VVG Опубликовано 18 января, 2010 · Жалоба День добрый. Обновили тут на днях IOS. Имеем: border>sh ver Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXI3, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2009 by Cisco Systems, Inc. Compiled Tue 27-Oct-09 11:12 by prod_rel_team После чего перестали устанавливаться bgp сессии с d-link-ом (у клиента. не в курсе, что за модель) и edge-core-ой. Говорят: *Jan 18 07:11:48: %BGP-3-NOTIFICATION: received from neighbor X.X.X.X 2/7 (unsupported/disjoint capability) 6 bytes 4104XXXXXXXX Я понимаю, что им не нравится, что мы умеем ASN32. Даже понимаю, что разработчики читали RFC поперек и не усмотрели, что параметр опциональный. Не понимаю вот чего - циска, по идее, должна после такого отлупа устанавливать сессию без 65-й опции, но упорно продолжает её выставлять. Вопрос - как это лечится и нельзя ли кошке принудительно сказать, чтобы она не анонсировала ASN32 capability в OPEN-е? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 19 января, 2010 · Жалоба Попробуйте циску в пассив поставить, что получиться ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVG Опубликовано 19 января, 2010 · Жалоба Пробовали: всё равно сначала шлёт свой OPEN, а затем разбирает пришедший от пира (который явно по логам пришел раньше). Результат, соответственно, без изменений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVG Опубликовано 19 января, 2010 · Жалоба PS: скрытая командочка "neighbor X.X.X.X dont-capability-negotiate" с обоих сторон разрешила ситуацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 19 января, 2010 · Жалоба А не получиться, что вы пошлете route refresh, а сессия грохнется, если коммутатор это не поддерживает и согласования не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVG Опубликовано 19 января, 2010 (изменено) · Жалоба Сомневаюсь я, что она вообще пошлёт route refresh, т.к. не согласовано. Но клиента устраивает - сойдемся пока на этом. Пока мне слать клиенту route refresh нужды нету. Я вообще надеялся, что есть какая-нибудь скрытая коммандочка типа "no nei X.X.X.X cap asn32" или чего-то подобное. Но, видимо, таки нету. Изменено 19 января, 2010 пользователем VVG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 19 января, 2010 · Жалоба Так не согласовано, это использовать и не спрашивать или не использовать вообще ничего. Эдак недолго и mpbgp зарубить, тогда как эту скрытую команду в реальной сети использовать, только в ipv4 family ? Может все же использовать разрешено без согласования. Я вообще надеялся, что есть какая-нибудь скрытая коммандочка типа "no nei X.X.X.X cap asn32" или чего-то подобное. Но, видимо, таки нету. Это на циске нету ) Посмотрел свое железо, есть! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 19 января, 2010 (изменено) · Жалоба Я вообще надеялся, что есть какая-нибудь скрытая коммандочка типа "no nei X.X.X.X cap asn32" или чего-то подобное. Но, видимо, таки нету. В Alcatel-Lucent SR 7750 уже как год есть команда disable-4byte-asn. Можно поставить per neighbor. Как раз для таких случаев. Странно, но я думал, что Cisco давно сделала нормальную обработку 4х байтных ASN. А тут даже по capability нормально не договариваются. Интересно, а ASN 23456 для них всех тоже ничего не значит?! Изменено 20 января, 2010 пользователем JoeDoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 19 января, 2010 · Жалоба А вот интересно, D-link у Edge Core украл этот глючный BGP-шный код или наоборот :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 20 января, 2010 · Жалоба А вот интересно, D-link у Edge Core украл этот глючный BGP-шный код или наоборот :) Скорей всего обе конторы купили код (вместе с глюками, а как же иначе) и какой-нибудь третьей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVG Опубликовано 20 января, 2010 · Жалоба rus-p, в таком случае она должна подразумевать, что пир умеет ASN32, и сессия рвалась бы раньше, еще при попытке послать AS4_PATH. Здравый смысл подсказывает, что такого быть не должно. mpbgp страдать не должен. Как пишет квагга, если пир ничего не прислал, "bgp configures the peer with configured capabilities". Т.е. если явно сказано addr ipv4 multicast nei X.X.X.X. activate то, видимо, подразумевается, что пир это умеет. Правда, как ведёт себя в этой ситуации циска, неизвестно. Но пока это мои личные умозаключения, могу и ошибаться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 20 января, 2010 · Жалоба Я тут невнимательно сначала прочитал третий абзац в rfc3392, а там написано, что рутер не должен переинициализировать сессию если другая сторона не поддерживает какую-то конкретную капабилити. Рестарт идет только если он вообще ничего о капабилити не знает. Так что циска ведет себя в соответствии с... А дальше, из-за отсутствия возможности выключить конкретную, и следовать квагге ), все заработает и mpbgp тоже. Вопрос в другом, если удаленная сторона не поддерживает роут рефреш, а он придет от циски, что будет ? Поскольку это не атрибут а тип сообщения, завершиться сессия или проигнорирует ? С атрибутом as4_path как раз проблем нет, удаленная сторона просто выплюнет его соседям без обработки. Посмотрел 12.2(33), действительно, не шлет роут рефреш при несогласованных капабилити. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVG Опубликовано 20 января, 2010 · Жалоба В общем, да. Циска ведёт себя вроде в соответствии (где-то я вычитал, что второй раз она не должна выставлять capability). Перечитал первоисточник. Так вот, там ничего не говорится о том, что сессия должна рваться, если обнаружена неизвестная capability. Сессия рвется, если не поддерживается _параметр_ capabilities. В этом случае вторая попытка должна быть без этого параметра. А ошибка 2/7 вообще может слаться только спикером, который обнаружил, что его пир не поддерживает capability, которую он хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 20 января, 2010 · Жалоба Как же не говориться, все есть чуть ниже в том документе ). Другое дело, что отдано на локальное рассмотрение и циска выбрала вариант посылки уведомления вкупе с терминацией. А ошибку, если правильно понимаю, коммутатор должен слать 2/4 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVG Опубликовано 20 января, 2010 · Жалоба В этом документе всего два варианта разрыва сессии: 1. Раздел 3 абзац 4. A BGP speaker determines that its peer doesn't support capabilities advertisement, if in response to an OPEN message that carries the Capabilities Optional Parameter, the speaker receives a NOTIFICATION message with the Error Subcode set to Unsupported Optional Parameter. Когда пир не понимает вообще параметр capabilities (т.е. вообще не знает, что такое эти capabilities). В этом случае предпринимается повторная попытка соединения без этого параметра. 2. Раздел 3 абзац 5. If a BGP speaker that supports a certain capability determines that its peer doesn't support this capability, the speaker MAY send a NOTIFICATION message to the peer, and terminate peering Когда выясняется, что пир не поддерживает capability, которая очень нам нужна. В этом случае _мы_ _можем_ послать 2/7 пиру с указанием того, что нам нужно и чего именно пир не умеет. Повторных попыток соединения быть не должно в этом случае. В моём случае пир (т.е. длинк) шлёт мне 2/7 с указанием того, что я, мол (т.е. кошка), не умею asn32. Т.е. в данном случае со стороны длинка идет полное непонимание rfc. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 20 января, 2010 · Жалоба Вот теперь дошло. Сенкс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bercut Опубликовано 21 апреля, 2010 · Жалоба возникла подобная ошибка на Summit 450a-24x после обновления прошивки с 12.3.1.2 на 12.4.1.7, целью обновления прошивки была именно поддержка 32бит ASN для подключения нового пира, в итоге новый пир не заработал, но и отвалилось два других... у всех пиров установлена quagga сессии с другими екстримами поднялиь без проблем 04/21/2010 09:44:49.05 <Warn:bgp.msgs.rxNotif> Rxed Notify 3/5 msg from peer 10.1.1.1 04/21/2010 09:44:12.96 <Warn:bgp.msgs.rxNotif> Rxed Notify 2/7 msg from peer 