RE: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
> Julien CANAT a écrit : > Bonjour, Voici les extraits de conf : Quand j'aurai le temps (!) je mettrai ça dans GNS3 pour voir ce que ça donne. Commence à écrire ta lettre au Père Noel, pour l'année 2022 peut-être :P Bon un peu de sérieux, j'ai survolé tes config, rien de choquant _mais_ ça à l'air d'être trop simple pour pouvoir marcher. La redistribution mutuelle OSPF <-> BGP, je n'ai fait ça une fois en prod et depuis je me suis juré que je ne le referais plus jamais. Bon c'était il y a longtemps, et peut-être que si je devais faire ça aujourd'hui ça serait différent; on vit tous avec l'expérience. Dans mes souvenirs embrumés, le machin qui avait fini par tomber en marche c'était une usine à gaz sympa avec des tag partout; aujourd'hui je pense que j'essaierais d'utiliser les communautés pour que ça soit plus clair à lire, mais reste à voir. Peut-être que je suis vieux et con, mais à première lecture, ta config n'a pas l'arrière-gout d'usine à gaz dont je me rappelle. Ca avait l'air simple : à "yàkà" faire une route-map; en effet, avec des prefix-list et des match tag à tire-larigot. Je te souhaite bon courage; après en avoir chié pendant des semaines j'ai fini par débugger le machin; c'est un processus itératif : il y a un préfixe qui ne marche pas comme 'ça' devrait marcher, donc tu bidouilles la route-map pour le faire marcher comme tu veux, et en résolvant une bogue tu en crées deux nouvelles. J'ai abandonné le machin parce qu'il n'y avait personne qui était foutu de comprendre comment ça marchait. Et c'est quand j'étais jeune et que ma bi^H^Hcervelle était moins ramollie que maintenant. Je te conseille RFC3514 : https://datatracker.ietf.org/doc/html/rfc3514 Dans le doute, faire un match dans tes route-map du bit "E". Oh, et puis dans Cisco IOS, il n'y a pas de bugs, tout le monde le sait. On appelle ça "feature", "fonctionnalité" en Français si je ne m'abuse. Michel. PE Site 1 router bgp 50903 address-family ipv4 vrf L3VPN-client redistribute connected redistribute static neighbor 100.65.109.2 remote-as 65002 neighbor 100.65.109.2 update-source BDI900 neighbor 100.65.109.2 fall-over bfd neighbor 100.65.109.2 activate neighbor 100.65.109.2 soft-reconfiguration inbound default-information originate exit-address-family == CPE Site 1 interface GigabitEthernet0/0/0 description WAN-TO-PE ip address 100.65.109.2 255.255.255.254 ip nat outside media-type rj45 negotiation auto bfd interval 120 min_rx 120 multiplier 3 interface Vlan10 description Link1 ip address 192.168.1.250 255.255.252.0 ! interface Vlan50 description Link2 ip address 10.125.0.254 255.255.254.0 ip ospf cost 1 ! interface Vlan103 description Link3 ip address 10.11.0.250 255.255.255.0 ip nat inside ! interface Vlan104 description link4 ip address 10.13.0.254 255.255.255.0 ip nat inside router ospf 1 redistribute bgp 65002 metric-type 1 subnets route-map RM-BGP-to-OSPF network 10.100.100.0 0.0.0.255 area 2 network 10.125.0.0 0.0.1.255 area 2 network 192.168.0.0 0.0.3.255 area 2 distribute-list 10 out distance 250 ! router bgp 65002 bgp router-id 100.65.109.2 bgp log-neighbor-changes bgp deterministic-med no bgp default ipv4-unicast neighbor 100.65.109.3 remote-as 50903 neighbor 100.65.109.3 update-source GigabitEthernet0/0/0 neighbor 100.65.109.3 fall-over bfd ! ! address-family ipv4 bgp suppress-inactive redistribute connected redistribute ospf 1 route-map RM-OSPF-TO-BGP neighbor 100.65.109.3 activate neighbor 100.65.109.3 soft-reconfiguration inbound neighbor 100.65.109.3 route-map RM-IP4-ALL in exit-address-family route-map RM-BGP-to-OSPF permit 10 match ip address prefix-list IP4-PL-BGP-to-OSPF ! route-map RM-IP4-ALL permit 10 match ip address prefix-list IP4-PL-ALL set local-preference 200 ! route-map RM-OSPF-TO-BGP permit 10 match ip address prefix-list IP4-OSPF-TO-BGP ! ip prefix-list IP4-OSPF-TO-BGP deny 172.16.