BGP ISR 4451x VRF Mgmt-intf
BGP ISR 4451x VRF Mgmt-intf
Czesc,
chce zestawic sesje bgp pomiedzy ASAv (asa991-smp-k8.bin) a ISR 4451x (isr4400-universalk9.03.16.06b.S.155-3.S6b-ext.SPA.bin). Po stronie rutera BGP ma dzialac na domyslnym vrf Mgmt-intf. Pomiedzy ASAv i ruterem jest switch L3 i firewall fortigate, czyli 2 hopki.
Teraz problem, sesja bgp nie zestawia sie bo nie nawiazauje sie polacznie TCP 3way handshake. Z tego co zdebugowalem problem jest z ruterem. Moge zrobic telnet z rutera na port ASA ssh - 22 lub 443 ale na 179 nie, ASA odsyla SYN ACK na probe polaczenia z rutera i nic sie nie dzieje, dostaje tylko ponowienia retransmisji z rutera. Dodatkowo na ASAv przekonfigurowalem http tak, aby serwis sluchal na porcie 179, z innych hostow moge sie polaczyc do takiej uslugi a rutera juz nie. Taka sama sytuacja jest gdy skonfiguruje BGP na ruterze i ASA prawidlowo, czyli address-family ipv4 + ebgp-multihop.
Czy to normalne zachowanie, ze moge polaczyc sie na 22 i 443 z rutera do ASA ale na 179 juz nie, gdy polaczenie wychodzi z vrf Mgmt-intf?
chce zestawic sesje bgp pomiedzy ASAv (asa991-smp-k8.bin) a ISR 4451x (isr4400-universalk9.03.16.06b.S.155-3.S6b-ext.SPA.bin). Po stronie rutera BGP ma dzialac na domyslnym vrf Mgmt-intf. Pomiedzy ASAv i ruterem jest switch L3 i firewall fortigate, czyli 2 hopki.
Teraz problem, sesja bgp nie zestawia sie bo nie nawiazauje sie polacznie TCP 3way handshake. Z tego co zdebugowalem problem jest z ruterem. Moge zrobic telnet z rutera na port ASA ssh - 22 lub 443 ale na 179 nie, ASA odsyla SYN ACK na probe polaczenia z rutera i nic sie nie dzieje, dostaje tylko ponowienia retransmisji z rutera. Dodatkowo na ASAv przekonfigurowalem http tak, aby serwis sluchal na porcie 179, z innych hostow moge sie polaczyc do takiej uslugi a rutera juz nie. Taka sama sytuacja jest gdy skonfiguruje BGP na ruterze i ASA prawidlowo, czyli address-family ipv4 + ebgp-multihop.
Czy to normalne zachowanie, ze moge polaczyc sie na 22 i 443 z rutera do ASA ale na 179 juz nie, gdy polaczenie wychodzi z vrf Mgmt-intf?
Re: BGP ISR 4451x VRF Mgmt-intf
Ustawiłeś source-interface na interfejs należący do VRFu po stronie routera?
Co do telnetów/etc - pamiętaj, że po stronie routera możesz ustawić source VRF dla połączeń wychodzących, natomiast kontrola połączeń przychodzących do niego, w tym źródłowego VRFu odbywa się na poziomie danej tablicy routingu i ew. access-class linii VTY/usługi HTTP.
Co do telnetów/etc - pamiętaj, że po stronie routera możesz ustawić source VRF dla połączeń wychodzących, natomiast kontrola połączeń przychodzących do niego, w tym źródłowego VRFu odbywa się na poziomie danej tablicy routingu i ew. access-class linii VTY/usługi HTTP.
Re: BGP ISR 4451x VRF Mgmt-intf
Wydaje mi sie ze ustawilem wszystko dobrze, 10.80.11.20 - ASA, 10.80.10.13 - rotuer, ponizej config z rutera:lbromirs pisze: ↑18 gru 2017, 13:11 Ustawiłeś source-interface na interfejs należący do VRFu po stronie routera?
Co do telnetów/etc - pamiętaj, że po stronie routera możesz ustawić source VRF dla połączeń wychodzących, natomiast kontrola połączeń przychodzących do niego, w tym źródłowego VRFu odbywa się na poziomie danej tablicy routingu i ew. access-class linii VTY/usługi HTTP.
