ISP`s IT Аутсорсинг
Быстрый переход: Главная блога Главная сайта Форум
Если Вы чего то недопоняли или не нашли - задайте
вопрос на нашем форуме и мы попробуем Вам помочь.
Subnets.ru Регистрация IP и Автономных систем mega-net.ru

Метки статьи: ‘quagga’

Добро пожаловать в блог! Надеемся, что Вы еще вернетесь.

Поводом для написания этой статьи послужила задача, которая возникла перед нами вчера.

Задача звучала просто: необходимо установить LG (Looking Glass) для отображения информации с BGP роутера FreeBSD с установленной quagga.

Что такое LG ?

Looking Glass позволяет выполнить на BGP роутере команды и отобразить результат их выполнения в web-интерфейсе:

  • show ip bgp
  • show ip bgp neighbors advertised-routes
  • show ip bgp summary
  • ping
  • traceroute

Для получения данных с роутера LG может использовать протоколы:  SSH, telnet или rsh.

Мы пользуемся telnet`ом.

LG мы всегда использовали один. Это разработка Cougar официальный сайт www.version6.net.

LG screenshot

Данный LG написан на языке программирования PERL и является CGI скриптом. Для соединения использует PERL модуль  Net::Telnet (/usr/ports/net/p5-Net-Telnet)

Последняя версия LG, доступная на это момент, датируется 25.11.2004 года и имеет номер 1.9.

Скачать исходный код можно на официальном сайте http://www.version6.net/lg/lg-1.9.tar.bz2 или с нашего сайта http://subnets.ru/files/lg-1.9.tar.bz2.

Ранее мы использовали этот LG для получения инфы с Juniper, а тут понадобилось получить с quagga (демон bgpd).

Установили LG, зашли в web-интерфейс LG и ….. и нифига. По нажатию на кнопку «Submit» LG просто долго «думает» (подвисает), а затем выдает страницу с запрошенной командой и пустым результатом.

Пара слов об установке.

В README автор достаточно четко описал что надо делать, повторяться мы не будем, но позволим себе добавить кусок конфига для HTTP сервера apache:

<VirtualHost XXX.XXX.XXX.XXX:80>
    ServerAdmin mymail@mydomain.ru
    DocumentRoot /usr/local/www/lg
    ServerName lg.subnets.ru

    ScriptAlias / /usr/local/www/lg/cgi/lg.cgi

    ErrorLog /var/log/http/lg_error.log
    CustomLog /var/log/http/lg_access.log common

    <Directory "/usr/local/www/lg">
        Options -Indexes FollowSymLinks MultiViews
        AllowOverride All
    </Directory>
</VirtualHost>

Сначала подумали, что мы напортачили в конфиге, но после перечитывания мануала и разнообразных вариантов конфига стало понятно, что дело не в нем.

Остро встал вопрос о debug`е действий LG, но разработчик не предусмотрел такой возможности :(  В логах появляется лишь строчка с запросом и ничего больше….

Пришлось лезть в исходки. В результате изысканий стало понятно, что проблема возникает уже после установки telnet соединения  между LG и quagga (демоном bgpd).

Это удалось понять используя более детальное логирование действий LG и просмотра вывода tcpdump:

tcpdump -Xni lo0 port 2605

Слушали ифейс lo0 (loopback) т.к. LG и quagga находтся на одном сервере и bgpd запущен командой:

/usr/local/sbin/bgpd -d -A 127.0.0.1

Возникает она потому что скрипт не может заматчить «command prompt», иными словами строку приглашения.

Что делать ? Разбираться с этим дальше уже нет времени, т.к. на выяснение проблемы уже убили кучу времени.

Тут я вспомнил про порт p5-Net-Telnet-Cisco (/usr/ports/net-mgmt/p5-Telnet-Cisco).  Примеры  использовании этого порта я показывал в статье Backup конфига Cisco на FTP.

Решил по быстрому попробовать такой вариант подключения по telnet к quagga. Сказано — сделано. Установил  порт p5-Net-Telnet-Cisco, поправил исходный код lg.cgi и все заработало.