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.0.16.0/24 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.11.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.13.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.125.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 100.65.109.2/31 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 172.20.90.192/26 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 192.168.0.0/16 le 32 ! ip prefix-list IP4-PL-ALL permit 0.0.0.0/0 le 32 ! ip prefix-list IP4-PL-BGP-to-OSPF permit 10.125.0.0/16 le 32 ip prefix-list IP4-PL-BGP-to-OSPF permit 178.23.35.176/28 le 32 ip prefix-list IP4-PL-BGP-to-OSPF permit 192.168.0.0/16 le 32 === PE site 2 router bgp 50903 address-family ipv4 vrf L3VPN-25SDIS redistribute connected redistribute static redistribute ospf 1 match internal external 1 external 2 neighbor 100.65.109.4 remote-as 65002 neighbor 100.65.109.4 update-source BDI1012 neighbor 100.65.109.4 fall-over bfd neighbor 100.65.109.4 activate
Re: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
Bonjour, Voici les extraits de conf : PE Site 1 router bgp 50903 address-family ipv4 vrf L3VPN-client redistribute connected redistribute static neighbor 100.65.109.2 remote-as 65002 neighbor 100.65.109.2 update-source BDI900 neighbor 100.65.109.2 fall-over bfd neighbor 100.65.109.2 activate neighbor 100.65.109.2 soft-reconfiguration inbound default-information originate exit-address-family == CPE Site 1 interface GigabitEthernet0/0/0 description WAN-TO-PE ip address 100.65.109.2 255.255.255.254 ip nat outside media-type rj45 negotiation auto bfd interval 120 min_rx 120 multiplier 3 interface Vlan10 description Link1 ip address 192.168.1.250 255.255.252.0 ! interface Vlan50 description Link2 ip address 10.125.0.254 255.255.254.0 ip ospf cost 1 ! interface Vlan103 description Link3 ip address 10.11.0.250 255.255.255.0 ip nat inside ! interface Vlan104 description link4 ip address 10.13.0.254 255.255.255.0 ip nat inside router ospf 1 redistribute bgp 65002 metric-type 1 subnets route-map RM-BGP-to-OSPF network 10.100.100.0 0.0.0.255 area 2 network 10.125.0.0 0.0.1.255 area 2 network 192.168.0.0 0.0.3.255 area 2 distribute-list 10 out distance 250 ! router bgp 65002 bgp router-id 100.65.109.2 bgp log-neighbor-changes bgp deterministic-med no bgp default ipv4-unicast neighbor 100.65.109.3 remote-as 50903 neighbor 100.65.109.3 update-source GigabitEthernet0/0/0 neighbor 100.65.109.3 fall-over bfd ! ! address-family ipv4 bgp suppress-inactive redistribute connected redistribute ospf 1 route-map RM-OSPF-TO-BGP neighbor 100.65.109.3 activate neighbor 100.65.109.3 soft-reconfiguration inbound neighbor 100.65.109.3 route-map RM-IP4-ALL in exit-address-family route-map RM-BGP-to-OSPF permit 10 match ip address prefix-list IP4-PL-BGP-to-OSPF ! route-map RM-IP4-ALL permit 10 match ip address prefix-list IP4-PL-ALL set local-preference 200 ! route-map RM-OSPF-TO-BGP permit 10 match ip address prefix-list IP4-OSPF-TO-BGP ! ip prefix-list IP4-OSPF-TO-BGP deny 172.16.