BGP problem z dostęnością niektórych AS-ow

Problemy związane z routingiem
Wiadomość
Autor
MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

BGP problem z dostęnością niektórych AS-ow

#1

#1 Post autor: MagicMen »

Witam, ma pewien problem z dostępnością niektórych as-ow z mojej sieci
siec wygląda mniej więcej tak:

Kod: Zaznacz cały


               
                          NETIA   NETTELEKOM  COMPLEX
                             |        \          /
                             |         \        /

                              R1               R2 
                              \_______________/
                                       |
                                    R3 - R4
                                       |
                                      ASA
                                       |
                                      NAT


Config R1

Kod: Zaznacz cały


router bgp 198460
 bgp log-neighbor-changes
 network 195.X.X.0
 neighbor 172.31.15.2 remote-as 198460 [b]! polaczenie do R2[/b]
 neighbor 172.31.15.2 password 7 @@@@@@@@@@
 neighbor 172.31.15.2 update-source Loopback0
 neighbor 172.31.15.2 next-hop-self
 neighbor 172.31.15.2 soft-reconfiguration inbound
 neighbor 195.X.X.231 remote-as 198460 [b]!polaczenie do sondy route reflector-a[/b]
 neighbor 195.X.X.231 route-reflector-client
 neighbor 195.X.X.231 soft-reconfiguration inbound 

 neighbor 195.X.X.235 remote-as 198460  [b] ! Podlaczenie do R3[/b]
 neighbor 195.X.X.235 next-hop-self
 neighbor 195.X.X.235 soft-reconfiguration inbound

 neighbor 195.X.X.236 remote-as 198460[b] ! podlaczenie do R4[/b]
 neighbor 195.X.X.236 next-hop-self
 neighbor 195.X.X.236 soft-reconfiguration inbound

 neighbor 195.X.X.249 remote-as 12741[b] ! Podłączenie do Neti[/b]
 neighbor 195.X.X.249 timers 10 30
 neighbor 195.X.X.249 soft-reconfiguration inbound
 neighbor 195.X.X.249 route-map FILTER_PREFIX_IN in
 neighbor 195.X.X.249 route-map FILTER_PREFIX_OUT out

ip as-path access-list 20 permit ^198460$
ip as-path access-list 20 permit ^$

route-map FILTER_PREFIX_IN permit 10

route-map FILTER_PREFIX_OUT permit 10
 match as-path 20



Config R2

Kod: Zaznacz cały


router bgp 198460
 bgp log-neighbor-changes
 network 195.X.X.0
 neighbor 5.X.X.1 remote-as 196890 [b]! połączenie do Comlex[/b]
 neighbor 5.X.X.1 password 7 065F17156A1C0B4A0D3030222A
 neighbor 5.X.X.1 timers 10 30
 neighbor 5.X.X.1 soft-reconfiguration inbound
 neighbor 5.X.X.1 route-map FILTER_PREFIX_COMPLEX_IN in
 neighbor 5.X.X.1 route-map FILTER_PREFIX_OUT_COMPLEX out

 neighbor 91.X.X.65 remote-as 196826 [b]! podłączenie do Nettelekom[/b]
 neighbor 91.X.X.65 password 7 0823765E394C1F4307271E1C737322032A
 neighbor 91.X.X.65 timers 10 30
 neighbor 91.X.X.65 soft-reconfiguration inbound
 neighbor 91.X.X.65 route-map FILTER_PREFIX_NETTELEKOM_IN in
 neighbor 91.X.X.65 route-map FILTER_PREFIX_OUT out

 neighbor 172.31.15.1 remote-as 198460 [b]! Podłączenie do R2[/b]
 neighbor 172.31.15.1 password 7 @@@@@@@@@
 neighbor 172.31.15.1 update-source Loopback0
 neighbor 172.31.15.1 next-hop-self
 neighbor 172.31.15.1 soft-reconfiguration inbound

 neighbor 195.X.X.229 remote-as 198460 [b]!Podłącenie do LABA[/b]
 neighbor 195.X.X.229 password 7 @@@@@@
 neighbor 195.X.X.229 shutdown 

 neighbor 195.X.X.231 remote-as 198460 [b]!polaczenie do sondy route reflector-a[/b]
 neighbor 195.X.X.231 route-reflector-client

 neighbor 195.X.X.235 remote-as 198460 [b]! Podłączenie do R3[/b]
 neighbor 195.X.X.235 next-hop-self
 neighbor 195.X.X.235 soft-reconfiguration inbound
 neighbor 195.X.X.236 remote-as 198460
 neighbor 195.X.X.236 next-hop-self
 neighbor 195.X.X.236 soft-reconfiguration inbound


ip as-path access-list 20 permit ^$
ip as-path access-list 20 permit ^198460$

route-map FILTER_PREFIX_COMPLEX_IN permit 20
!
route-map FILTER_PREFIX_IN permit 10

route-map FILTER_PREFIX_OUT_COMPLEX permit 10
 match as-path 20
!
route-map FILTER_PREFIX_NETTELEKOM_IN permit 10

!
route-map FILTER_PREFIX_OUT permit 10
 match as-path 20

Config R3 R4

Kod: Zaznacz cały

protocol bgp bgp_R1_226
{
                #       disabled;
        description "BGP adresacja 195.X.X.0/24";
        local as 198460;
        neighbor 172.31.15.1 as 198460;
        import all;
        export filter bgp_out;
        rr client;
                #password "@@@@@";
        next hop self;
}

protocol bgp bgp_R2_227
{
                #       disabled;
        description "BGP adresacja 195.X.X.0/24";
        local as 198460;
        neighbor 172.31.15.2 as 198460;
                #password "@@@@";
        import all;
        export filter bgp_out;
        next hop self;
        rr client;
}


Problem zaczął się w momencie gdy zamieniam operatora GTS na NETIĘ, zgłaszałem problem do swoich operatorów ale dostałem potwierdzenie że rozgłaszają mnie prawidłowo, sprawdzałem również z LG swoich dostawców i ich dostawców, moja sieć jest przez nich widziana prawidłowo oraz mają trasę rutingu do mnie. Próbowałem zgłaszać do również do operatorów np punktu 2 exatel, ale exatel ma do mnie dostęp natomiast jego klient już nie. Wygląda to jak by same końcówki operatorskie miały problem.

Ze swojego AS nie mogę się dostać się do wielu AS: przykładowo do

1. AS-y IDEA AS43447 z przykładowym IP 37.47.47.234
2. AS35463 z przykładowym ip: 82.177.224.3.
3 AS43821 z przykładowym IP 91.198.174.192

co ciekawe według mojego rutera IP: 37.47.47.234 to AS5617

Mogę je pingować ale nie mogę wysłać im poczty czy wejść serwisy WWW i odwrotnie ludzie z tych AS nie widzą moich serwerów WWW.

Kod: Zaznacz cały

root@SRV006-Bird-235:~# ping pl.wikipedia.org
PING pl.wikipedia.org (91.198.174.192) 56(84) bytes of data.
64 bytes from text-lb.esams.wikimedia.org (91.198.174.192): icmp_seq=1 ttl=51 time=40.0 ms
64 bytes from text-lb.esams.wikimedia.org (91.198.174.192): icmp_seq=2 ttl=51 time=40.3 ms
64 bytes from text-lb.esams.wikimedia.org (91.198.174.192): icmp_seq=3 ttl=51 time=40.2 ms
64 bytes from text-lb.esams.wikimedia.org (91.198.174.192): icmp_seq=4 ttl=51 time=40.3 ms
64 bytes from text-lb.esams.wikimedia.org (91.198.174.192): icmp_seq=5 ttl=51 time=40.4 ms
^C
--- pl.wikipedia.org ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 40.089/40.282/40.437/0.278 ms
root@SRV006-Bird-235:~# traceroute pl.wikipedia.org
traceroute to pl.wikipedia.org (91.198.174.192), 30 hops max, 60 byte packets
 1  xXXXX-226.XXXXXX.pl (195.X.X.226)  0.719 ms  0.810 ms  0.782 ms
 2  LublR030MM01.lecz.bdi.inetia.pl (195.X.X.249)  0.914 ms  1.364 ms  1.642 ms
 3  87.204.225.100 (87.204.225.100)  5.514 ms  5.504 ms  5.478 ms
 4  KrakH001RT11-KrakH001RT09.inetia.pl (83.238.250.36)  4.929 ms  4.906 ms  4.878 ms
 5  KrakH001RT09-WarsH002RT22.inetia.pl (83.238.251.92)  11.037 ms  11.010 ms  10.985 ms
 6  WarsH002RT22-WarsC001RT06.inetia.pl (83.238.251.167)  9.159 ms  7.423 ms  8.373 ms
 7  r1waw1.core.init7.net (77.109.135.133)  17.389 ms  17.429 ms  17.449 ms
 8  77.109.140.254 (77.109.140.254)  36.210 ms  36.190 ms  36.161 ms
 9  r1fra2.core.init7.net (82.197.163.50)  36.128 ms  34.258 ms  34.260 ms
10  r1ams2.core.init7.net (77.109.128.201)  45.022 ms  45.001 ms  44.954 ms
11  * * *
jeśli zmienię localprefa dla powyższego przykładu z neti na nettelekoma ruch do as wikipedia działa, ale naliczyłem około 50 AS z którymi mam problem.

Co mogę mieć nie tak, lub jak mogę to poprawić.
Brakuje mi już siły.[/code]

MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

#2

#2 Post autor: MagicMen »

A może któryś z forumowiczów administruje którymś z poniższych AS-ów i mógłby sprawdzić jaką ma do mnie trasę, zrobić traceroute ?

Kod: Zaznacz cały

16509 8535 5577 43350 198093 2116 28753 24940 1101 13213 29278 201401 1853 15590 8865 5089 8267
35425 1887 12990 8970 41931 15798 24848 8323 2856 58350 198984 23940 12324 14618 32934 60781 48534 8308
8426 197846 5615 57889 9103 9105 5466 42927 8870 13285 41092 3265 196891 41088 9112 15919 16125 8664 16509 25325 15395 35174

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#3

#3 Post autor: dorvin »

Po pierwsze jak prosisz o pomoc w takim zgadnieniu to nie ukrywaj adresów IP. I tak da się je bez problemu znaleźć, ale trzeba wykonać 2 dodatkowe kroki i nie każdemu się będzie chciało.

Czy wszystkie te ASy masz w swoich tablicach osiągalne przez Netię? Sprawdziłem sobie kilka losowych zagranicznych LG i we wszystkich jesteś osiągalny przez Nettelekom. Oczywiście nie chce mi się szukać konkretnych ASów z którymi masz problem - to Twoje zadanie. Powiem tylko, że miałem kiedyś sytuację, gdy Netia filtrowała prefixy mojego klienta na wyjściach poza Polskę. W tablicy klienta sieci zagraniczne były, natomiast w drugą stronę już nie. Teoretycznie w takiej sytuacji u Ciebie trasy powinny być osiągalne przez drugie łącze, ale jak widać coś jest nie tak. Moim zdaniem powinieneś posprawdzać dokładnie różne LG i ścigać Netię.

Awatar użytkownika
borostfor
wannabe
wannabe
Posty: 99
Rejestracja: 01 sie 2009, 23:20
Lokalizacja: Festung Breslau

#4

#4 Post autor: borostfor »

Przeciez 37.47.0.0/16 to AS5617

Kod: Zaznacz cały

BGP routing table entry for 37.47.0.0/16
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker         3621240423  3621240423
Last Modified: Jul 17 06:17:25.384 for 28w2d
Paths: (16 available, best #10)
  Advertised to update-groups (with more than one peer):
    0.1 0.5 0.7 
  Path #1: Received by speaker 0
  Not advertised to any peer
  1299 1299 1299 1299 5617

Wyglada ze wszystkie LG z roznych lokalizacji maja Twoje prefixy.

http://lg.ring.nlnog.net/prefix_detail/ ... .28.0.0/24

Ripe import i export rowniez wyglada poprawnie w bazie.

http://irrexplorer.nlnog.net/search/AS198460

Moze problem u neti lub u Ciebie.

Awatar użytkownika
toczyskik
wannabe
wannabe
Posty: 312
Rejestracja: 09 maja 2006, 14:28
Lokalizacja: Warszawa

#5

#5 Post autor: toczyskik »

Hej,

Masz MTRa z problematycznych hostów w Twoją stronę? Patrzyłeś jak wygląda sytuacja gdy zostawisz tylko sesję BGP do Netii?
Pozdrawiam
Krzysiek Te.

MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

#6

#6 Post autor: MagicMen »

@dorvin , Pewnie masz rację, ale nie chciałem świecić IP-kami po całym forum. Wszytskie problematyczne AS o kórych pisałem w poście drugim są osiągalne przez NETIĘ, znalazłem ich na razie tylko albo aż 56. Są to przeważnie AS końcowych sieci.
@borostfor też tak myślałem ale sprawdziłem w ripe i adresacja mojego tableta z kartą orange friee to 37.47.75.65 to AS43447
Obrazek
@toczyskik tak mam, jeśli jest sesja tylko z netią problem wygląda identycznie.
Obrazek
ode mnie to wygląda tak:
Obrazek

saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#7

#7 Post autor: saiqard »

Mam jednego z ASów z którym masz problem. Napisz, na jakiego hosta zrobić Ci mtra ;)

Awatar użytkownika
toczyskik
wannabe
wannabe
Posty: 312
Rejestracja: 09 maja 2006, 14:28
Lokalizacja: Warszawa

#8

#8 Post autor: toczyskik »

@toczyskik tak mam, jeśli jest sesja tylko z netią problem wygląda identycznie.
Image
ode mnie to wygląda tak:
Image
Czy te hosty końcowe nie mają przepadkiem uRPFa włączonego? Telnet na port 80 oczywiście też nie działa?
Pozdrawiam
Krzysiek Te.

MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

#9

#9 Post autor: MagicMen »

@toczyskik hmm moje hosty ? jesli o nie pytasz to nie wiem. Telenet na port 80 nie działa.
Sprawdziłem okazało się że przeoczyłem uRPF na Asie, był włączony. Wyłączyłem go ale nic się nie zmieniło.

Kod: Zaznacz cały

ASA# show ip verify statistics
interface MANAGEMENT: 0 unicast rpf drops
interface INSIDE2: 0 unicast rpf drops
interface R1_R2_BGP: 0 unicast rpf drops

Awatar użytkownika
toczyskik
wannabe
wannabe
Posty: 312
Rejestracja: 09 maja 2006, 14:28
Lokalizacja: Warszawa

#10

#10 Post autor: toczyskik »

MagicMen pisze:@toczyskik hmm moje hosty ? jesli o nie pytasz to nie wiem. Telenet na port 80 nie działa.
Sprawdziłem okazało się że przeoczyłem uRPF na Asie, był włączony. Wyłączyłem go ale nic się nie zmieniło.

Kod: Zaznacz cały

ASA# show ip verify statistics
interface MANAGEMENT: 0 unicast rpf drops
interface INSIDE2: 0 unicast rpf drops
interface R1_R2_BGP: 0 unicast rpf drops
Właściwie to nie hosty, a sieci docelowe, z którymi masz problem.
Pozdrawiam
Krzysiek Te.

MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

#11

#11 Post autor: MagicMen »

@toczyskik a mogę się jakoś przed tym bronić ? Da się coś z tym zrobić ?

MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

#12

#12 Post autor: MagicMen »

Netia walczy z problemem, ale zauważyłem jeszcze jeden problem na kolejnym operatorze z dostępem do onet.pl

traceroute wyglada tak:

