EricP
Ars Legatus Legionis
-
Add bookmark
-
#1
I’m troubleshooting a rather perplexing problem today. I do have a ticket in with vendor support but I always like to try and investigate myself as well.
Two of our routers are iBGP peers, one is a Force10 (we’ll say R1) and the other is a Juniper (R2). I ran a software update on R2 last night and after restart, this iBGP peering won’t remain established. All its other iBGP/eBGP peerings established correctly.
Digging into the problem, it looks like keepalives may be getting stuck in the queue behind BGP updates. If I watch the BGP summary screen while the devices are trying to peer, the output queue on the R1 goes up to 3-4k, sticks there, and 90 seconds later R2 sends a hold-timer expired notification to R1 and the peering resets.
Now the really baffling part of this is that R1 and R2 are directly connected via 10GbE. Thinking that maybe default MTU size changed in the software update (we were previously running very old JunOS code), I tried pings of various sizes up to the configured 9192 limit and all succeeded. The physical links (and logical LACP interfaces to which each 10G physical interface is assigned) both remain up with no errors during the peering reset, so it doesn’t seem to be a layer 1 or 2 problem. R1 is also iBGP established to another router similarly configured to R2- same hardware, software, etc… just different AS, and over a SP-provided 10Gbit link rather than direct connect.
Any thoughts on what might be causing the hold timer expiration, or additional things I should look at? Everything I know about fault isolation says it’s the link between the R1/R2 but I can’t find a damn thing wrong, and the only thing that changed was the software version on R2.
EricP
Ars Legatus Legionis
-
Add bookmark
-
#3
[url=http://arstechnica.com/civis/viewtopic.php?p=26849585#p26849585:i508bapt said:
messcheth[/url]»:i508bapt]did you set the df bit when you tested the mtu?
Yes.
EricP
Ars Legatus Legionis
-
Add bookmark
-
#4
[url=http://arstechnica.com/civis/viewtopic.php?p=26849585#p26849585:215tqdqj said:
messcheth[/url]»:215tqdqj]did you set the df bit when you tested the mtu?
This was an excellent question though, because it led me to do more in-depth mtu testing. From R1->R2, df bit pings up to 9174 are successful. From R2->R1, df bit pings up to 9146 are successful, from 9147-9150 they just fail, and from 9151 on up they return «message too long». The global/inet MTU on the LACP interface on R2 is 9192/9174, on the physical R2 interface it is 9192, so df pings *should* work up to 9174.
-
Add bookmark
-
#5
My guess would be the difference between L2 MTU, L3 MTU and the function of the ping application you’re using (does it specify just the payload size after the L3 headers or the entire packet size).
I believe PMTUD is still off by default in Junos for BGP, but can be turned on. Couldn’t tell you what F10 does.
EricP
Ars Legatus Legionis
-
Add bookmark
-
#6
[url=http://arstechnica.com/civis/viewtopic.php?p=26851529#p26851529:15zmuuei said:
MaxIdiot[/url]»:15zmuuei]My guess would be the difference between L2 MTU, L3 MTU and the function of the ping application you’re using (does it specify just the payload size after the L3 headers or the entire packet size).
I believe PMTUD is still off by default in Junos for BGP, but can be turned on. Couldn’t tell you what F10 does.
It was the freakin MTU. Props to messcheth for spurring me to investigate it further. The Juniper could send its Updates to the F10 no problem because it was below the max MTU on the F10. Going the other way, the MTU was too large, the F10’s queue filled up, keepalives never got sent, and the hold-down timer expired, causing the Juniper to terminate the peering.
Once I set the MTU to 9174 on both sides (the F10 was originally 9178), everything was cool.
-
Add bookmark
-
#7
Next time somebody asks why I hate jumbo frames, I’m trotting this one out. I’ve had this happen a couple times before on MetroE where you can have some equipment jumbo framed and some not.
I wish 10G had gone with JF as part of the standard or something like when MDI-X was added to gigabit and was not in fast ethernet.
В нашей сети произошел кратковременный сбой, когда один из наших маршрутов BGP вчера отключился на короткое время. К счастью, через несколько минут наши соединения перешли на наш вторичный маршрут BGP, и основной маршрут стал работать после завершения / отсутствия закрытия на стороне провайдера.
У нас работают 2 стековых (объединительных) коммутатора Cisco 3750e под управлением iOS 12.2 58.