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.0.16.0/24 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.11.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.13.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 10.125.0.0/16 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 100.65.109.2/31 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 172.20.90.192/26 le 32 ip prefix-list IP4-OSPF-TO-BGP permit 192.168.0.0/16 le 32 ! ip prefix-list IP4-PL-ALL permit 0.0.0.0/0 le 32 ! ip prefix-list IP4-PL-BGP-to-OSPF permit 10.125.0.0/16 le 32 ip prefix-list IP4-PL-BGP-to-OSPF permit 178.23.35.176/28 le 32 ip prefix-list IP4-PL-BGP-to-OSPF permit 192.168.0.0/16 le 32 === PE site 2 router bgp 50903 address-family ipv4 vrf L3VPN-25SDIS redistribute connected redistribute static redistribute ospf 1 match internal external 1 external 2 neighbor 100.65.109.4 remote-as 65002 neighbor 100.65.109.4 update-source BDI1012 neighbor 100.65.109.4 fall-over bfd neighbor 100.65.109.4 activate neighbor 100.65.109.4 soft-reconfiguration inbound default-information originate exit-address-family = CPE Site 2 interface GigabitEthernet0/1.101 description Admin encapsulation dot1Q 101 ip address 192.168.35.254 255.255.255.0 ip ospf shutdown ! ! interface GigabitEthernet0/1.102 description Operationnel encapsulation dot1Q 102 ip address 10.125.100.254 255.255.255.0 ip nat inside ! interface GigabitEthernet0/1.103 encapsulation dot1Q 103 ip address 10.11.100.254 255.255.255.0 ip nat inside ! interface GigabitEthernet0/1.104 description Vlan104 encapsulation dot1Q 104 ip address 10.13.100.254 255.255.255.0 ip nat inside router ospf 1 router-id 100.65.109.4 redistribute connected subnets redistribute bgp 65002 metric 1000 metric-type 1 subnets route-map RM-BGP-to-OSPF network 10.125.100.0 0.0.0.255 area 2 network 192.168.35.0 0.0.0.255 area 2 distribute-list 10 out distance 250 router bgp 65002 bgp router-id 100.65.109.4 bgp log-neighbor-changes bgp deterministic-med no bgp default ipv4-unicast neighbor 100.65.109.5 remote-as 50903 neighbor 100.65.109.5 update-source GigabitEthernet0/0 neighbor 100.65.109.5 fall-over bfd ! address-family ipv4 redistribute connected route-map RM-OSPF-to-BGP redistribute static route-map RM-OSPF-to-BGP redistribute ospf 1 route-map RM-OSPF-to-BGP neighbor 100.65.109.5 activate neighbor 100.65.109.5 soft-reconfiguration inbound exit-address-family ! ip prefix-list IP4-PL-BGP-to-OSPF permit 10.125.0.0/16 le 32 ip prefix-list IP4-PL-BGP-to-OSPF permit 178.23.35.176/28 le 32 ip prefix-list IP4-PL-BGP-to-OSPF permit 192.168.0.0/16 le 32 ! ip prefix-list IP4-PL-OSPF-to-BGP-Backup permit 10.125.0.0/16 le 32 ip prefix-list IP4-PL-OSPF-to-BGP-Backup permit 172.20.90.192/26 le 32 ip prefix-list IP4-PL-OSPF-to-BGP-Backup permit 192.168.0.0/16 le 32 ! ! ip prefix-list
RE: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
> Julien CANAT a écrit :
> Je suppose que vous connaissez la loi de Murphy, on a subi un bug sur notre
> infra
> qui a rendu le nextcloud indisponible quelques temps, depuis il est réparé.
> Comme les pièces jointes sont interdites sur la liste : vous trouverez un
> schéma ici :
> https://claude.trinaps.com/s/qx3gY6R5ecPTWAT (mdp: FRnOG)
Ca marche maintenant, mais trop vague pour analyser. La config (éditée) de tous
les routeurs, c'est le minimum pour qu'on se casse la tête sur ton problème.
Et show ip route {BGP | OSPF} ça aiderait aussi.
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
Hello, Je suppose que vous connaissez la loi de Murphy, on a subi un bug sur notre infra qui a rendu le nextcloud indisponible quelques temps, depuis il est réparé. Pour répondre aux questions : Pour la redistribution OSPF => iBGP, la local pref est celle par défaut (100). La boucle de routage vient du fait que le client veut contrôler son backup donc il doit intervenir pour changer une route s'il veut sortir par le deuxième site, même sans cela ça veut dire que le trafic passe par le deuxième lien et pas le lien principal. Pour la dépriorisation sur le deuxième site je redistribue dans OSPF les routes concernées avec une métrique de 1000, et ça fonctionne. Le problème est que parfois, de manière qui semble aléatoire (ie je n'ai pas réussi à identifier de pattern), le CPE du site 1 apprend un des sites distants en OSPF via le client plûtot que par son iBGP. Ça ne concerne qu'un ou deux subnets d'un site à la fois et se résout en faisant un reset de l'OSPF sur le routeur. Merci pour votre aide Le 15/11/2021 à 20:26, Michel Py a écrit : >> JCLB a écrit : >> PS: j'ai un bad gateway sur ton URL > Pareil. > > Michel. > -- Julien CANAT TRINAPS - Ingénierie Réseau --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
> JCLB a écrit : > PS: j'ai un bad gateway sur ton URL Pareil. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] RE: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
Bonjour, L'usage du bit DN sur les OSPF de ces 2 sites résoudrait le problème si OSPF était également le protocole CE-PE. Si le client veut profiter de sa FON comme un backup ultime de son accès à ses 2 sites, il faut déprioriser. Sinon, filtrer. Un tag OSPF lors de la redistribution dans iBGP, une route map pour faire coller ça avec un moyen de déprioriser (au choix) Ne pas oublier de valider le sens opposé également. (que ton site ne sorte pas via l'autre site plutôt qu'en direct) Si le client ne cherche pas à multiplier la redondance, le filtrage est plus simple. PS: j'ai un bad gateway sur ton URL -Message d'origine- De : frnog-requ...@frnog.org De la part de Gregory CAUCHIE Envoyé : lundi 15 novembre 2021 17:28 À : Julien CANAT Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] [Help]Problème d'OSPF cisco Bonjour Julien, Quelle politique de Local-bref as-tu appliqué sur la redistribution OSPF > iBGP ? Peux-tu nous décrire un peu plus la boucle de routage en question ? -- Greg > On 15 Nov 2021, at 17:05, Julien CANAT via frnog wrote: > > Bonjour à tous, > > > Nous rencontrons un problème avec l'un de nos clients multi-sites. > > Ce client dispose d'une VRF dans notre MPLS. Les CPE des sites > distants > (~80) annoncent leurs routes au routeur d'infra auquel ils sont > connectés en OSPF. Ces routes sont redistribuées en iBGP entre les > routeurs d'infra. > > Entre les deux sites primaires du client, le client dispose d'une FON > et fait de l'OSPF pour assurer la redondance entre les sites > primaires. Sur les sites primaires l'annonce de routes entre CPE et > routeur d'infra est en iBGP. Entre le CPE et les routeurs du client il > y a de la redistribution en OSPF, la métrique est plus élevée sur le > site 2 (1000) au lieu du default (1). > > Le problème que l'on rencontre est que parfois les routes au lieu > d'arriver sur le CPE-site1 sont apprises via l'OSPF du client et le > CPE-site2 ce qui a une tendance a créer une légère boucle de routage. > Ce problème se résout par un reset de l'OSPF sur le CPE-site1. > > Les routeurs d'infra sont des ASR920, sur les sites primaires il y a > des > C et l'un d'eux a été remplacé par un 1921 pour écarter le bug > matériel. > > Quelqu'un aurait une idée d'où ce problème peut venir ? Serait-ce un > bug connu chez Cisco ? > > Comme les pièces jointes sont interdites sur la liste : vous trouverez > un schéma ici : https://claude.trinaps.com/s/qx3gY6R5ecPTWAT (mdp: FRnOG). > > J'ai enlevé les détails qui permettraient d'identifier ce client, pour > des raisons évidentes de discrétion, mais si certaines choses > demandent éclaircissement, je suis bien évidemment prêt à répondre. > > D'avance merci. > > -- > Julien CANAT > > TRINAPS - Ingénierie Réseau > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Help]Problème d'OSPF cisco
