CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 24 lut 2018, 08:58

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 
Autor Wiadomość
Post #1 : 13 gru 2017, 14:03 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 148
Witam,

Mam jedną pulę routerów w kilku lokalizacjach z routingiem EIGRP. W EIGRP jest redystrubuowany default routing poprzez statyczny wpis. W routingu EIGRP default routing działa prawidłowo.
Mam też drugą pulę routerów w których używam BGP. Routery te mają zestawione VPN S2S z IPSEC poprzez (internet) do brzegowego routera z EIGRP - 10.10.17.71. Na brzegowym routerze mam redystrybucję routingu BGP do EIGRP i odwrotnie. Wszystkie sieci z routingu BGP są widoczne w EIGRP i odwrotnie prócz default routingu. Na każdym z routerów gdzie mam BGP jest ustawiony default routing do providera internetu, ale statyczny routing nie jest dystrybuowany do BGP. Z poziomu BGP chcę uzyskiwać default routing, który jest w EIGRP i tu mam problem z RIB-failure.

(10.10.17.71 - router na który łączy się EIGRP i BGP)
Kod:
#sh ip bgp neighbors 10.10.17.71 routes
BGP table version is 129, local router ID is 60.60.60.61
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 r>i 0.0.0.0          10.10.17.71              0    100      0 i
 *>i 10.10.2.0/24     10.10.3.1         28160256    100      0 ?
 *>i 10.10.3.0/29     10.10.17.71              0    100      0 ?
 *>i 10.10.4.0/24     10.10.3.1          1405440    100      0 ?
 
 
 sh ip bgp rib-failure
  Network            Next Hop                      RIB-failure   RIB-NH Matches
0.0.0.0            10.10.17.71         Higher admin distance              n/a
Na routerze gdzie mam dystrybucje BGP do EIGRP mam takie ustawienia (10.10.17.71):
Kod:
router bgp 65510
 bgp log-neighbor-changes
 bgp router-id 10.10.10.10
 address-family ipv4 unicast
  neighbor 10.10.17.6 remote-as 65510
  neighbor 10.10.17.6 timers 5 20 20
  neighbor 10.10.17.6 activate
  neighbor 10.10.17.70 remote-as 65510
  neighbor 10.10.17.70 timers 5 20 20
  neighbor 10.10.17.70 activate
  neighbor 10.10.17.70 default-originate
  network 10.10.3.0 mask 255.255.255.0
  network 10.10.17.0 mask 255.255.255.192
  network 10.10.17.64 mask 255.255.255.192
  bgp redistribute-internal
  redistribute eigrp 20
  no auto-summary
  no synchronization
 exit-address-family
!
router eigrp 20
 no default-information out
 eigrp router-id 17.17.17.17
 network 10.10.3.0 255.255.255.248
 passive-interface default
 no passive-interface MENet
 redistribute bgp 65510 metric 1000 10 255 1 1500
!
Proszę o pomoc. Chciałbym aby default routing był dystrybuowany z EIGRP do BGP.


Na górę
Post #2 : 13 gru 2017, 14:38 
Offline
member
member

Rejestracja: 26 mar 2015, 14:12
Posty: 48
RIB-failure oznacza, że trasa jest w lokalnej tablicy BGP ale nie jest zainstalowana w globalnej tablicy rutingu.

Wydaje mi się że w Twojej sytuacji: trasa domyślna jest wstrzyknięta przez BGP i dociera do "spoke'a" ale nie jest zainstalowana w tablicy rutingu bo byłaby zainstalowana z AD 200 (iBGP) a masz trasę statyczną do ISP z AD 1.

Po za tym przemyśl sytuację w której zainstalowała by się trasa domyślna do centralnego peer'a BGP - stracił byś trasę do niego po adresacji publicznej, chyba że masz bardziej szczegółowe trasy do niego przez ISP.


Na górę
Post #3 : 14 gru 2017, 09:20 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 148
Witam,

Dziękuję. Na routerze w jednej z lokalizacji ustawiłem statyczny routing tylko do głównego Peer`a i nie mam już RIB-failure. Default routing wskazuje na główny peer, gdzie łącze eigrp i bgp. Tam gdzie łączy się bgp i eigrp to jest ASA 5508X (10.10.17.71). Tam muszę mieć statyczny default routing do ISP ponieważ wykorzystuje go do innych vlanów itd.

(router w jednej z kokalizacji)
Kod:
RE07#sh ip bgp
BGP table version is 130, local router ID is 60.60.60.61
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>i 0.0.0.0          10.10.17.71              0    100      0 i
 *>i 10.10.2.0/24     10.10.3.1         28160256    100      0 ?

ASA routing
Kod:
BGP table version is 553, local router ID is 10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
   0.0.0.0          0.0.0.0                            0  i
*> 10.10.2.0/24     10.10.3.1       28160256         32768  ?
*> 10.10.3.0/29     0.0.0.0              0         32768  ?
*> 10.10.4.0/24     10.10.3.1       1405440         32768  ?
Static routing na ASA:
Kod:
route outside 0.0.0.0 0.0.0.0 213.216.110.XXX 1
W jaki sposób mogę wykluczyć ten statyczny routing z BGP? Czy mogę to zrobić z route map? Chciałbym aby dla tego BGP default routing był pobierany z EIGRP.


Na górę
Post #4 : 14 gru 2017, 14:28 
Offline
member
member

Rejestracja: 26 mar 2015, 14:12
Posty: 48
Nie do końca rozumiem co próbujesz osiągnąć.