Kod: Zaznacz cały


root@SRV006-Bird-235:~# traceroute onet.pl
traceroute to onet.pl (213.180.141.140), 30 hops max, 60 byte packets
 1  pl-kc-aw-mm0-227.xxxxxx.pl (195.x.x.227)  1.742 ms  2.679 ms  3.361 ms
 2  ip-5-149-192-1.kielce.net.pl (5.149.192.1)  0.825 ms  0.943 ms  0.930 ms
 3  SwicR001MM01.swic.bdi.inetia.pl (81.210.24.117)  7.444 ms  7.655 ms  8.913 ms
 4  87.204.224.0 (87.204.224.0)  4.789 ms  6.564 ms  6.616 ms
 5  WarsH002RT22-WarsH002RT41.inetia.pl (83.238.251.53)  6.000 ms  6.027 ms  6.015 ms
 6  * * *
 7  * * *
 8  * * *

traceroute z onetu do mnie

Kod: Zaznacz cały


  1     1 ms    <1 ms    <1 ms  10.163.16.2
  2     1 ms     1 ms     1 ms  10.167.57.101
  3     1 ms     1 ms     1 ms  10.167.58.186
  4     2 ms     2 ms     2 ms  sdr1.dmz.onet.pl [213.180.137.130]
  5     2 ms     9 ms     9 ms  ruc-CR1.z.SRK1.net.onet.pl [213.180.151.112]
  6     2 ms     2 ms     2 ms  ruc-BR1.z.ruc-CR1.net.onet.pl [213.180.151.19]
  7     2 ms     4 ms     2 ms  ruc-BR2.z.ruc-BR1.net.onet.pl [213.180.151.13]
  8     2 ms     2 ms     2 ms  z-onetu.cyfronet.krakow.pl [195.150.96.1]
  9    20 ms     2 ms     2 ms  149.156.0.57
 10     8 ms     8 ms     8 ms  pw-r1-ge2-0-9-430.warman.nask.pl [148.81.253.97]
11     9 ms     9 ms     9 ms  pw-gw-z-as1887.warman.nask.pl [195.187.255.52]
12    11 ms    11 ms    11 ms  195.187.255.221
13     *        *        *     Upłynął limit czasu żądania.
14    15 ms    15 ms    17 ms  complexcomputers.plix.pl [195.182.219.61]
15    16 ms    15 ms    16 ms  ip-5-149-192-2.kielce.net.pl [5.149.192.2]
16    17 ms    16 ms    17 ms  pl-kc-aw-mm0-227.xxxxx.pl [195.X.X.227]

wygląda to że ruch asymetryczny jest odrzucany przez moj ruter, uRPF mam wyłączonego.
czy jest jeszcze coś co powinien sprawdzić lub wyłączyć ?

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#13

#13 Post autor: gangrena »

MagicMen pisze:wygląda to że ruch asymetryczny jest odrzucany przez moj ruter, uRPF mam wyłączonego.
czy jest jeszcze coś co powinien sprawdzić lub wyłączyć ?
Traceroute, czy ping nie jest jeszcze dowodem, że masz problem z komunikacją do onet.pl. Akurat onet.pl powinien dawać się pingować. Próbowałeś? Telnet na określony port?

MagicMen
Server Admin
Posty: 183
Rejestracja: 01 cze 2009, 21:23

#14

#14 Post autor: MagicMen »

@Gangrena sprawdzałem również tcptraceroute oraz telnetem

Kod: Zaznacz cały

root@SRV006-Bird-235:~# tcptraceroute onet.pl
Selected device eth0, address 195.X.X.235, port 59206 for outgoing packets
Tracing the path to onet.pl (213.180.141.140) on TCP port 80 (http), 30 hops max
 1  pl-kc-aw-mm0-227.xxxx.pl (195.X.X.227)  1.148 ms  19.026 ms  1.228 ms
 2  ip-5-149-192-1.kielce.net.pl (5.149.192.1)  0.739 ms  0.733 ms  0.765 ms
 3  SwicR001MM01.swic.bdi.inetia.pl (81.210.24.117)  15.961 ms  11.647 ms  4.433 ms
 4  87.204.224.0  6.013 ms  7.320 ms  4.527 ms
 5  WarsH002RT22-WarsH002RT41.inetia.pl (83.238.251.53)  6.990 ms  6.330 ms  6.379 ms
 6  * * *
 7  * * *

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#15

#15 Post autor: gangrena »

MagicMen pisze:@Gangrena sprawdzałem również tcptraceroute oraz telnetem
Na jaki port sprawdzałeś telnet? Czy sprawdzałeś ping? Traceroute jest pewnie przyblokowany, więc na tej podstawie nie ma co formułować wniosków.

ODPOWIEDZ