Автор |
Сообщение |
gintonic
Зарегистрирован: 08 ноя 2017, 10:53 Сообщения: 6
|
Всем привет. Случилась такая неприятность. Упала Cisco 3825 (256Mb)от того что к ней пришёл full view. Были настроены фильтры, но это не помогло. В железке всё не очень хорошо с памятью. Сам фулл был не нужен, а нужны только клиенты оператора и дефолт. Оператор сказал отфильтруйте по коммьюнити. Было сделано так: neighbor 1.2.3.4.5 remote-as 1002 neighbor 1.2.3.4.5 update-source GigabitEthernet0/0.17 neighbor 1.2.3.4.5 timers 10 30 neighbor 1.2.3.4.5 soft-reconfiguration inbound neighbor 1.2.3.4.5 prefix-list ourAS out neighbor 1.2.3.4.5 route-map RM8 in neighbor 1.2.3.4.5 maximum-prefix 1500 restart 3 neighbor 1.2.3.4.5 dmzlink-bw
route-map RM8 permit 5 match ip address prefix-list OnlyDef set local-preference 90 set as-path prepend 1002 route-map RM8 permit 10 match community 1002:0 route-map RM8 deny 15
ip prefix-list OnlyDef seq 10 permit 0.0.0.0/0 ip prefix-list OnlyDef seq 15 deny 0.0.0.0/0 le 32
Через несколько секунд после установки сессии циска выпала в осадок. Подскажите пожалуйста что не так? И как вообще правильно фильтровать? Можно ведь использовать prefix-list, filter-list или route map. В чём разница?
|
08 ноя 2017, 11:13 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
Цитата: neighbor 1.2.3.4.5 soft-reconfiguration inbound маршрутизатор сначала получил Full, потом через фильтр скопировал в bgp rib итого в памяти больше, чем Full
|
08 ноя 2017, 11:36 |
|
|
gintonic
Зарегистрирован: 08 ноя 2017, 10:53 Сообщения: 6
|
ikiliikkuja писал(а): маршрутизатор сначала получил Full, потом через фильтр скопировал в bgp rib итого в памяти больше, чем Full Убрать? Вообще сама фильтрация правильно сделана или надо как-то по другому?
|
08 ноя 2017, 12:03 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
ну, если уберете, роутер это явно разгрузит по памяти фильтровать можно как угодно, разница в порядке применения разных фильтров и их специфике
|
08 ноя 2017, 12:54 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
Странный у вас оператор, он что не может дать только те префиксы, которые вы хотите? я бы все-таки договорился с оператором на выдаваемые префиксы, так как они всё равно до вас доходят и роутер их обрабатывает. Лишние (не нужные) пакетики никогда не бывают полезными
|
08 ноя 2017, 13:03 |
|
|
gintonic
Зарегистрирован: 08 ноя 2017, 10:53 Сообщения: 6
|
Спасибо за советы. То что так сделано, мне самому не нравится.
|
08 ноя 2017, 13:26 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
кстати, в роут-мапе на инпут должен работать только первый сиквенс, тк он кроме принятия дефолта все остальное реджектить должен а что должен делать #10? У провайдера что-то красится community 1002:)?
|
08 ноя 2017, 17:32 |
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08 Сообщения: 310
|
Попробуйте так: Цитата: ip as-path access-list 1 permit ^1002$ ! route-map UPLINK-IN permit 10 match as-path 1 ! ... neighbor 1.2.3.4.5 route-map UPLINK-IN in получите свой дефолт и клиентов оператора.
|
08 ноя 2017, 18:20 |
|
|
gintonic
Зарегистрирован: 08 ноя 2017, 10:53 Сообщения: 6
|
arty писал(а): Попробуйте так: ip as-path access-list 1 permit ^1002$
А если у клиента своя AS?
|
10 ноя 2017, 18:17 |
|
|
gintonic
Зарегистрирован: 08 ноя 2017, 10:53 Сообщения: 6
|
Подскажите, а если провайдер шлёт фулл, а я его фильтрую рутмапом, то фулл в таблице BGP остаётся или нет? При условии что soft-reconfiguration отключен.
|
10 ноя 2017, 19:21 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
gintonic писал(а): Подскажите, а если провайдер шлёт фулл, а я его фильтрую рутмапом, то фулл в таблице BGP остаётся или нет? При условии что soft-reconfiguration отключен. нет конечно но при пересылке FV и отбрасывании по фильтрам будет некоторая нагрузка по обработке
|
10 ноя 2017, 21:44 |
|
|