Kod: Zaznacz cały
NPPLR1700101#sh run | sec line vty
line vty 0 4
session-timeout 30
access-class ACL_VTY in vrf-also
exec-timeout 30 0
logging synchronous
transport input all
transport output all
NPPLR1700101#sho access-lists ACL_VTY
Standard IP access list ACL_VTY
5 permit 10.80.11.20 log
10 permit 10.xx.xx.xx (26 matches)
20 permit 10.xx.xx.xx (1883 matches)
30 deny any log (5 matches)
NPPLR1700101#sh vrf
Name Default RD Protocols Interfaces
Mgmt-intf 888:888 ipv4,ipv6 Gi0
NPPLR1700101#sho ip route vrf Mgmt-intf 10.80.11.20
Routing Table: Mgmt-intf
Routing entry for 10.80.11.20/32
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 10.80.10.1
Route metric is 0, traffic share count is 1
NPPLR1700101#telnet 10.80.11.20 22 /vrf Mgmt-intf /source-interface gigabitEthernet 0
Trying 10.80.11.20, 22 ... Open
SSH-2.0-Cisco-1.25
^]
[Connection to 10.80.11.20 closed by foreign host]
NPPLR1700101#telnet 10.80.11.20 179 /vrf Mgmt-intf /source-interface gigabitEthernet 0
Trying 10.80.11.20, 179 ...
% Connection timed out; remote host not responding
Kod: Zaznacz cały
NPPLF1700109# sh run http
http server enable 179
http 10.80.10.13 255.255.255.255 FEEDER
NPPLF1700109# sh run ssh
ssh 10.80.10.13 255.255.255.255 FEEDER
NPPLF1700109# sho asp table socket
Protocol Socket State Local Address Foreign Address
TCP 0002a4f8 LISTEN 10.80.11.20:22 0.0.0.0:*
TCP 00cbe628 ESTAB 10.80.11.20:22 10.xx.xx.xx:29893
SSL 00ce7398 LISTEN 10.80.11.20:179 0.0.0.0:*
Kod: Zaznacz cały
NPPLF1700109# sho cap cap
20 packets captured
1: 12:49:24.765051 10.80.10.13.34146 > 10.80.11.20.22: S 2876853627:2876853627(0) win 4128 <mss 536>
2: 12:49:24.765158 10.80.11.20.22 > 10.80.10.13.34146: S 2252837786:2252837786(0) ack 2876853628 win 8192 <mss 1380>
3: 12:49:24.765905 10.80.10.13.34146 > 10.80.11.20.22: . ack 2252837787 win 4128
4: 12:49:24.766333 10.80.10.13.34146 > 10.80.11.20.22: . ack 2252837787 win 4128
5: 12:49:24.767599 10.80.11.20.22 > 10.80.10.13.34146: P 2252837787:2252837806(19) ack 2876853628 win 32768
6: 12:49:24.968120 10.80.10.13.34146 > 10.80.11.20.22: . ack 2252837806 win 4109
7: 12:49:27.176733 10.80.10.13.34146 > 10.80.11.20.22: P 2876853628:2876853629(1) ack 2252837806 win 4109
8: 12:49:27.176809 10.80.11.20.22 > 10.80.10.13.34146: . ack 2876853629 win 32768
9: 12:49:27.176931 10.80.11.20.22 > 10.80.10.13.34146: FP 2252837806:2252837806(0) ack 2876853629 win 32768
10: 12:49:27.177297 10.80.10.13.34146 > 10.80.11.20.22: . ack 2252837807 win 4109
11: 12:49:27.177618 10.80.10.13.34146 > 10.80.11.20.22: FP 2876853629:2876853629(0) ack 2252837807 win 4109
12: 12:49:27.177664 10.80.11.20.22 > 10.80.10.13.34146: . ack 2876853630 win 32768
13: 12:49:35.786351 10.80.10.13.63842 > 10.80.11.20.179: S 2371287220:2371287220(0) win 4128 <mss 536>
14: 12:49:35.786595 10.80.11.20.179 > 10.80.10.13.63842: S 1627040581:1627040581(0) ack 2371287221 win 32768 <mss 536>
15: 12:49:37.787053 10.80.10.13.63842 > 10.80.11.20.179: S 2371287220:2371287220(0) win 4128 <mss 536>
16: 12:49:37.817981 10.80.11.20.179 > 10.80.10.13.63842: S 1627040581:1627040581(0) ack 2371287221 win 32768 <mss 536>
17: 12:49:41.786366 10.80.10.13.63842 > 10.80.11.20.179: S 2371287220:2371287220(0) win 4128 <mss 536>
18: 12:49:41.848237 10.80.11.20.179 > 10.80.10.13.63842: S 1627040581:1627040581(0) ack 2371287221 win 32768 <mss 536>
19: 12:49:49.786244 10.80.10.13.63842 > 10.80.11.20.179: S 2371287220:2371287220(0) win 4128 <mss 536>
20: 12:49:49.880203 10.80.11.20.179 > 10.80.10.13.63842: S 1627040581:1627040581(0) ack 2371287221 win 32768 <mss 536>
20 packets shown
Re: BGP ISR 4451x VRF Mgmt-intf
Nie masz problemów może z TTL? W eBGP masz TTL na 1 ustawiony. TTL Security masz poprawnie ustawione? Jeszcze MTU bym sprawdził na wszystkich urządzeniach.zet69 pisze: ↑18 gru 2017, 12:09 Czesc,
chce zestawic sesje bgp pomiedzy ASAv (asa991-smp-k8.bin) a ISR 4451x (isr4400-universalk9.03.16.06b.S.155-3.S6b-ext.SPA.bin). Po stronie rutera BGP ma dzialac na domyslnym vrf Mgmt-intf. Pomiedzy ASAv i ruterem jest switch L3 i firewall fortigate, czyli 2 hopki.