10.1.1.12 Capabilities Tx : 4-Byte-AS Capabilities Rx : None Error : 'Unsupported Capability' Tx: 0 Rx: 1 Last State : OPENSENT Last Event : RX_NOTIFY LastError : 'Unsupported Capability' (RX) on: Wed Apr 21 10:23:03 2010 ктото вкурсе как побороть данную проблему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grey.brv Опубликовано 6 ноября, 2010 · Жалоба Приветсвую. Значитца ситуация следующая... Есть два Л3 коммутатора Foxgate 9816X2 (не смейтесь) и Alcatel OS6850-24X, между ними не получаеться поднять сессию. Фоксгейт предварительно был перешит на прошивку с потдержкой 4 байтных ASN и он нормально поднял сессию с квагой и так далие но с алькателем снюхаться не может все по той же причине : %BGP-3-NOTIFICATION: sending to x.x.x.x 2/7 (OPEN Message Error/Unsupported Capability.) 8 data-bytes Это лог с фоксгейта, но как было сказано выше на нем я указал neighbor x.x.x.x dont-capability-negotiate Сессия всеравно не встала. А вот со стороны Алькателя нету никаких подобных команд: -> ip bgp neighbor y.y.y.y ? ^ <cr> ACTIVATE-IPV6 ADVERTISEMENT-INTERVAL AUTO-RESTART BFD-STD CLEAR CONN-RETRY-INTERVAL DEFAULT-ORIGINATE DESCRIPTION EBGP-MULTIHOP IN-ASPATHLIST IN-COMMUNITYLIST IN-PREFIX6LIST IN-PREFIXLIST IPV6-NEXTHOP MAXIMUM-PREFIX MD5 NEXT-HOP-SELF OUT-ASPATHLIST OUT-COMMUNITYLIST OUT-PREFIX6LIST OUT-PREFIXLIST PASSIVE REMOTE-AS Собственно говоря кто дружит с алькателями и может помочь в решении вопроса? PS: -> show system System: Description: Alcatel-Lucent OS6850-24X 6.4.3.520.R01 GA, April 08, 2010., sh version Switch Device, Compiled on Jul 15 13:20:43 2010 SoftWare Version 6.1.72.14 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 13 ноября, 2010 (изменено) · Жалоба Зря вы алкатель пользуете не по назначению. У alcatel-lucent, кроме всего прочего, есть энтерпрайз подразделение и IP/MPLS. OS6850 относится к первому. Теперь вопрос, вы на 3750 тоже такой функционал стали бы использовать, даже если циска о нем заявила ? Всем понятно, что окромя дефолта по bgp лучше ничего не получать. А так метод решения вам известен, контракт, запрос, переписка, и через год софт. Это трудные ребята, их раскачать много времени уйдет. Изменено 13 ноября, 2010 пользователем rus-p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grey.brv Опубликовано 14 марта, 2011 · Жалоба Благодарю за ответ, переписка закончилась и вот вердикт: ""foxgate" BGP GR function is not supported. But, "alcatel" Support BGP GR function,Or the default open BGP GR. So the two devices can not be established neighborhood. You can try trun off "alcatel" BGP GR function ?" После ввода команды на алькателе "no ip bgp graceful-restart" сессия поднялась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pahan Опубликовано 2 февраля, 2012 · Жалоба вот прошли годы с топикстарта ... получается не судьба запихнуть шестизнак в циску проще чем шеститонную? (у меня все клиенты "пятизначные" , а одного клиента пришлось на квагу терминировать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 2 февраля, 2012 · Жалоба вот прошли годы с топикстарта ... получается не судьба запихнуть шестизнак в циску проще чем шеститонную? (у меня все клиенты "пятизначные" , а одного клиента пришлось на квагу терминировать) Я запустил IOS 15 на C3560G, там все есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 30 марта, 2012 · Жалоба Я запустил IOS 15 на C3560G, там все есть.Лицензия требуется или и дальше "халява, сэр" ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 30 марта, 2012 · Жалоба Халява Уже есть апдейт и для старого ios flash:c3560-ipservicesk9-mz.122-58.SE2.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pahan Опубликовано 4 апреля, 2012 · Жалоба Вот поставил свежаайший софт на 4900М : cat4500e-entservicesk9-mz.150-2.SG4.bin Ввожу c4900g-m9-1(config-router)#neighbor 1.1.1.1 remote-as ? <1-65535> AS of remote neighbor подозреваю , что надо что то включить в конфе или как то по другому прописывать. а? Или 3560 умеет а 4900 не умеет АС32 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...