В моем разговоре с нашим провайдером они не смогли дать однозначных ответов на причину. Есть ли что-нибудь, что мы можем сделать, чтобы определить причину с нашей стороны, чтобы избежать этой проблемы в будущем?
Журнал во время ошибки
172258: May 6 14:43:06: %BGP-5-ADJCHANGE: neighbor xxx.xxx.12.34 Down BGP Notification sent
172259: May 6 14:43:06: %BGP-3-NOTIFICATION: sent to neighbor xxx.xxx.12.34 4/0 (hold time expired) 0 bytes
172260: May 6 14:43:06: %BGP_SESSION-5-ADJCHANGE: neighbor xxx.xxx.12.34 IPv4 Multicast topology base removed from session BGP Notification sent
172261: May 6 14:43:06: %BGP_SESSION-5-ADJCHANGE: neighbor xxx.xxx.12.34 IPv4 Unicast topology base removed from session BGP Notification sent
Журнал, когда интернет-провайдер сделал закрытый / без закрытия, чтобы сбросить BGP на их стороне
172542: May 6 15:04:15: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/49, changed state to down
172543: May 6 15:04:16: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/49, changed state to down
172544: May 6 15:04:16: %PIM-5-NBRCHG: neighbor xxx.xxx.12.34 DOWN on interface GigabitEthernet2/0/49 non DR
172545: May 6 15:04:16: %PIM-5-NBRCHG: neighbor xxx.xxx.12.34 UP on interface GigabitEthernet2/0/49
172546: May 6 15:04:16: %PIM-5-DRCHG: DR change from neighbor 0.0.0.0 to xxx.xxx.12.35 on interface GigabitEthernet2/0/49
172547: May 6 15:04:18: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/49, changed state to up
172548: May 6 15:04:19: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/49, changed state to up
Журнал, когда BGP-соединение, наконец, перешло из режима ожидания в Up
172828: May 6 15:27:33: %BGP-5-ADJCHANGE: neighbor xxx.xxx.12.34 Up
Интерфейс BGP с нашей стороны (примечание: нет CRC, отбрасываний, сообщений о коллизиях …)
GigabitEthernet2/0/49 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is xxxx.xxxx
Internet address is xxx.xxx.12.35/31
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 3/255
Encapsulation ARPA, loopback not set
Keepalive not set
Full-duplex, 1000Mb/s, link type is auto, media type is 1000BaseLX SFP
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:09, output 00:00:12, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/52/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 14536000 bits/sec, 1655 packets/sec
5 minute output rate 1010000 bits/sec, 640 packets/sec
413176726 packets input, 428902543141 bytes, 0 no buffer
Received 143495 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 139275 multicast, 0 pause input
0 input packets with dribble condition detected
125748632 packets output, 42915625632 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out
Ответы:
172259: 6 мая 14:43:06:% BGP-3-NOTIFICATION: отправлено соседу xxx.xxx.12.34 4/0 (время удержания истекло) 0 байтов
Как правило, это означает, что другая сторона соединения не отвечает ни на какие сообщения активности в таймере удержания (по умолчанию 180 секунд). Есть множество проблем, которые могли бы вызвать это. Обычно это проблема достижимости уровня 3. Если это произойдет снова, вы должны исключить проблему layer3, протестировав одноранговый узел с помощью ping и telnet (telnet на порт 179, посмотрите, отвечает ли он).
Если это не проблема достижимости уровня 3, то была проблема с одним концом соседства (более вероятно, с дальней стороной в этом случае).
Если вы просто ищете «первопричину» этой проблемы:
Возможно, вы захотите спросить своего провайдера, были ли какие-либо изменения в конфигурации, сделанные на его конце, непосредственно перед тем, как это произошло. На маршрутизаторах Cisco есть экземпляры (которые не уверены на 100%, какая версия кода сейчас), когда сеансы BGP будут прерываться, когда одна сторона удаляет и повторно добавляет «карту маршрутов» с «mpls-ip» и / или «mtu». «конфигурация в пиринге BGP. Хотя такого рода обслуживание не должно вызывать проблем с пиринговым сеансом, я слышал историю об этом.
Кроме того, я не уверен, что им нужно было бы зайти так далеко, чтобы отбросить интерфейс и вернуть его обратно, чтобы «исправить» проблему. Я думаю, что простого сброса сеанса пиринга было бы достаточно, но если бы в момент сбоя не проходил трафик, можно утверждать, что не имеет значения, что они отбросили интерфейс для возобновления работы.