Думаю что мы не единственные кто сталкивался/столкнулся/столкнется :))) с этой проблемой, надеюсь эта статья вам поможет.

Модифицированный нами код можно скачать тут: http://subnets.ru/files/lg-1.9.1.tar.gz
В архиве присутствуют файлы:

  • lg-1.9_ORIGINAL.tar.gz — это оригинальный архив от автора LG
  • lg.cgi.diff — это DIFF файл между оригинальной версией и модифицированной

Уточню, что код модифировался только в части отвечающий за подключение по telnet`у к quagga, остальной код остался без изменений.

Списки Looking Glass в Инете:

З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА ! Пожалуйста, уважайте чужой труд.

Авторы: Панфилов Алексей (lehis (at) subnets.ru) и Николаев Дмитрий (virus (at) subnets.ru)

Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 1, среднее: 5,00 из 5)
Loading...Loading...
Отправить на почту Отправить на почту

Сегодня столкнулся с проблемой на quagga и процессом bgpd.

Перезапуск bgpd нифига не помог, т.к. процесс поднимается и сразу падает…

В логах:

2009/04/30 10:58:09 BGP: Assertion `len < str_size' failed in file bgp_aspath.c, line 619, function aspath_make_str_count
2009/04/30 10:58:09 BGP: No backtrace available on this platform.
2009/04/30 10:59:02 BGP: BGPd 0.99.11 starting: vty@2605, bgp@<all>:179
2009/04/30 10:59:08 BGP: %ADJCHANGE: neighbor ХХХ.ХХХ.ХХХ.150 Up
2009/04/30 10:59:21 BGP: Assertion `len < str_size' failed in file bgp_aspath.c, line 619, function aspath_make_str_count
2009/04/30 10:59:21 BGP: No backtrace available on this platform.

Все до сегодняшнего дня работало на quagga-0.99.11_1

Полазав по инету решил пересобрать quagga, т.к. в портах появилась: quagga-0.99.11_2

Обновился до quagga-0.99.11_2 и проблема исчезла.

Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 1, среднее: 5,00 из 5)
Loading...Loading...
Отправить на почту Отправить на почту

Настраиваем BGP используя quagga на FreeBSD.

В статье описан способ поднять протокол динамической маршрутизации BGPv4 (EBGP) для минимального взаимодействия двух AS.

Протокол BGP сложный механизм состоящий из многих параметров. В одной статье сложно учесть и объяснить все.
Статья будет пригодна тем, кто только начал сталкиваться с этим протоколом и не использовал quagga.

Основные понятия:

AS — Autonomous system — группа маршрутизаторов (шлюзов) из одной административной области, взаимодействующих с другими автономными системами посредством внешнего протокола маршрутизации. При наличии собственного номера AS и блока адресов позволяет использовать два и более каналов в сеть Интернет одновременно, с распределением нагрузки между ними.

EGP — Exterior Gateway Protocol, протокол внешнего шлюза. (например: BGPv4, IS-IS);

IGP — Interior gateway protocol, протокол внутреннего шлюза (например: RIP, EIGRP, OSPF);

EBGP — External BGP, взаимодействие протокола BGP с другими (чужими) автономными системами;

IBGP — Internal BGP, взаимодействие протокола BGP внутри своей автономной системы;

peer — Сосед по протоколу динамической маршрутизации;

as-path — «Путь» из номеров AS (автономных систем) до сети назначения;

Номера AS 64512 — 65535 выделены для частного использования («серые» номера AS);

Тестовый стенд: компьютер Intel P4, 4Gb памяти, и два сетевых интерфейса em0, em1

Начнем:

cd /usr/ports/net/quagga/
make install clean

После установки нам необходимо настроить два демона:

  1. zebra
  2. bgpd

Переходим в директорию /usr/local/etc/quagga

Файл: zebra.conf

hostname zebra
password 123
enable password 123
log file /usr/local/etc/quagga/zebra.log
!
interface em0
ip address 10.1.1.1/24
!
interface em1
ip address 2.2.2.2/30
!
interface lo0
!
ip route 10.0.0.0/8 Null0 254
ip route 172.16.0.0/12 Null0 254
ip route 192.168.0.0/16 Null0 254
ip route 64.17.0.0/21 Null0 254
ip route 64.17.0.0/22 10.1.1.2
ip route 64.17.4.0/22 10.1.1.3
!
ip forwarding
!
!
line vty
exec-timeout 0 0
!

