BGP rotte withdrawn

[ale123]

Ciao,
ho un firewall che mi fa BGP in full-mesh tra 2 router di confine.
in pratica tutti e 3 gli apparati sono connessi mediante sessioni "iBGP"

Non capisco come mai sul firewall mi trovo metà dei prefissi in withdrawn.
Sapete spiegarmi cosa può essere?

Fino a poco tempo fa avevo circa 350000 rotte (su per giù) su ambo i carrier, poi da quando ho fatto il full-mesh interconnettendo anche i due router tra loro, sul firewall molte rotte vanno in withdrawn e mi ritrovo con un peer con 170000 rotte e con l'altro che ne ha 350000 o giù di li.

Dovrei preoccuparmi?

[Gianremo.Smisek]

ciao,
pasta l'output di

show ip bgp rib-failure


Sul firewall il numero di prefix sono aumentati?

ciao!

[ale123]

Non è un apparato cisco ma vyatta e non ho tale comando.

La topologia è semplice

Codice: Seleziona tutto

    carrier1         carrier2
        |                |
    router1 ------- router2
        |  \        /    |
        |    \    /      |
        |      X         | 
        |    /    \      |
        |  /       \     |
     firewall1 --- firewall2

Ricevo una full route da ambo gli operatori. (circa 330.000 rotte l'uno)
Se rimuovo l'iBGP che collega i miei due router, su ambo i firewall ricevo le full route annunciate dai miei router (che a loro volta le han ricevute dai carrier)

Se attivo la sessione iBGP tra i due router, andando quindi in full-mesh, mi viene fatta una sorta di merge tra gli annunci, e ricevo quindi 170.000 annunci da carrier1, 280.000 da carrier due. Non può essere un normale merge, perchè la somma supera di molto le rotte presenti, che sono circa 330.000

Ho come l'impressione di perdermi qualche annuncio per strada in questa situazione. E' normale che sia così quando si è in full-mesh?

[Gianremo.Smisek]

no, che io sappia non e' normale.

c'e' synchronization attivo ?


ciao

[ale123]

No, non mi pare. Non credo che Vyatta lo supporti.

A dirla tutta, la sessione iBGP tra i due firewall è assente al momento (perchè il firewall 1 non è attivo)
Di funzionante e linkato ho: router1, router1, firewall2. Tutti sono connessi tra loro.

Su router1, tramite eBGP ricevo tutti i prefissi (circa 330.000).
Su router2, sempre tramite eBGP, ricevo nuovamente tutti i prefissi.
Su router2, in ingresso iBGP dal router1, ricevo metà dei prefissi: 168.000
Idem sul firewall, ricevo 280.000 prefissi da router2 e 168.000 da router1.

Potrebbe risultare 'normale', vediamo se fila il discorso:

BGP non redistribuisce rotte via iBGP ricevute tramite una sessione iBGP.
Quindi: se router1 riceve 330.000 rotte dal carrier ed altre 330.000 rotte dal secondo router, router1 smetterà di inviare le rotte in comune (quindi buona parte di quelle ricevute da router1) verso il firewall2, perchè si tratta di una sessione iBGP con rotte provenienti anche da iBGP verso router2.

Questo perchè si presume che i peer iBGP siano sempre in full-mesh, quindi la sessione iBGP verso il firewall2 è compensata dalla sessione iBGP del firewall2 verso il router2.

Pensandoci bene, il discorso sembra filare....

[Gianremo.Smisek]

si, hai pienamente ragione, in IBGP le rotte EBGP non vengono annunciate... non usando spesso BGP, mi son dimenticato di questa rule fondamentale

[ale123]

Quindi è normale...

Però, non mi tornano i conti. Ricevendo due full-route, ed avendo un full-mesh, dovrei avere grossomodo 50-50 di rotte invece il carrier 2 riceve 280.000 prefissi, il carrier1 ne esporta solo 170.000

La somma di tutti e due supera di molto tutti i prefissi attualmente disponibili, quindi ci sono dei doppioni.

1) come è possibile che ci siano doppioni, visto che tutti vedono tutto?
2) il router1 è interconnesso meglio e riceve più prefissi rispetto al router2. Come mai me ne esporta la metà ?

[Gianremo.Smisek]

non conosco vyatta, ma credo che il funzionamento sia identico. in ogni caso, io non li chiamerei "doppioni" piuttosto prefix con "doppia uscita"... avendo due carrier ridondati per l'uscita...


ciao!