Это может быть проблемой MTU. Если бы это было некоторое время назад. Запускается нормально, но когда получено UPDATE с большим количеством маршрутов, оно теряется из-за несоответствия MTU. Также, если у вас есть устройства L2 (коммутатор? Медиаконвертер?) Между двумя вашими маршрутизаторами, возможно, что соединение прервано, и интерфейс не будет отключен.
Не из того, что я вижу. Маршрутизатор вашего интернет-провайдера прекратил отвечать на приветственные сообщения от вашего маршрутизатора, поэтому вы потеряли соединение BGP. Также возможно, что ваш маршрутизатор прекратил прослушивание приветственных сообщений от интернет-провайдера, но я не вижу в сообщениях ничего очевидного, что помогло бы определить проблему. Может быть, кто-то более сфокусированный на треке провайдера может прокомментировать и пролить свет?
Добрый день форумчане. Возможно у кого то уже была данная проблема с оборудованием brocade, поделиться решением.
Перешли с софтового роутера , на 10G Brocade VDX6720-24. Подняли BGP дефолт на трех соседей, один основной, и два резервных. Все зарабортало. Но периодически отваливается сессия. Может раз в несколько дней, а может дважди в сутки.
В логах
2021/06/01-06:19:33, [BGP-1002], 443389,, INFO, border, 11.22.60.153 DOWN (Hold Timer Expired).
2021/06/01-06:20:41, [BGP-1002], 443390,, INFO, border, 33.44.160.189 DOWN (Hold Timer Expired).
2021/06/01-06:21:23, [BGP-1002], 443391,, INFO, border, 33.44.160.189 UP (ESTABLISHED).
2021/06/01-06:22:15, [BGP-1002], 443392,, INFO, border, 11.22.60.153 UP (ESTABLISHED).
2021/06/01-06:23:32, [BGP-1002], 443393,, INFO, border, 11.22.60.153 DOWN (Hold Timer Expired).
2021/06/01-06:25:18, [BGP-1002], 443394,, INFO, border, 33.44.160.189 DOWN (Hold Timer Expired).
2021/06/01-06:26:40, [BGP-1002], 443395,, INFO, border, 33.44.160.189 UP (ESTABLISHED).
2021/06/01-06:28:55, [BGP-1002], 443396,, INFO, border, 11.22.60.153 UP (ESTABLISHED).
Часть конфига
rbridge-id 1
ip router-id 55.66.112.1
ip route 192.168.33.0/24 55.66.112.20
ip route 192.168.51.0/24 55.66.112.20
ip route 192.168.100.0/24 55.66.112.2
ip route 192.168.200.0/24 55.66.112.20
ip route 192.168.251.0/24 192.168.201.2
ip route 55.66.112.32/32 55.66.112.8
ip route 55.66.112.33/32 55.66.112.8
ip route 55.66.112.34/32 55.66.112.8
ip route 55.66.112.35/32 55.66.112.8
ip route 55.66.112.36/32 55.66.112.8
ip route 55.66.112.37/32 55.66.112.8
ip route 55.66.112.38/32 55.66.112.8
ip route 55.66.112.39/32 55.66.112.8
ip route 55.66.112.40/32 55.66.112.9
ip route 55.66.112.41/32 55.66.112.9
ip route 55.66.112.42/32 55.66.112.9
ip route 55.66.112.43/32 55.66.112.9
ip route 55.66.112.44/32 55.66.112.9
ip route 55.66.112.45/32 55.66.112.9
ip route 55.66.112.46/32 55.66.112.9
ip route 55.66.112.47/32 55.66.112.9
ip route 55.66.112.48/32 55.66.112.10
ip route 55.66.112.49/32 55.66.112.10
ip route 55.66.112.50/32 55.66.112.10
ip route 55.66.112.51/32 55.66.112.10
ip route 55.66.112.52/32 55.66.112.10
ip route 55.66.112.53/32 55.66.112.10
ip route 55.66.112.54/32 55.66.112.10
ip route 55.66.112.55/32 55.66.112.10
ip route 55.66.112.56/32 55.66.112.10
ip route 55.66.112.57/32 55.66.112.10
ip route 55.66.112.58/32 55.66.112.10
ip route 55.66.112.59/32 55.66.112.10
ip route 55.66.112.60/32 55.66.112.10
ip route 55.66.112.61/32 55.66.112.10
ip route 55.66.112.62/32 55.66.112.10
ip route 55.66.112.63/32 55.66.112.10
ip route 55.66.112.64/26 55.66.112.10
ip route 55.66.112.128/26 55.66.112.10
ip route 55.66.112.192/26 55.66.112.9
ip route 55.66.113.0/28 192.168.201.2
ip route 55.66.112.0/23 null 0
