pytanie o zachowaniedf BGP

Wiadomość

jepes · #1

Witam,
Sytuacja w skrócie wygląda tak: R1--IBGP--R2, każdy z routerów ma zestawioną sesję EBGP ze swoim operatorem, oba ściągają całą tablicę routingu. Żadna skomplikowana konfiguracja.
Teraz próbuje połączyć się z routerem R1 z określonego adresu zewnętrznego - brak połączenia. Połączenie na R2 - jest ok.
Na routerach sprawdzam routing do sieci, z której się łącze i na R1 next hop wskazuje R2 przez IBGP (zgodnie z zasada wyboru trasy w BGP - krótszy AS-PATH).
Na R2 routing do sieci z ktorej sie lącze oczywiście wskazuje peera EBGP.
Nie znam sie zbyt dobrze na BGP stad moje lamerskie pytanie - czy to jest normalne?
a jeśli nie to na co powinienem zwrócić uwagę?

dorvin · #2

Narysuj topologię z adresacją i powiedz, na które adresy próbujesz się łączyć. To nie jest normalny objaw, ale pewnie jakiś drobiazg przeoczyłeś (np. ACLki na interfejsach albo niedopracowana konfiguracja NAT).

jepes · #3

Czyli przykładowo z hosta w sieci z.z.z.0/24 loguję się na adres x.x.x.1 routera R1 i połączenie nie działa.
Z tego samego hosta w sieci z.z.z.0/24 mogę bez problemu połączyć się do adresu y.y.y.1.

Sprawdzając tablicę routingu na R1 to sieć z.z.z.0/24 jest dostępna przez router R2 (IBGP - mniejszy AS-Path niz przez EBGP przez operatora 1).

konfig na R1 odnosnie BGP:

Kod: Zaznacz cały

router bgp 300
 no synchronization
 no bgp fast-external-fallover
 bgp log-neighbor-changes
 bgp graceful-restart restart-time 120
 bgp graceful-restart stalepath-time 360
 bgp graceful-restart
 bgp maxas-limit 20
 network a.a.a.0/24
 neighbor a.a.a.2 remote-as 300
 neighbor a.a.a.2 next-hop-self
 neighbor a.a.a.2 soft-reconfiguration inbound
 neighbor x.x.x.2 remote-as 100
 neighbor x.x.x.2 soft-reconfiguration inbound
 neighbor x.x.x.2 prefix-list PREFIX1 in
 neighbor x.x.x.2 prefix-list PREFIX2 out

ip prefix-list PREFIX2: 1 entries
   seq 5 permit a.a.a.0/24
ip prefix-list PREFIX1: 1 entries
   seq 5 permit 0.0.0.0/0 le 24

Konfig na R2 jest w zasadzie analogiczny.
Mam nadzieje ze nie zamieszalem za bardzo:)

horac · #4

to ze siec jest dostepna przez jeden router a nie dwa w twoim AS, to normalne, poniewaz w danym AS wybierana jest najlepsza trasa per destination i ona jest rozglaszana w obrebie tego AS. Ustaw atrybut weight na R1 dla prefixu zzz na 1 i zobacz wtedy czy mozesz sie dostac na R1.

jepes · #5

zgadza sie, ale czy nie powinno byc tak, ze jesli np pinguje router R1 (x.x.x.1) z sieci zzz to echo-request dochodzi do R1 a echo-reply wraca przez R2 zgodnie z tablica routingu na R1 i ping dziala?bo w moim przypadku tak niestety nie jest

tomiabc · #6

jeśli to jest rzeczywista sytuacja i adresy x.x.x.1 i y.y.y.1 dostałeś od dostawców i to są adresy rutowalne to one powinny się pingować z 'internetu' bez problemu.
jeśli to jest jakiś lab i adresy x.x.x.1 i y.y.y.1 zawieracją się w adresacji którą rozgłaszasz komenda network a.a.a.0/24 to może być różnie

jepes · #7

to rzeczywista adresacja - adresy xxx i yyy sa routowalne. Adresacja aaa jest rozglaszana, ale oczywiscie adresy xxx i yyy sie w niej nie zawieraja.
Czy w takiej sytuacji problem moze w jakis sposob lezec po stronie operatora?

tomiabc · #8

z R1 pingujesz x.x.x.2?
z internetu pingujesz x.x.x.2?

bugi · #9

jepes pisze: Czyli przykładowo z hosta w sieci z.z.z.0/24 loguję się na adres x.x.x.1 routera R1 i połączenie nie działa.
Z tego samego hosta w sieci z.z.z.0/24 mogę bez problemu połączyć się do adresu y.y.y.1.

Sprawdzając tablicę routingu na R1 to sieć z.z.z.0/24 jest dostępna przez router R2 (IBGP - mniejszy AS-Path niz przez EBGP przez operatora 1).

konfig na R1 odnosnie BGP:
Kod: Zaznacz cały
router bgp 300
 no synchronization
 no bgp fast-external-fallover
 bgp log-neighbor-changes
 bgp graceful-restart restart-time 120
 bgp graceful-restart stalepath-time 360
 bgp graceful-restart
 bgp maxas-limit 20
 network a.a.a.0/24
 neighbor a.a.a.2 remote-as 300
 neighbor a.a.a.2 next-hop-self
 neighbor a.a.a.2 soft-reconfiguration inbound
 neighbor x.x.x.2 remote-as 100
 neighbor x.x.x.2 soft-reconfiguration inbound
 neighbor x.x.x.2 prefix-list PREFIX1 in
 neighbor x.x.x.2 prefix-list PREFIX2 out

ip prefix-list PREFIX2: 1 entries
   seq 5 permit a.a.a.0/24
ip prefix-list PREFIX1: 1 entries
   seq 5 permit 0.0.0.0/0 le 24
Konfig na R2 jest w zasadzie analogiczny.
Mam nadzieje ze nie zamieszalem za bardzo:)

Witaj, co oznacza zę połączenie na ten adres nie działa ? pokaż tracerouty gdzie się kończą zarówno dla działajacego ip jak i nie działającego.

Pozrdro !

jepes · #10

jestem w stanie pingowac x.x.x.2, nie jestem w stanie pingowac x.x.x.1.
Jesli chodzi o R2 to jestem w stanie pingowac zarowno y.y.y.2 jak i y.y.y.1

lbromirs · #11

jepes pisze:jestem w stanie pingowac x.x.x.2, nie jestem w stanie pingowac x.x.x.1.
Jesli chodzi o R2 to jestem w stanie pingowac zarowno y.y.y.2 jak i y.y.y.1

a) nie ma czegoś takiego jak adres 'nieroutowalny'; każdy jest, nawet 127.0.0.1 a tym bardziej 127.0.0.11

b) jeśli nie pingujesz - coś jest źle, bugi już prosił o traceroute, jeśli w tablicy routingu są wpisy do sieci którą pingujesz a ping nie wraca - najwyraźniej druga strona lub coś po drodze nie wie jak dostać się do adresu *z którego* pingujesz

jepes · #12

Prosze bardzo:

Kod: Zaznacz cały

Śledzenie trasy do x.x.x.1 z maksymalną liczbą 30 przeskoków.

  1    <1 ms    <1 ms    <1 ms  192.168.1.254
  2     1 ms    <1 ms    <1 ms  94.42.169.225
  3     6 ms     6 ms     6 ms  157.25.248.137
  4     6 ms     6 ms     6 ms  157.25.248.94
  5    37 ms    37 ms    37 ms  85.219.135.122
  6     9 ms     9 ms     9 ms  89.167.48.98
  7     *        *        *     Upłynął limit czasu żądania.


Śledzenie trasy do x.x.x.2 z maksymalną liczbą 30 przeskoków.

  1    <1 ms    <1 ms    <1 ms  192.168.1.254
  2     1 ms    <1 ms    <1 ms  94.42.169.225
  3     7 ms     7 ms     6 ms  157.25.248.137
  4     6 ms     6 ms     6 ms  157.25.248.94
  5    37 ms    37 ms    37 ms  85.219.135.122
  6    10 ms     9 ms     9 ms  x.x.x.2

lbromirs · #13

jepes pisze:Prosze bardzo:

Kod: Zaznacz cały

Śledzenie trasy do x.x.x.1 z maksymalną liczbą 30 przeskoków.

  1    <1 ms    <1 ms    <1 ms  192.168.1.254
  2     1 ms    <1 ms    <1 ms  94.42.169.225
  3     6 ms     6 ms     6 ms  157.25.248.137
  4     6 ms     6 ms     6 ms  157.25.248.94
  5    37 ms    37 ms    37 ms  85.219.135.122
  6     9 ms     9 ms     9 ms  89.167.48.98
  7     *        *        *     Upłynął limit czasu żądania.


Śledzenie trasy do x.x.x.2 z maksymalną liczbą 30 przeskoków.

  1    <1 ms    <1 ms    <1 ms  192.168.1.254
  2     1 ms    <1 ms    <1 ms  94.42.169.225
  3     7 ms     7 ms     6 ms  157.25.248.137
  4     6 ms     6 ms     6 ms  157.25.248.94
  5    37 ms    37 ms    37 ms  85.219.135.122
  6    10 ms     9 ms     9 ms  x.x.x.2

Adres x.x.x.1 nie jest w stanie dostarczyć odpowiedzi - blokuje je, lub coś po drodze. Ale Ty routing do tej sieci masz. Teraz pytanie: to jest lab, czy to jest Internet? I co na R1 masz skonfigurowane na interfejsach, bo pokazałeś tylko konfigurację BGP?

Pokaż jeszcze z R1 'sh ip route x.x.x.x' gdzie x.x.x.x to adres z którego pingujesz/robisz trace'a.

jepes · #14

To jest Internet. Zmieniam tylko nr ASow

Kod: Zaznacz cały

3845-1#sh ip route 94.42.169.0
Routing entry for 94.42.0.0/16
  Known via "bgp 300", distance 200, metric 0
  Tag 22347, type internal
  Last update from a.a.a.2 5d00h ago
  Routing Descriptor Blocks:
  * a.a.a.2, from a.a.a.2, 5d00h ago
      Route metric is 0, traffic share count is 1
      AS Hops 4
      Route tag 22347

Na interfejsie od strony operatora mam ACLkę, która pingi na pewno przepuszcza więc nie ma sensu żebym ją wklejał.
Na R1 i R2 mam zrobione BVI, ktore połączone są ze sobą (sesja IBGP), zadnych ACLek tam nie ma.

Dodam, że z niektórych sieci mogę pingować zarówno R1 jak i R2, problem pojawia się przy tych prefixach, które dostępne są przez peera IBGP - R2.

lbromirs · #15

Problem najwyraźniej nie jest w routingu - trasy masz. Czy w ogóle coś przechodząc przez R1 i idąc potem przez BVI do R2 wychodzi do Internetu? Sprawdź to, bo to wydaje się wątpliwą konstrukcją.