Bonjour Julien, Quelle politique de Local-bref as-tu appliqué sur la redistribution OSPF > iBGP ? Peux-tu nous décrire un peu plus la boucle de routage en question ? -- Greg > On 15 Nov 2021, at 17:05, Julien CANAT via frnog wrote: > > Bonjour à tous, > > > Nous rencontrons un problème avec l'un de nos clients multi-sites. > > Ce client dispose d'une VRF dans notre MPLS. Les CPE des sites distants > (~80) annoncent leurs routes au routeur d'infra auquel ils sont > connectés en OSPF. Ces routes sont redistribuées en iBGP entre les > routeurs d'infra. > > Entre les deux sites primaires du client, le client dispose d'une FON et > fait de l'OSPF pour assurer la redondance entre les sites primaires. Sur > les sites primaires l'annonce de routes entre CPE et routeur d'infra est > en iBGP. Entre le CPE et les routeurs du client il y a de la > redistribution en OSPF, la métrique est plus élevée sur le site 2 (1000) > au lieu du default (1). > > Le problème que l'on rencontre est que parfois les routes au lieu > d'arriver sur le CPE-site1 sont apprises via l'OSPF du client et le > CPE-site2 ce qui a une tendance a créer une légère boucle de routage. Ce > problème se résout par un reset de l'OSPF sur le CPE-site1. > > Les routeurs d'infra sont des ASR920, sur les sites primaires il y a des > C et l'un d'eux a été remplacé par un 1921 pour écarter le bug > matériel. > > Quelqu'un aurait une idée d'où ce problème peut venir ? Serait-ce un bug > connu chez Cisco ? > > Comme les pièces jointes sont interdites sur la liste : vous trouverez > un schéma ici : https://claude.trinaps.com/s/qx3gY6R5ecPTWAT (mdp: FRnOG). > > J'ai enlevé les détails qui permettraient d'identifier ce client, pour > des raisons évidentes de discrétion, mais si certaines choses demandent > éclaircissement, je suis bien évidemment prêt à répondre. > > D'avance merci. > > -- > Julien CANAT > > TRINAPS - Ingénierie Réseau > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [Help]Problème d'OSPF cisco
Bonjour à tous, Nous rencontrons un problème avec l'un de nos clients multi-sites. Ce client dispose d'une VRF dans notre MPLS. Les CPE des sites distants (~80) annoncent leurs routes au routeur d'infra auquel ils sont connectés en OSPF. Ces routes sont redistribuées en iBGP entre les routeurs d'infra. Entre les deux sites primaires du client, le client dispose d'une FON et fait de l'OSPF pour assurer la redondance entre les sites primaires. Sur les sites primaires l'annonce de routes entre CPE et routeur d'infra est en iBGP. Entre le CPE et les routeurs du client il y a de la redistribution en OSPF, la métrique est plus élevée sur le site 2 (1000) au lieu du default (1). Le problème que l'on rencontre est que parfois les routes au lieu d'arriver sur le CPE-site1 sont apprises via l'OSPF du client et le CPE-site2 ce qui a une tendance a créer une légère boucle de routage. Ce problème se résout par un reset de l'OSPF sur le CPE-site1. Les routeurs d'infra sont des ASR920, sur les sites primaires il y a des C et l'un d'eux a été remplacé par un 1921 pour écarter le bug matériel. Quelqu'un aurait une idée d'où ce problème peut venir ? Serait-ce un bug connu chez Cisco ? Comme les pièces jointes sont interdites sur la liste : vous trouverez un schéma ici : https://claude.trinaps.com/s/qx3gY6R5ecPTWAT (mdp: FRnOG). J'ai enlevé les détails qui permettraient d'identifier ce client, pour des raisons évidentes de discrétion, mais si certaines choses demandent éclaircissement, je suis bien évidemment prêt à répondre. D'avance merci. -- Julien CANAT TRINAPS - Ingénierie Réseau --- Liste de diffusion du FRnOG http://www.frnog.org/