ip prefix-list AVA seq 10 permit 55.66.112.0/23
ip prefix-list AVA seq 1000 deny 0.0.0.0/0
ip prefix-list DEFAULT seq 10 permit 0.0.0.0/0
ip prefix-list DEFAULT seq 1000 deny 0.0.0.0/0 ge 24
switch-attributes chassis-name VDX6720-24
switch-attributes host-name border
system-monitor fan threshold marginal-threshold 1 down-threshold 2
system-monitor fan alert state removed action raslog
system-monitor power threshold marginal-threshold 1 down-threshold 2
system-monitor power alert state removed action raslog
system-monitor temp threshold marginal-threshold 1 down-threshold 2
system-monitor cid-card threshold marginal-threshold 1 down-threshold 2
system-monitor cid-card alert state none action none
system-monitor sfp alert state none action none
system-monitor compact-flash threshold marginal-threshold 1 down-threshold 0
system-monitor MM threshold marginal-threshold 1 down-threshold 0
system-monitor LineCard threshold marginal-threshold 1 down-threshold 2
system-monitor LineCard alert state none action none
system-monitor SFM threshold marginal-threshold 1 down-threshold 2
no protocol vrrp
no protocol vrrp-extended
telnet server shutdown
http server shutdown
route-map V1-IN permit 10
match ip address prefix-list DEFAULT
set local-preference 300
!
route-map V1-OUT permit 10
match ip address prefix-list AVA
!
route-map CSS-IN permit 10
match ip address prefix-list DEFAULT
set local-preference 100
!
route-map CSS-OUT permit 10
match ip address prefix-list AVA
set as-path prepend 77777 77777 77777 77777 77777 77777
!
route-map ETT-IN permit 10
match ip address prefix-list DEFAULT
set local-preference 100
!
route-map ETT-OUT permit 10
match ip address prefix-list AVA
set as-path prepend 77777 77777 77777 77777 77777 77777
!
fcoe
fabric-map default
fcoe-enodes 0
!
!
router bgp
local-as 77777
timers keep-alive 60 hold-time 180
neighbor V1 peer-group
neighbor V1 remote-as 49889
neighbor V1 description V1-NET
neighbor V1 update-source 11.22.60.155
neighbor V1 soft-reconfiguration inbound
neighbor 33.44.160.189 remote-as 35320
neighbor 33.44.160.189 description AS-ETT
neighbor 33.44.160.189 timers keep-alive 60 hold-time 180
neighbor 33.44.160.189 soft-reconfiguration inbound
neighbor 11.22.60.153 peer-group V1
neighbor 11.22.60.153 description V1-RS1
neighbor 11.22.60.154 peer-group V1
neighbor 11.22.60.154 description V1-RS2
neighbor 55.66.179.185 remote-as 47517
neighbor 55.66.179.185 description =-= CSS =-=
neighbor 55.66.179.185 timers keep-alive 60 hold-time 180
neighbor 55.66.179.185 soft-reconfiguration inbound
address-family ipv4 unicast
network 55.66.112.0/23
neighbor V1 route-map in V1-IN
neighbor V1 route-map out V1-OUT
neighbor 55.66.179.185 route-map in CSS-IN
neighbor 55.66.179.185 route-map out CSS-OUT
neighbor 33.44.160.189 route-map in ETT-IN
neighbor 33.44.160.189 route-map out ETT-OUT
!
!
interface Ve 2
ip access-group 100 in
ip proxy-arp
ip address 55.66.112.17/28
no shutdown
!
interface Ve 20
ip access-group 100 in
ip proxy-arp
ip address 192.168.201.1/29
ip address 55.66.112.1/28
no shutdown
!
interface Ve 21
ip access-group 100 in
ip proxy-arp
ip address 55.66.113.129/25
ip address 55.66.113.17/28
ip address 55.66.113.33/27
ip address 55.66.113.65/26
no shutdown
!
interface Ve 50
ip proxy-arp
no shutdown
!
interface Ve 60
ip access-group 100 in
ip proxy-arp
ip address 33.44.160.190/30
no shutdown
!
interface Ve 72
ip access-group 100 in
ip proxy-arp
ip address 55.66.179.188/29
no shutdown
!
interface Ve 80
ip access-group 100 in
ip proxy-arp
ip address 11.22.60.155/29
no shutdown
!
Нагрузка на память и загрузку процессора, мониторятся, нагрузка минимальная.
СФП меняли, проблема не ушла.
Может кто что подскажет по настройке. Кто имеет опыт по настройке brocade.
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
iBGP проблема с коннектом
Всех привествую. Решил настроить ibgp в сети. И столкнулся с пробелемой, что коннект не переходит в состояние estableshed
Дано:
R1 — это основной бордер. У него есть 2 сесии eBGP и я добавил на нем инстанс для ibg (AS 65530) IP в траснп сети: 10.120.254.1 looback 10.255.0.1
R2 — это ibg роутер. он должен установить сессию с R1 на нем дефолт инстанс с AS65530 IP в траснп сети 10.120.254.4 loopback 10.255.0.252
R3 — это ibg роутер. он должен установить сессию с R1 на нем дефолт инстанс с AS65530 IP в траснп сети 10.120.254.2 loopback 10.255.0.253
Между ними есть транспортная сеть (10.120.254.0/24 ) (Такая сеть была выбрана из-за проблемы с зеркалированием на сорм на аггрегирующем свитче)
сейчас пытаюсь установить сессию между R1 и R2 вот конфиги:
R2:
Код: Выделить всё
routing bgp instance print
Flags: * - default, X - disabled
0 * name="default" as=65530 router-id=10.255.0.252 redistribute-connected=no
redistribute-static=no redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter="" client-to-client-reflection=yes
ignore-as-path-len=no routing-table=""
routing bgp peer print detail
Flags: X - disabled, E - established
0 name="BGP-R1" instance=default remote-address=10.120.254.1 remote-as=65530
tcp-md5-key="" nexthop-choice=default multihop=no route-reflect=no
hold-time=3m ttl=default in-filter=bgp-in-r1 out-filter=bgp-out-r1
address-families=ip update-source=loopback0 default-originate=never
remove-private-as=no as-override=no passive=no use-bfd=no
конфиг БГП R1:
Код: Выделить всё
routing bgp instance print
Flags: * - default, X - disabled
0 * name="default" as=65530 router-id=10.255.0.252 redistribute-connected=no
redistribute-static=no redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter="" client-to-client-reflection=yes
ignore-as-path-len=no routing-table=""
routing bgp instance print
Flags: * - default, X - disabled
0 * name="default" as=65530 router-id=10.255.0.252 redistribute-connected=no
redistribute-static=no redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter="" client-to-client-reflection=yes
ignore-as-path-len=no routing-table=""
peer:
name="Internal-peer-R2" instance=bgp-internal remote-address=10.120.254.4
remote-as=65530 tcp-md5-key="" nexthop-choice=default multihop=no
route-reflect=no hold-time=3m ttl=default in-filter=bgp-internal-in
out-filter=bgp-internal-out address-families=ip update-source=loopback0
default-originate=never remove-private-as=no as-override=no passive=no
use-bfd=no
Сессия не устанавливается. В логах с обеих сторон сообщения что connection terminated
Есть мысли что не так в моем конфиге?
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 20 сен 2017, 10:02
Только connection termonated — и больше никаких сообщений?
Можно посмотреть с детальным логом:
/system logging add topics=bgp action=memory
Также проверить, что фильтр файрвола ничего не запрещает (bgp работает по протоколу tcp, порт 179)
UPD: так у вас у обоих роутеров одинаковый router-id — видимо, из-за этого и конфликт
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 20 сен 2017, 10:51
Решил вопрос отключением опции — update source на none
Но теперь другая беда с роутером. На нем в данный момент нет ни одного правила файрвол и он не отвечает на пинги и другие ип запросы (настраиваю его с ноля)
При том транспортный интерфейс подключенный к коммутатору тоже не пингуется (между коммутатором и роутером поднят оспф) с самого коммутатора роутер пигуется. А с компа подключенного к коммутатору — нет. Маршрут к лупбэк и транспортному адресу присутствует. (ccr1036 модель роутера)
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 20 сен 2017, 11:50
timonsterrr писал(а): ↑20 сен 2017, 10:51
Решил вопрос отключением опции — update source на none
Не высмотрел эту опцию %) /routing bgp export её бы лучше указал
Если update-source ставите в loopback, то и настраивать надо сессию между loopback-адресами, а не адресами транспортной сети
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 20 сен 2017, 11:58
Chupaka писал(а): ↑20 сен 2017, 11:50
timonsterrr писал(а): ↑20 сен 2017, 10:51
Решил вопрос отключением опции — update source на noneНе высмотрел эту опцию %) /routing bgp export её бы лучше указал
Если update-source ставите в loopback, то и настраивать надо сессию между loopback-адресами, а не адресами транспортной сети
Понял вас. Попробую так сделать. Спасибо
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 21 сен 2017, 06:01
Что то не могу я победить эту схему… В общем сессия установилась, все нормально. А вот инет как то странно работает. Пинги все есть, а сайты открываются через раз…либо открываются кусками, либо очень медленно либо вообще не открываются
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 21 сен 2017, 10:57
Chupaka писал(а): ↑21 сен 2017, 08:49
Пинги большими пакетами (1500 байт?) нормально ходят? Вообще не открываются — с какой ошибкой?
Сейчас пока что воспроизвести не могу, помню точного номера ошибки. Роутер пока отключил. Пинги с мту 1500 ходят нормально и до БГП хоста и ниже в трафик сети (с роутера R3)
Просто у меня схема сети в данный момент следующего вида:
(https://cloud.mail.ru/public/4QD4/8kNrZ8jso)
не могу понять как избавиться от дефолт маршрута на свитче аггрегации к роутерам…ибо весь исходящий трафик идет через один роутер, а возвращается через другой
Хотя по сути, если мы между CE и PE поднимем BGP по лупбэк интерфесам то на CE дефолт маршрут можно указать на лупбэк роутера с кем бгп, а обратные маршруты PE получат по бгп. и не важен будет роут свитча
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 21 сен 2017, 13:46
а у R2 и R3 (вы именно их называете CE?) какие задачи?
если свитч занимается маршрутизацией — то не всё ли ему равно, где там какие БГП в сторонке от него?
Пока что не очень понятно, чего надо добиться
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 21 сен 2017, 14:15
R2 и R3 — это PE
CE — это уровень дотсупа абонентов (роутер бижайший к ним)
Собственно еще раз попробовал переключиться на схему. И да, вы были правы — проблема с MTU
Почему то при переключении трафика в R3 максимальный MTU который проходит 1472 поэтому и такие проблемы со связь…другой вопрос….почему так резко падает мту…
Хотя стоп…1472 байта это и есть 150 мту….ничего не пойму в чем же засада
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 21 сен 2017, 16:17
Так какие у них задачи? Зачем они двумя концами подключаются к одному и тому же оборудованию (R1 и L3-коммутатору)?
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 21 сен 2017, 17:22
r1 принимает линки провайдеров и поддерживает бгп сессии с провайдерскими хостами фул вью плюс на нем нат.
r2 осуществляет шейпинг торрентов и маршрутизацию ядра
r3 то же самое что р2 просто р2 близок к пределу производительности и было решено разделить нагрузку поставив параллельно р3 и перенаправить на него трафик от р1 путем ананса меньших префиксов адресов. в сторону р2 останутся укрупненние маршруты
свитч аггрегирует линки от узлов, поддерживает с ними оспф прцесс.
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 21 сен 2017, 17:33
timonsterrr писал(а): ↑21 сен 2017, 17:22
путем ананса меньших префиксов адресов. в сторону р2 останутся укрупненние маршруты
о каких префиксах речь? локальных подсетей, анонсируемых в сторону r1? тогда балансироваться будет трафик из Интернета в сеть, исходящий будет идти через один роутер. если настроить на L3-коммутаторе ECMP на r2-r3 — он будет балансировать исходящий между ними (строго говоря, в примерно случайном порядке, более-менее равномерно) — подойдёт ли это для шейперов?
мы в своё время распределяли нагрузку на уровне узлов агрегации, они policy routing’ом балансировали абонентов на аналоги ваших r2 и r3, которые занимались шейпингом и натированием, а r1 работал уже чисто для ebgp
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 21 сен 2017, 19:00
речь о локальных префиксах. По сути сейчас все, что касается маршрутизации — работает, трафик балансируется как надо и тд. Беда только с проблемой что хттп трафик как то странно проходит через р3. похоже на то будто пакеты бьются. страницы могут открываться кусками и тд, если возвращаю трафик через р2 то все работает ок. Завтра буду снимать дампы, смотреть что происходит с пакетами при прохождении р3. Ибо мысли закончились уже.
В текущей схеме пока что да. исходящий весь идет через один роутер р2. мне важнее сбалансировать трафик, возвращающийся в сеть от р1. ну и попутно перестроить сеть полностью на динамические протоколы маршрутизации, привести в порядок ядро и агрегацию и заняться наконец файрволом и тд.
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 25 сен 2017, 09:10
Chupaka писал(а): ↑25 сен 2017, 08:59
Маршруты на R1 в сторону локальных подсетей нормальные? На R2 и R3 как файрвол настроен?
на R2 файрвол пока что не включен, а вот конфиг с R3:
Код: Выделить всё
ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; Add Syn Flood IP to the list
chain=input action=add-src-to-address-list tcp-flags=syn connection-limit=30,32 protocol=tcp address-list=Syn_Flooder address-list-timeout=30m
1 X ;;; Drop SYN Flood
chain=input action=drop src-address-list=Syn_Flooder
2 X chain=input action=add-src-to-address-list address-list=remider address-list-timeout=1d connection-mark=show-reminder log=no log-prefix=""
3 X chain=forward action=add-src-to-address-list dst-address-list=noris address-list=norisy address-list-timeout=1w log-prefix="norisy"
4 X ;;; Pornohub
chain=forward action=add-src-to-address-list dst-address-list=pornhub address-list=drochers address-list-timeout=5d log=no log-prefix=""
5 X chain=forward action=reject reject-with=icmp-network-unreachable dst-address-list=pornhub log=no log-prefix=""
6 X ;;; TrackersMark
chain=forward action=add-src-to-address-list dst-address-list=trackers address-list=kachki address-list-timeout=2d log=no log-prefix=""
7 X chain=input action=reject protocol=tcp in-interface=InternalLink dst-port=21
8 X chain=input action=drop protocol=tcp in-interface=InternalLink dst-port=22
9 X chain=input protocol=tcp src-address=10.125.125.0/24 dst-port=22
10 X chain=input action=accept dst-address=194.190.80.93 log=no log-prefix=""
11 X chain=input action=drop protocol=tcp src-port=16660 log=yes
12 chain=input action=drop connection-state=invalid
13 chain=forward action=drop connection-state=invalid
14 X ;;; drop DHCP not 92vlan
chain=forward action=drop protocol=udp in-interface=!bridge92 out-interface=!bridge92 dst-port=68 log=yes log-prefix=""
15 X ;;; drop DHCP not 92vlan
chain=forward action=drop protocol=udp in-interface=!bridge92 out-interface=!bridge92 dst-port=67 log=yes log-prefix=""
16 X chain=forward action=add-src-to-address-list src-address-list=!allowed address-list=not_found address-list-timeout=15m in-interface=!InternalLink out-interface=InternalLink
17 X chain=forward src-address=172.16.33.10 dst-address=80.89.138.3
18 X chain=input protocol=tcp src-address=194.190.81.235 dst-port=8291
19 ;;; ToServers
chain=forward dst-address-list=servers
20 chain=forward dst-address=10.125.125.0/24
21 X ;;; Billing
chain=input action=accept src-address=80.89.138.3 log=no log-prefix=""
22 X chain=input action=accept protocol=tcp src-address=172.16.0.0/16 dst-port=8080,8081,8082 log=no log-prefix=""
23 X chain=input action=accept protocol=tcp src-address=10.125.0.0/16 dst-port=8080,8081,8082 log=no log-prefix=""
24 X chain=input action=accept protocol=tcp src-address=194.190.80.0/22 dst-port=8081,8082 log=no log-prefix=""
25 X chain=input action=accept protocol=tcp src-address=80.89.138.0/24 dst-port=8081,8082 log=no log-prefix=""
26 X chain=input action=drop protocol=tcp dst-port=8080,8081,8082 log=no log-prefix=""
27 X chain=forward action=drop src-address=172.16.0.0/16 dst-address=10.125.125.0/24 dst-address-list=!servers log=yes log-prefix=""
28 X chain=forward action=reject src-address=172.16.33.10 dst-address-list=https_ban
29 X chain=forward action=accept src-address=10.125.125.0/24 log=no log-prefix=""
30 X ;;; TechDir
chain=forward src-address=194.190.80.94
31 X ;;; Save Billing
chain=forward action=drop dst-address=80.89.138.3
32 X chain=forward action=drop dst-address-list=mgmt in-interface=InternalLink log=no log-prefix=""
33 X ;;; 172.16.0.0/16
chain=forward action=add-src-to-address-list src-address=172.16.0.0/16 src-address-list=!clients address-list=suspected address-list-timeout=2d
34 X ;;; 194.190.80.0/22
chain=forward action=add-src-to-address-list src-address=194.190.80.0/22 src-address-list=!clients address-list=suspected address-list-timeout=2d
35 X ;;; 80.89.138.0/24
chain=forward action=add-src-to-address-list src-address=80.89.138.0/24 src-address-list=!clients address-list=suspected address-list-timeout=2d
36 X chain=forward action=passthrough src-address=10.125.125.162 log=no log-prefix=""
37 X ;;; Neoplata
chain=forward action=reject reject-with=icmp-network-unreachable src-address-list=banned log=no log-prefix=""
38 X chain=forward action=drop src-address=10.125.125.84 log=no log-prefix="Большая часть правил выключена, за неактуальностью, есть только несколько самых базовых
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 25 сен 2017, 09:16
В принципе все логично….в файрволе правило на форвардинг на дроп соединений с коннект сейтом инвалид. Маршрутизатор видит только исходящие пакеты а входящего трафика не видит, и информации о состоянии не имеет, что подпадает под правило дропа…и пакет дропается.