Teraz problem, sesja bgp nie zestawia sie bo nie nawiazauje sie polacznie TCP 3way handshake. Z tego co zdebugowalem problem jest z ruterem. Moge zrobic telnet z rutera na port ASA ssh - 22 lub 443 ale na 179 nie, ASA odsyla SYN ACK na probe polaczenia z rutera i nic sie nie dzieje, dostaje tylko ponowienia retransmisji z rutera. Dodatkowo na ASAv przekonfigurowalem http tak, aby serwis sluchal na porcie 179, z innych hostow moge sie polaczyc do takiej uslugi a rutera juz nie. Taka sama sytuacja jest gdy skonfiguruje BGP na ruterze i ASA prawidlowo, czyli address-family ipv4 + ebgp-multihop.
Czy to normalne zachowanie, ze moge polaczyc sie na 22 i 443 z rutera do ASA ale na 179 juz nie, gdy polaczenie wychodzi z vrf Mgmt-intf?
Pozdrawiam
Krzysiek Te.
Krzysiek Te.
Re: BGP ISR 4451x VRF Mgmt-intf
Czesc, wykonuje probe polaczenia na port 179 ktory wystawilem na http ASA, TTL nic nie ma tutaj do rzeczy bo nie lacze sie do samej uslugi BGP, ruch wraca na router cisco (widac to w logach) ale nie jest przez niego przetwarzany. Zrobilem to w ramach testu, inne hosty moga sie polaczyc do takiej uslugi.
Nie masz problemów może z TTL? W eBGP masz TTL na 1 ustawiony. TTL Security masz poprawnie ustawione? Jeszcze MTU bym sprawdził na wszystkich urządzeniach.
Napisalem wczesniej ze sesje chce zestawic z interfejsem management rutera, domyślnie jest to vrf Mgmt-intf ktory jest po wyjeciu rutera z pudelka. Moze to jest problem?
Re: BGP ISR 4451x VRF Mgmt-intf
O to pytałem na samym początku. Pokaż konfigurację tego BGP, jeśli robisz ją tak jak napisałeś powyżej, robisz to źle.
Jeśli sesja ma być z VRFu Mgmt-intf to tak powinna zostać skonfigurowana w procesie BGP.
Re: BGP ISR 4451x VRF Mgmt-intf
Czesc, skonfigurowalem BGP na globalnej tablicy routingu, z tego wzgledu że potrzebuje leakowac do tablicy globalnej wiecej niz 1000 prefixow a nie chce zmieniac domyslnych ustawien. Ponizej konfiguracja ktora testowałem, może jest coś źle:
Kod: Zaznacz cały
router bgp 65001
bgp log-neighbor-changes
network X.X.X.0
neighbor A.A.A.249 remote-as 65001
neighbor A.A.A.249 update-source Loopback0
neighbor A.A.A.249 next-hop-self
neighbor B.B.B.73 remote-as BBB
neighbor B.B.B.73 send-community both
neighbor B.B.B.73 route-map ROUTE_MAP_IN in
neighbor B.B.B.73 route-map ROUTE_MAP_OUT out
address-family ipv4 vrf Mgmt-intf
neighbor 10.80.11.20 remote-as 65000
neighbor 10.80.11.20 ebgp-multihop 4
neighbor 10.80.11.20 update-source GigabitEthernet0
neighbor 10.80.11.20 activate
neighbor 10.80.11.20 send-community both
neighbor 10.80.11.20 next-hop-self
neighbor 10.80.11.20 soft-reconfiguration inbound
neighbor 10.80.11.20 route-map ROUTE_FEEDER_IN in
Może jest jakieś zabezpieczenie na samym ruterze odnosnie portu 179? Przypominam że vrf Mgmt-intf to domyslny VRF ktory jest w konfigu po wyjeciu rutera z pudelka.