[GTER] Problema BGP - Cisco 7200 - IOS 15.X

Guilherme de Freitas Figueiredo gff at wkve.com.br
Tue Nov 6 16:01:30 -02 2012


Douglas,

  Eu cheguei a encontrar isso na internet, também falando sobre esse BUG 
do IOS, o que achei engraçado é da versão 15.0 p/ 15.2 não vir com esta 
correção.
  A opção do bgp maxas-limit eu ja cheguei a utilizar e não obtive 
sucesso, agora utilizando o no bgp enforce-first-as recebi somente 11 
redes, e a opção dont-capability-negotiate não esta disponivel nesta 
versão de IOS.

Em 06-11-2012 14:40, Douglas Fischer escreveu:
> Esse link aponta para uma thread meio velhinha, mas faz algum sentido
> considerando a vizinhança com route-servers.
>     http://www.gossamer-threads.com/lists/cisco/nsp/136079
>
> As partes que achei interessante foram:
>    - "bgp maxas-limit"
>    - "no bgp enforce-first-as"
>    - Referência ao bug CSCsy27511
>    - "dont-capability-negotiate"
>
> Em 6 de novembro de 2012 15:20, Douglas Fischer
> <fischerdouglas at gmail.com>escreveu:
>
>> Guilherme,
>> existe uma vulnerabilidade utilizando atributos mal formados que comprome
>> tem o seu IOS.
>>
>> http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-bgp
>>        - Se o seu problema advir dessa vulnerabilidade você for para o
>> release T, isso deve ser corrigido.
>>
>> Existe também um registro de assinatura para ataques de negação de serviço
>> utilizando essa vulnerabilidade.
>>
>> http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=1346&signatureSubId=0
>>
>>
>> Em 6 de novembro de 2012 14:49, Douglas Fischer<fischerdouglas at gmail.com>escreveu:
>>
>> Tem como mandar a configuração do BGP e respectivos filtros?
>>>   - Não esqueça de suprimir informações confidenciais.
>>>
>>> Isso acontece especificamente no neighbor do PTT ou em outros mais?
>>>     Tentou ativar o debug do BGP para esse neighbor e limpar a sessão?
>>>     ***Qual PTT? Se forem muitas rotas, não faça o debug. Podes congelar
>>> o roter***
>>>
>>>
>>> Em 6 de novembro de 2012 05:52, Guilherme de Freitas Figueiredo<
>>> gff at wkve.com.br>  escreveu:
>>>
>>> Senhores,
>>>>   Estou com um problema estranho acontecendo com o router de borda com o
>>>> PTT.
>>>>
>>>>   De acordo com várias pesquisas no google, o que indica é que estou
>>>> recebendo mais de 255 AS Hops e que a solução seria a opção de limitar a
>>>> quantidade de hops utilizando o bgp maxas-limit , tentei de diversas
>>>> maneiras mas não obtive sucesso.
>>>>
>>>>   O que acontece é o seguinte, com a IOS 15.0 a sessão nem subia, quando
>>>> recebia a mensagem de erro ela automaticamente caia. Com a IOS 15.2 a
>>>> sessão sobe, envio os prefixos ao PTT mas não recebo nenhum dele.
>>>>
>>>>   As mensagens de erro que recebo são as seguintes:
>>>>
>>>> Nov  6 05:36:08.567 GMT-2: %BGP-6-MSGDUMP_LIMIT: unsupported or
>>>> mal-formatted message received from 187.16.216.254:
>>>> FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0058 0200 0000 1940 0101 0050
>>>> 0200 0A02
>>>> 0200 006E 0500 006E 0540 0304 BB10 D89B 14BB 3ED0 16C8 E5EC 16C8 E5E8
>>>> 16C8 E5E4
>>>> 16C8 E5E0 14C8 E5E0 16BB 3EDC 16BB 3ED8 16BB 3ED4 16BB 3ED0
>>>> Nov  6 05:36:08.567 GMT-2: %BGP-6-MALFORMEDATTR: Malformed optional
>>>> transitive attribute in (BGP(0) Prefixes: 187.62.208.0/20
>>>> 200.229.236.0/22 200.229.232.0/22 ) received from 187.16.216.254,
>>>> Nov  6 05:37:49.830 GMT-2: %BGP-6-MSGDUMP_LIMIT: unsupported or
>>>> mal-formatted message received from 187.16.216.253:
>>>> FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0063 0200 0000 2840 0101 0050
>>>> 0200 1202
>>>> 0400 0032 BD00 002D 4400 004A 2E00 006B 0B40 0304 BB10 D8B1 C008 0466
>>>> 3232 BD14
>>>> 4012 3017 4012 3E18 4012 3118 4012 3418 4012 3518 4012 3018 4012 3A18
>>>> 4012 3B18
>>>> 4012 3C
>>>> Nov  6 05:37:49.830 GMT-2: %BGP-6-MALFORMEDATTR: Malformed optional
>>>> transitive attribute in (BGP(0) Prefixes: 64.18.48.0/20 64.18.62.0/23
>>>> 64.18.49.0/24 ) received from 187.16.216.253,
>>>>
>>>>
>>>>   Alguém já passou por algum problema semelhante a esse? Estou meio que
>>>> descartando o downgrade do IOS por causa do suporte a AS de 32bits.
>>>>
>>>>   Já utilizei as seguintes IOSs:
>>>>
>>>> c7200p-adventerprisek9-mz.150-**1.M9.bin
>>>> c7200p-adventerprisek9-mz.152-**4.S.bin
>>>>
>>>> --
>>>> Att,
>>>>
>>>> Guilherme de Freitas Figueiredo - gff at wkve.com.br - 33.9140.3666
>>>> Gerência de Redes - WKVE Telecom - http://www.wkve.com.br - 33.2102.3332
>>>> Rua João Pinheiro, 599 - Lj 1 - Centro - Governador Valadares - MG
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>
>>>
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>>
>>>
>>
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>>
>>
>


-- 
Att,

Guilherme de Freitas Figueiredo - gff at wkve.com.br - 33.9140.3666
Gerência de Redes - WKVE Telecom - http://www.wkve.com.br - 33.2102.3332
Rua João Pinheiro, 599 - Lj 1 - Centro - Governador Valadares - MG




More information about the gter mailing list