Настройка файрвола для меня следующий этап…пока что темный лес, знаю только базовые принципы. Буду разбираться…
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 25 сен 2017, 10:42
Да, с несимметричной маршрутизацией надо продумывать правила фильтра, с соединениями работать толком не получится.
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 27 сен 2017, 09:18
Chupaka писал(а): ↑21 сен 2017, 17:33
timonsterrr писал(а): ↑21 сен 2017, 17:22
путем ананса меньших префиксов адресов. в сторону р2 останутся укрупненние маршрутыо каких префиксах речь? локальных подсетей, анонсируемых в сторону r1? тогда балансироваться будет трафик из Интернета в сеть, исходящий будет идти через один роутер. если настроить на L3-коммутаторе ECMP на r2-r3 — он будет балансировать исходящий между ними (строго говоря, в примерно случайном порядке, более-менее равномерно) — подойдёт ли это для шейперов?
мы в своё время распределяли нагрузку на уровне узлов агрегации, они policy routing’ом балансировали абонентов на аналоги ваших r2 и r3, которые занимались шейпингом и натированием, а r1 работал уже чисто для ebgp
Есть вопрос по ECMP
У меня L3 свитч это цискостайл железка. Команды 1в1.
на ней прописан дефолт роут 0.0.0.0 0.0.0.0 1.1.1.1
если я пропишу так:
ip route load-balance
ip route max-paths 8
ip route 0.0.0.0 0.0.0.0 1.1.1.1 (роут для исходящего на R2)
ip route 0.0.0.0 0.0.0.0 2.2.2.2 (роут для исходящего на R3)
будет ли при таком конфиге исходящий трафик балансироваться и при падении например 1.1.1.1 полностью переключаться в 2.2.2.2?
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: iBGP проблема с коннектом
Сообщение
Chupaka » 27 сен 2017, 10:20
Как понимаю, на циске необходимо убедиться, что интерфейс, через который доступен адрес шлюза, будет падать при аварии. Т.е. там нет проверки доступности шлюза, и если роутер выключится, но интерфейс останется в состоянии UP, то коммутатор вполне может продолжить слать пакеты в порт, хотя их никто не принимает.
Я бы попробовал вместо статических маршрутов на роутерах настроить в OSPF default-originate (не забыть ip route load-balance) — коммутатор вполне должен сам подхватить ECMP-маршрут, и при пропадании роутера его некстхоп сам пропадёт из маршрутизации
-
timonsterrr
- Сообщения: 70
- Зарегистрирован: 05 мар 2017, 17:33
Re: iBGP проблема с коннектом
Сообщение
timonsterrr » 27 сен 2017, 10:22
Chupaka писал(а): ↑27 сен 2017, 10:20
Как понимаю, на циске необходимо убедиться, что интерфейс, через который доступен адрес шлюза, будет падать при аварии. Т.е. там нет проверки доступности шлюза, и если роутер выключится, но интерфейс останется в состоянии UP, то коммутатор вполне может продолжить слать пакеты в порт, хотя их никто не принимает.Я бы попробовал вместо статических маршрутов на роутерах настроить в OSPF default-originate (не забыть ip route load-balance) — коммутатор вполне должен сам подхватить ECMP-маршрут, и при пропадании роутера его некстхоп сам пропадёт из маршрутизации
Пожалуй так и сделаю. Тоже уже думал об этом. Спасибо
Я так понимаю за это на микротах отвечает distribute-default опция инстанса?