Jeśli jakiś prefix chcesz odfiltrować to w BGP możesz to zrobić na przykład za pomocą "distribute-list + ACL". W ACL wskazujesz co ma przejść. Takie filtrowanie jest wtedy per neighbor.

Jeśli w BGP w ogóle nie chcesz tej trasy domyślnej to możesz zrobić redystrybucję z filtrowaniem (za pomocą route-map'y) - wtedy trasa domyślna w ogóle nie będzie przekazywana z EIGRP do BGP.


Na górę
Post #5 : 14 gru 2017, 14:49 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 148
Witam,
Na ASA gdzie przekazuje routing pomiędzy EIGRP a BGP jest ustawiony statyczny default routing dla innych VLANów, które przepuszczane są przez ASA na zew. Ten default routing jest mi potrzebny chociażby po to by zestawiać VPN S2S pomiędzy lokalizacjami. W EIGRP mam default routing który chce przekazać BGP. BGP jest uruchomiony tylko dla tunelu VPN pomiędzy lokalizacjami. Kiedy ruch przechodzi przez ASA dopisuje się do tablicy default routing do providera internetu, a tego nie chcę, ponieważ wtedy tracę default routing z EIGRP. Chciałbym zrobić tak aby BGP i EIGRP nie uwzględniało tego domyślnego routingu do ISP. Czy mogę zrobić tak przez route mapy? Czy w inny sposób?
W tym momencie mój default routing z EIGRP nie jest gubiony na ASA i dlatego dalej nie przekazuje go do BGP. Wydaje mi się, że jest on zastępowany przez ten do ISP.

Na ASA mam tak:
Kod:
route outside 0.0.0.0 0.0.0.0 213.216.110.XXX 1

sh route bgp 

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
[b]Gateway of last resort is 213.216.110.XXX to network 0.0.0.0[/b]

B        10.10.21.0 255.255.255.192 [200/0] via 10.10.17.70, 00:30:20
B        10.10.21.64 255.255.255.192 [200/0] via 10.10.17.6, 17:19:48

sh route eigrp 

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
[b]Gateway of last resort is 213.216.110.XXX to network 0.0.0.0[/b]

D        10.10.2.0 255.255.255.0 [90/28160256] via 10.10.3.1, 1d01h, MENet
D        10.10.4.0 255.255.255.0 [90/1405440] via 10.10.3.1, 1w1d, MENet


Na górę
Post #6 : 14 gru 2017, 16:09 
Offline
member
member

Rejestracja: 26 mar 2015, 14:12
Posty: 48
Czyli dobrze rozumiem, że potrzebujesz ruch z tuneli S2S kierować w domenę EIGRP, a obecnie ASA wypycha ją swoją statyczną trasą domyślną? Generalnie jak nie podałbyś trasy do lokalizacji za S2S VPN (BGP, static, etc..) i tak ruch wpadnie do ASA która go pokieruje według swojej lokalnej tablicy rutingu. Może jakaś route-map'a i source routing? Ktoś?Coś?


Na górę
Post #7 : 14 gru 2017, 16:42 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 148
Witam,

Tak dobrze rozumiesz. ASA wpycha swoją lokalną trasę domyślną, a pomiędzy EIGRP a BGP nie powinno być tej lokalnej domyślnej trasy z ASA. W tym momencie się tak dzieje i ta trasa do domyślnego routingu z EIGRP jest zastępowana przez ASA.


Na górę
Post #8 : 16 gru 2017, 22:23 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 148
Witam,

Walczę z tym problemem. I proszę o pomoc :)
To co udało mi się rozpracować, to że kiedy usunę domyślny statyczny routing z ASA, to default routing z EIGRP prawidłowo jest przekazywany do tunelu VPN s2s przez BGP. Wnioskuje, że problemem jest tutaj metryka. Statyczny routing na ASA do ISP ma 1, natomiast EIGRP przekazuje default routing z metryką 70 (D*EX) i usuwa z tablicy ten routing z metryką 70.

Jak mogę tego uniknąć?
Czy jest możliwe przeniesienie statycznego domyślnego routingu z ASA do route-mapy i przypisanie tej mapy do interface outside? Ten domyślny routing do ISP jest tylko wykorzystywany przez interfejs outside.


Na górę
Post #9 : 17 gru 2017, 20:03 
Offline
wannabe
wannabe

Rejestracja: 13 lis 2014, 21:46
Posty: 82
Cytuj:
Witam,

Walczę z tym problemem. I proszę o pomoc :)
To co udało mi się rozpracować, to że kiedy usunę domyślny statyczny routing z ASA, to default routing z EIGRP prawidłowo jest przekazywany do tunelu VPN s2s przez BGP. Wnioskuje, że problemem jest tutaj metryka. Statyczny routing na ASA do ISP ma 1, natomiast EIGRP przekazuje default routing z metryką 70 (D*EX) i usuwa z tablicy ten routing z metryką 70.

Jak mogę tego uniknąć?
Czy jest możliwe przeniesienie statycznego domyślnego routingu z ASA do route-mapy i przypisanie tej mapy do interface outside? Ten domyślny routing do ISP jest tylko wykorzystywany przez interfejs outside.
Nie wiem, czy o to chodzi, bo trochę ciężko to zrozumieć wszystko :) ale jeżeli "nieprawidłowa" brama obsługuje inne niezależne vlany, to dodaj oddzielny vrf i przypnij do niego interfejsy vlan, w tym vrf podaj bramę. Reszta niech będzie w tablicy default z inną bramą.

Druga opcja to jeżeli znasz adresy src, to możesz użyć PBR i kierować ruch na podstawie adresu źródłowego, a nie docelowego.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl