel OS6850-24X, между ними не получаеться поднять сессию.

Фоксгейт предварительно был перешит на прошивку с потдержкой 4 байтных ASN и он нормально поднял сессию с квагой и так далие но с алькателем снюхаться не может все по той же причине :

%BGP-3-NOTIFICATION: sending to x.x.x.x 2/7 (OPEN Message Error/Unsupported Capability.) 8 data-bytes

Это лог с фоксгейта, но как было сказано выше на нем я указал neighbor x.x.x.x dont-capability-negotiate

Сессия всеравно не встала.

А вот со стороны Алькателя нету никаких подобных команд:

 

-> ip bgp neighbor y.y.y.y ?

^

<cr> ACTIVATE-IPV6 ADVERTISEMENT-INTERVAL

AUTO-RESTART BFD-STD CLEAR

CONN-RETRY-INTERVAL DEFAULT-ORIGINATE

DESCRIPTION EBGP-MULTIHOP IN-ASPATHLIST

IN-COMMUNITYLIST IN-PREFIX6LIST

IN-PREFIXLIST IPV6-NEXTHOP MAXIMUM-PREFIX

MD5 NEXT-HOP-SELF OUT-ASPATHLIST

OUT-COMMUNITYLIST OUT-PREFIX6LIST

OUT-PREFIXLIST PASSIVE REMOTE-AS

 

Собственно говоря кто дружит с алькателями и может помочь в решении вопроса?

 

PS:

-> show system

System:

Description: Alcatel-Lucent OS6850-24X 6.4.3.520.R01 GA, April 08, 2010.,

 

sh version

Switch Device, Compiled on Jul 15 13:20:43 2010

SoftWare Version 6.1.72.14

 

Share this post


Link to post
Share on other sites

Зря вы алкатель пользуете не по назначению.

У alcatel-lucent, кроме всего прочего, есть энтерпрайз подразделение и IP/MPLS. OS6850 относится к первому. Теперь вопрос, вы на 3750 тоже такой функционал стали бы использовать, даже если циска о нем заявила ?

Всем понятно, что окромя дефолта по bgp лучше ничего не получать.

А так метод решения вам известен, контракт, запрос, переписка, и через год софт. Это трудные ребята, их раскачать много времени уйдет.

Edited by rus-p

Share this post


Link to post
Share on other sites

Благодарю за ответ, переписка закончилась и вот вердикт:

""foxgate" BGP GR function is not supported. But, "alcatel" Support BGP GR function,Or the default open BGP GR. So the two devices can not be established neighborhood.

You can try trun off "alcatel" BGP GR function ?"

После ввода команды на алькателе "no ip bgp graceful-restart" сессия поднялась.

 

 

Share this post


Link to post
Share on other sites

вот прошли годы с топикстарта ... получается не судьба запихнуть шестизнак в циску проще чем шеститонную?

(у меня все клиенты "пятизначные" , а одного клиента пришлось на квагу терминировать)

Share this post


Link to post
Share on other sites

вот прошли годы с топикстарта ... получается не судьба запихнуть шестизнак в циску проще чем шеститонную?

(у меня все клиенты "пятизначные" , а одного клиента пришлось на квагу терминировать)

Я запустил IOS 15 на C3560G, там все есть.

Share this post


Link to post
Share on other sites
Я запустил IOS 15 на C3560G, там все есть.
Лицензия требуется или и дальше "халява, сэр" ?

Share this post


Link to post
Share on other sites

Халява

Уже есть апдейт и для старого ios

flash:c3560-ipservicesk9-mz.122-58.SE2.bin

Share this post


Link to post
Share on other sites

Вот поставил свежаайший софт на 4900М :

 

cat4500e-entservicesk9-mz.150-2.SG4.bin

 

Ввожу

c4900g-m9-1(config-router)#neighbor 1.1.1.1 remote-as ?

<1-65535> AS of remote neighbor

 

подозреваю , что надо что то включить в конфе или как то по другому прописывать.

а?

 

Или 3560 умеет а 4900 не умеет АС32 ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this