deadlove 0 Опубликовано: 2016-02-11 16:12:14 Share Опубликовано: 2016-02-11 16:12:14 (відредаговано) Добрый день столкнулся с проблемой при настройке BGP на ASA 5525-x, суть проблемы в том что спустя некоторые время она начинает дропать некоторые сайты к примеру fs.to, gismeteo.ua и перестает грузиться видео на youtube, кто сталкивался с такой проблемой? пример конфига вот: ASA Version 9.5(1)!hostname RouterBGPdomain-name domain.netnames!interface GigabitEthernet0/0flowcontrol send onnameif prov1security-level 0ip address 10.1.10.3 255.255.255.248!interface GigabitEthernet0/1flowcontrol send onnameif prov2security-level 0ip address 198.168.20.5 255.255.255.248!interface GigabitEthernet0/2flowcontrol send onnameif dmzsecurity-level 0ip address 10.11.29.1 255.255.255.0!interface GigabitEthernet0/3flowcontrol send onshutdownno nameifno security-levelno ip address!interface GigabitEthernet0/4shutdownno nameifno security-levelno ip address!interface GigabitEthernet0/5shutdownno nameifno security-levelno ip address!interface GigabitEthernet0/6shutdownno nameifno security-levelno ip address!interface GigabitEthernet0/7shutdownno nameifno security-levelno ip address!interface Management0/0management-onlynameif managementsecurity-level 100ip address a.b.c.d a.b.c.d!boot config disk0:/admin.cfgftp mode passivedns server-group DefaultDNSdomain-name domain.netsame-security-traffic permit inter-interfacepager lines 24logging enablelogging timestamplogging trap warningslogging host management a.b.c.dmtu prov1 1500mtu prov2 1500mtu dmz 1500mtu management 1500no failoverno monitor-interface service-moduleicmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400no arp permit-nonconnected!prefix-list Anons seq 5 permit 10.11.29.0/24!prefix-list default seq 5 permit 0.0.0.0/0!bgp-community new-format!route-map Uran-output permit 100match ip address prefix-list Anons !route-map Ukrcom-output permit 100match ip address prefix-list Anons set as-path prepend 197000 197000 197000 197000 197000set community 21000:20005 21000:30005 21000:40005 !route-map Default permit 100match ip address prefix-list default !router bgp 197000bgp log-neighbor-changesbgp bestpath compare-routeridno bgp enforce-first-asbgp router-id 10.11.29.1address-family ipv4 unicastneighbor 198.168.20.6 remote-as 21000neighbor 198.168.20.6 description Ukrcomneighbor 198.168.20.6 activateneighbor 198.168.20.6 send-communityneighbor 198.168.20.6 next-hop-selfneighbor 198.168.20.6 weight 200neighbor 198.168.20.6 route-map Default inneighbor 198.168.20.6 route-map Ukrcom-output outneighbor 10.1.10.2 remote-as 12000neighbor 10.1.10.2 description Uranneighbor 10.1.10.2 activateneighbor 10.1.10.2 next-hop-selfneighbor 10.1.10.2 weight 500neighbor 10.1.10.2 route-map Default inneighbor 10.1.10.2 route-map Uran-output outnetwork 10.11.29.0no auto-summaryno synchronizationexit-address-family!route prov1 0.0.0.0 0.0.0.0 10.1.10.2 1route prov2 0.0.0.0 0.0.0.0 198.168.20.6 2timeout xlate 3:00:00timeout pat-xlate 0:00:30timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00timeout floating-conn 0:00:00user-identity default-domain LOCALaaa authentication ssh console LOCALsnmp-server group cactus v3 authsnmp-server host management a.b.c.d community ***** udp-port 161no snmp-server locationno snmp-server contactcrypto ipsec security-association pmtu-aging infinitecrypto ca trustpool policytelnet timeout 5ssh stricthostkeycheckssh a.b.c.d a.b.c.d management ssh timeout 5ssh key-exchange group dh-group1-sha1console timeout 0threat-detection basic-threatthreat-detection statistics access-listno threat-detection statistics tcp-interceptntp server a.b.c.d source managementdynamic-access-policy-record DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_1parametersmessage-length maximum client automessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_1inspect ftpinspect h323 h225inspect h323 rasinspect ip-optionsinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect icmpinspect icmp errorinspect http!prompt hostname contextno call-home reporting anonymou Відредаговано 2016-02-12 09:09:56 deadlove Ссылка на сообщение Поделиться на других сайтах
BUM 241 Опубліковано: 2016-02-12 07:23:59 Share Опубліковано: 2016-02-12 07:23:59 (відредаговано) Ёшкинкот)) в ХНТУ не могут настроить роутер))) 1. смысл с этой наркомании? со своей стороны препендов абсолютно смысла нету ставить, а потом еще 5 препендов со стороны прова навешивать))) set as-path prepend 197361 197361 197361 197361 197361set community 21151:20005 21151:30005 21151:40005 2. я бы для начала с одинаковыми весами/локалпрефами и без препендов попробовал бы посмотреть на картину. 3. по бгп дефалт приежает? я уверен более чем 100% что да, зачем Вам статика в конфиге? route prov1 0.0.0.0 0.0.0.0 212.111.208.5 1route prov2 0.0.0.0 0.0.0.0 194.79.20.1 2 может просто у вас через одного прова падает какая-то связанность а Вы об этом просто не знаете? Відредаговано 2016-02-12 07:24:16 BUM Ссылка на сообщение Поделиться на других сайтах
deadlove 0 Опубліковано: 2016-02-12 08:56:22 Автор Share Опубліковано: 2016-02-12 08:56:22 ну начнем с того что ASA и Router чуток разные устройства))) as-path prepend стоит на резервном линке Ukrcom, а весь трафик идет через Uran, основные настройки bgp брал c программного настроенного bgp-routera на Bird который до меня еще сам Uran настраивал и там это все отлично работает, там проблема мне кажется в особенностях самой ASA) Ссылка на сообщение Поделиться на других сайтах
BUM 241 Опубліковано: 2016-02-12 10:18:18 Share Опубліковано: 2016-02-12 10:18:18 ну начнем с того что ASA и Router чуток разные устройства))) as-path prepend стоит на резервном линке Ukrcom, а весь трафик идет через Uran, основные настройки bgp брал c программного настроенного bgp-routera на Bird который до меня еще сам Uran настраивал и там это все отлично работает, там проблема мне кажется в особенностях самой ASA) а зачем на фаерволе строить бгпу, если есть другой роутер на котором работает? смысл платить 2 аплинкам, а использовать только один?) пробовали сделать то что выше писал? Ссылка на сообщение Поделиться на других сайтах
deadlove 0 Опубліковано: 2016-02-14 11:54:04 Автор Share Опубліковано: 2016-02-14 11:54:04 Да побывал все та же проблема, кстати от Urana дефолт не приходит, но эту проблему реши, ситуация такая что меняю размер MTU на меньший(если поставить больше та же беда) 1460 к примеру fs.ua и gismeteo.ua работают спустя время потом обратно дроп, тестировал отправку пакета через ASA PT, пакет по http отправляется на fs или gismeteo packet-tracer input dmz tcp 10.11.29.185 http 91.226.97.14 http Phase: 1 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 10.1.10.2 using egress ifc prov1 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group Traffic global access-list Traffic extended permit ip any4 any4 Additional Information: Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 6 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 7 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 5433727, packet dispatched to next module Result: output-interface: prov1 output-status: up output-line-status: up Action: allow но запись в таблице asp выглядит так TCP dmz: 10.11.29.19/63531 prov1: 91.226.97.14/80, flags SaAB , idle 0s, uptime 0s, timeout 30s, bytes 0 а вот ее дропы Frame drop: Invalid TCP Length (invalid-tcp-hdr-length) 7 Invalid UDP Length (invalid-udp-length) 98 No valid adjacency (no-adjacency) 6919 No route to host (no-route) 1102 Flow is denied by configured rule (acl-drop) 1133629 First TCP packet not SYN (tcp-not-syn) 65151 Bad TCP flags (bad-tcp-flags) 89 TCP Dual open denied (tcp-dual-open) 172 TCP data send after FIN (tcp-data-past-fin) 1 TCP failed 3 way handshake (tcp-3whs-failed) 236 TCP RST/FIN out of order (tcp-rstfin-ooo) 6706 TCP SEQ in SYN/SYNACK invalid (tcp-seq-syn-diff) 50 TCP SYNACK on established conn (tcp-synack-ooo) 2 TCP packet SEQ past window (tcp-seq-past-win) 492 TCP RST/SYN in window (tcp-rst-syn-in-win) 149 Slowpath security checks failed (sp-security-failed) 754 DNS Inspect invalid packet (inspect-dns-invalid-pak) 4 DNS Inspect invalid domain label (inspect-dns-invalid-domain-label) 2107 DNS Inspect packet too long (inspect-dns-pak-too-long) 3395 DNS Inspect id not matched (inspect-dns-id-not-matched) 2026 FP L2 rule drop (l2_acl) 284 Interface is down (interface-down) 4 ну так сложилось что нужно поднять аппаратный роутер а не программный))) Ссылка на сообщение Поделиться на других сайтах
NET-CREATOR 21 Опубліковано: 2016-02-15 06:37:03 Share Опубліковано: 2016-02-15 06:37:03 на заметку https://habrahabr.ru/post/277173/ Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас