Траблшутинг BGP

37 0 0 0

Сбой пересылки пакетов BGP.

Ситуация при которой в среде передачи происходит задержка или дроп пакетов в результате чего теряются служебные пакеты, например KEEPALIVE что приводе к флапингу сессий.

 

ACL фильтрует TCP-порт 179.

Хорошая практика фильтровать все лишние порты, в том числе TCP 179, на внешний ихтерфейсах в результате чего соседство BGP не может установиться.

213824lqtokxe4o4h9tksd.png

 

На R1 настроен ACL для блокировки входящего и исходящего трафика по порту TCP 179

 

213825zz0un6d33b31vdve.png

 

213825jzs18qw7f38fw15n.jpg


Идентификаторы соседних устройств конфликтуют.

При установлении сессии, BGP использует параметры из сообщений OPEN, в данных сообщениях BGP router-id должны быть уникальны.

BGP router-id выбирается автоматически:

- По наибольшему IP адресу loopback интерфейса в состоянии UP

- По наибольшему IP адресу всех остальных интерфейсов в состоянии UP


213826qgewyeyszpwbehw4.png

В этом случае применяеться тип сообщений BGP NOTIFICATION в котором сообщается о конфликте ID

 

213827g4ervivl7ht5chc4.png

 

Номера AS не совпадают.

213827p55srde6ljqrh8pk.png

Ситуация когда номера AS не совпадают со сконфигурированными.

 

213827b5j5045anum457mn.png

 

213828wbyh3i3y9y7nlyyr.png

 

213828i9w7a83udwmdoaoz.png

 

Команда peer connect-interface не настроена, когда для связи с пиром используется интерфейс loopback.

Для установления соседства между пирами, с не директед подключенных интерфейсов (например loopback) используется команда peer connect-interface

Команда peer connect-interface задает source интерфейс с IP которого маршрутизатор будет пытаться установить TCP сессию с соседом.

 

R1

#

interface LoopBack0

 ip address 1.1.1.1 255.255.255.255

#

bgp 1

 peer 2.2.2.2 as-number 1

 peer 2.2.2.2 connect-interface LoopBack0

 #

R2

#

interface LoopBack0

 ip address 2.2.2.2 255.255.255.255

#

bgp 1

 peer 1.1.1.1 as-number 1

 #

 

Если source и destination адреса не будут совпадать или если у соседа в таблице маршрутизации не будет IP адреса источника, соседство не сможет установиться.

213828hf2zhfwg44f3f2iu.jpg

 

Так как обычно BGP строится поверх IGP, использование loopback адреса позволят избежать ситуации когда BGP сессия строится на IP адрес физического интерфейса, падение которого переведет состояние BGP в IDLE.

 

Команда peer ebgp-max-hop не настроена при использовании интерфейса loopback для установления соседства EBGP.

 

213829ouwmdd4p847c7uw1.png

По умолчанию BGP отсылает пиру eBGP пакеты с TTL равным 1.

TTL = 1 означает что пиры должны быть подключены напрямую.

В случае когда нужно установить eBGP соседство через несколько хопов, необходимо изменить значение TTL командой peer ebgp-max-hop <1-255>

 

213829y8r8k34ikkk7yay2.png

 

Конфигурация peer valid-ttl-hops неверна.

Команда peer valid-ttl-hops включает на маршрутизаторе механизм GTSM (The Generalized TTL Security Mechanism)

Основная задача GTSM обеспечить защиту маршрутизатора от атак на CPU и манипуляций с TTL в TCP сессиях.

Задав команду peer valid-ttl-hope мы говорим маршрутизатору с каким значеним TTL BGP сообщения мы можем принять от пира.

Например:

Если настроить значение peer 10.0.0.2 valid-ttl-hops 66, маршрутизатор вычитает 66 из 255, т.е. примутся только пакеты с TTL 255-66

 

213829qpof2x9zuut7yxb7.png

R1

#

bgp 1

 peer 10.0.0.2 as-number 2

 peer 10.0.0.2 valid-ttl-hops 66

 #

R2

#

bgp 2

 peer 10.0.0.1 as-number 1

 peer 10.0.0.1 ebgp-max-hop 190

 #

 

Проверьте, превышает ли количество маршрутов, отправленных пиром, значение, указанное командой peer route-limit.

Команда peer route-limit устанавливает максимальное количество маршрутов, которые могут быть получены от пира.

 

Команда peer ignore настроена со стороны пира.

Команда peer ignore  не позволяет установить соседство с указаным пиром.

 

BGP address-family с обоих концов не совпадают.

Проверьте правильность конфигурации пиров.

Например, для установления соседства чистого BGP оба пира должны быть сконфигрурированы в ipv4-family unicast.

 

 

 


  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх