Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Czy w quagga z debianowego repozytorium stable ma wsparcie do MD5? Z tego co widzę kernel z repo ma w konfiguracji
CONFIG_TCP_MD5SIG=y
czyli wsparcie od tej strony jest.
W samym configu bgp.conf dałem
neighbor x.x.x.x password tajnehaslo
Chyba ta linijka jest poprawna, żadnego błędu w logach nie mam. Jednak tcpdump wypluwa
md5shared secret not supplied with -M, can't check
Pomysły i uwagi mile widziane.
Offline
[quote=kayo]Pomysły i uwagi mile widziane.[/quote]
Fajnie by było jakby był schemat sieci.
Dobrze przedstawić pliki konfiguracyjne routerów.
Nie wiadomo o jakich logach piszesz, podejżewam, że o /var/log/quagga/bgpd.log i /var/log/quagga/zebra.log
Sprawdź po zalogowaniu się przez telnet do bgp ( 2605), w trybie uprzywilejowanym co tam "słychać" w bgp czyli :
sh ip bgp sh ip bgp neighbors sh ip bgp summary
Zapuśc debugowanie :
debug bgp events debug bgp zebra
będziesz miał mase informacji więc z tym debugowaniem to bardzo, bardzo ostroźnie. Wyłączenie debugowania :
undebug all
Podobnie możesz sprawdzić logując się do zebry ( 2601) :
debug zebra events
Oczywiście hasła są te same na routerach ?
Pod x.x.x.x kryje się adres ip sąsiada ? :)
Ostatnio edytowany przez ba10 (2011-09-01 14:11:25)
Offline
hostname mojrouter password haslo enable password bardziejtajnehaslo log file /var/log/quagga/quagga.log debugging log trap debugging log record-priority service password-encryption ! router bgp mojnras bgp router-id 94.xx.xx.xx network 94.xx.xx.0/21 neighbor 4.xx.xx.xx remote-as bbbbb neighbor 4.xx.xx.xx password tajnehaslo neighbor 4.xx.xx.xx prefix-list 10 in neighbor 4.xx.xx.xx route-map localonly out neighbor 77.xx.xx.xx remote-as aaaaa neighbor 77.xx.xx.xx prefix-list 10 in neighbor 77.xx.xx.xx route-map localonly out ! ip prefix-list 10 seq 10 deny 0.0.0.0/0 ! ip as-path access-list 50 permit ^$ ! route-map localonly permit 10 match as-path 50
Konfguracja banalna do multihomingu. Od drugiego peera dostaję wszystkie dane. Z pierwszym nie moge sie polączyc. Debugowanie bgp nie daje konkretnych informacji. Dodam że router peera akceptuje 16-bitowe numery AS. Oczywiście pod iksami są odpowiednie numery
Offline
Więc skonstruowałem laba : 2 routery cisco jako oddzielni isp podłaczeni do jednego routera-komputera ( tak wywnioskowałem z opisu, bo nie było schematu ) na debianie z kernelem 2.6.32-5-686, quagga wersji 0.99.17-2+squeeze2. Machnąłem najprostsze BGP jakie może być (bez żadnych list ACL by najpierw na czysto mieć działające BGP, a dopiero później dokładać kolejne rzeczy ) :
[img]http://ba10.dug.net.pl/bgp.png[/img]
ISP1
router bgp 6001 no synchronization bgp log-neighbor-changes neighbor 1.1.1.2 remote-as 6003 neighbor 1.1.1.2 password tajnehaslo1
ISP2
router bgp 6002 no synchronization bgp log-neighbor-changes neighbor 2.2.2.2 remote-as 6003 neighbor 2.2.2.2 password tajnehaslo2
ROUTER-LINUX
bgpd.conf
router bgp 6003 neighbor 1.1.1.1 remote-as 6001 neighbor 1.1.1.1 password tajnehaslo1 neighbor 2.2.2.1 remote-as 6002 neighbor 2.2.2.1 password tajnehaslo2
Na jednym sesja się ustanowiła, a na drugim miałem problem właśnie z md5 i otrzymywałem na konsoli różne komunikaty np.
%TCP-6-BADAUTH: Invalid MD5 digest from
bgpd# sh ip bgp summ BGP router identifier 192.168.33.1, local AS number 6003 RIB entries 0, using 0 bytes of memory Peers 2, using 5040 bytes of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 1.1.1.1 4 6001 5 6 0 0 0 00:03:37 0 2.2.2.1 4 6002 0 0 0 0 0 never Active Total number of neighbors 2
Zacząłem szukać i znalazłem by na interfejsie danym wydać polecenia :
ethtool -k eth0 Offload parameters for eth0: rx-checksumming: on tx-checksumming: on scatter-gather: on tcp-segmentation-offload: on udp-fragmentation-offload: off generic-segmentation-offload: on generic-receive-offload: off large-receive-offload: off ntuple-filters: off receive-hashing: off ethtool -K eth0 tso off ethtool -K eth0 sg off
Niestety u mnie one nic nie dały.
Dokopałem się poprzez google, że to jakiś bug w cisco tzn. wystepuje on gdy łaczone są routery cisco z nie-routerami cisco (bug CSCsb51019, nie sprawdzałem dokładnie o co chodzi ).
Po zmianie IOSa na routerze cisco wszystko było ok.
bgpd# sh ip bgp summ BGP router identifier 192.168.33.1, local AS number 6003 RIB entries 0, using 0 bytes of memory Peers 2, using 5040 bytes of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 1.1.1.1 4 6001 6 7 0 0 0 00:04:19 0 2.2.2.1 4 6002 2 3 0 0 0 00:00:15 0 Total number of neighbors 2
Zapewne nie masz możliwości zmiany iosa na przyłączonym routerze do Ciebie, więc więcej nie mam jak pomóc, ale może coś Ciebie nakieruje i rozwiążesz problem. Powodzenia :)
Ostatnio edytowany przez ba10 (2011-09-20 15:46:35)
Offline
Dzięki Ci serdeczne, raczej na routerze LEVEL3 nic nie zmienię;) Jak na razie to mogę powiedzieć że:
md5shared secret not supplied with -M, can't check
to błąd użytkownika tcpdump - czyli mój (RTFM!!!) - po przełączniku M w tcpdump powinienem podać hasło podane przez dostawcę łącza.
- LEVEL3 nie ma natywnej obsługi ASN 32 bit przez co jest AS_TRANS
- czekam na odpowiedź od LEVEL3 na to:
Notification Message (3), length: 23, OPEN Message Error (2), subcode Bad Peer AS (2)
EDYTA
If you look closely, the Cisco is actually keeping the packet in FIN_WAIT1 state. It *should* timeout the connection by itself, but it seems to be using the unsigned RST's as a keepalive. The bug in IOS is CSCsb51019 which refers to Junipers but is also true for Linux boxes with the RFC2385 patch.
Ostatnio edytowany przez kayo (2011-09-20 14:30:13)
Offline
This page is intentionally left blank ;-)
Ostatnio edytowany przez kayo (2011-09-20 14:29:59)
Offline
Ha, czyli osławiony bug CSCsb51019 o którym pisałem wcześniej :D
O i lekturka [url=http://www.ietf.org/rfc/rfc2385.txt]rfc 2385[/url], nie pomyslałem, żeby poczytać rfc :)
Ostatnio edytowany przez ba10 (2011-09-20 15:45:01)
Offline
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00197 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.148.145.41' WHERE u.id=1 |
0.00119 | UPDATE punbb_online SET logged=1733961002 WHERE ident='3.148.145.41' |
0.00073 | SELECT * FROM punbb_online WHERE logged<1733960702 |
0.00138 | DELETE FROM punbb_online WHERE ident='3.142.124.119' |
0.00098 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19611 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00240 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19611 ORDER BY p.id LIMIT 0,25 |
0.00155 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19611 |
Total query time: 0.01047 s |