Пройдемся по конфигу zebra.conf

em0 — интерфейс смотрящий в сторону локальной сети
em1— интерфейс смотрящий в сторону провайдера
маршруты 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 отправлены в Null0, иными словами все пакеты которые будут приходить от данных сетей будут отбрасываться, т.к. это «серые» сети которые не маршрутизируются в сети Интернет.
64.17.0.0/21 — это выделенный нам, организацией RIPE, блок внешних адресов.
Т.к. для того, что бы протокол BGP мог анонсировать (объявлять) эту подсеть провайдеру он сам должен знать где находится данная сеть. Для того, чтобы в последствии избежать ситуаций когда из-за проблем внутри локальной сети, например недоступность gateway на который (которые) будут маршрутизироваться подсети или сеть 64.17.0.0/21 при использовании внутренних протоколов динамической маршрутизации (RIP, OSPF, EIGRP), BGP перестанет анонсировать наш блок внешних адресов, для этого мы также отправляем маршрут этой сети в Null0. Таким образом мы заставим BGP всегда знать маршрут в эту сеть.
Теперь возмем блок 64.17.0.0/21 и поделим его на две подсети 64.17.0.0/22, 64.17.4.0/22 и «отмаршрутизируем» их внутрь сети на два других сервера 10.1.1.2, 10.1.1.3 где они будут использоваться под клиентов или другое оборудование, где могут быть ещё разбиты на более мелкие подсети.

Вы возможно подумали о том: «как же это будет работать раз /21 отправлена в Null0
Это будет работать по тому, что в таблице маршрутизации роутера будет три маршрута, два из которых более точные (/22), поэтому наш маршрутизатор будет пользоваться ими для продвижения пакетов приходящие от нашего блока.

Файл bgpd.conf:

hostname AS100
password 123
enable password 123
log file /usr/local/etc/quagga/bgpd.log
!
router bgp 100
bgp router-id 2.2.2.2
bgp log-neighbor-changes
no synchronization
network 64.17.0.0/21
neighbor 2.2.2.1 remote-as 200
neighbor 2.2.2.1 description MY-PROVIDER
neighbor 2.2.2.1 next-hop-self
neighbor 2.2.2.1 route-map MY-PROVIDER-in in
neighbor 2.2.2.1 route-map MY-PROVIDER-out out
!
ip prefix-list bogons description bogus nets
ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32
ip prefix-list default description default route
ip prefix-list default seq 10 permit 0.0.0.0/0
ip prefix-list our-CIDR-blocks seq 5 permit 64.17.0.0/21 le 32
ip prefix-list upstream-out seq 10 permit 64.17.0.0/21
!
ip as-path access-list 1 permit _6451[2-9]_
ip as-path access-list 1 permit _645[2-9][0-9]_
ip as-path access-list 1 permit _64[6-9][0-9][0-9]_
ip as-path access-list 1 permit _65[0-9][0-9][0-9]_
!
route-map MY-PROVIDER-in deny 100
match as-path 1
!
route-map MY-PROVIDER-in deny 110
match ip address prefix-list bogons
!
route-map MY-PROVIDER-in deny 115
match ip address prefix-list default
!
route-map MY-PROVIDER-in deny 120
match ip address prefix-list our-CIDR-blocks
!
route-map MY-PROVIDER-in permit 200
set local-preference 100
!
route-map MY-PROVIDER-out permit 100
match ip address prefix-list upstream-out
!
route-map MY-PROVIDER-out deny 200
!
line vty
!

Пройдемся по конфигу bgpd.conf

AS100 — Autonomous system, наш номер автономной системы так же выданный нам организацией RIPE
AS200 — автономная система нашего провайдера
no synchronization — не ждать подтверждения маршрута от протоколов внутреннего шлюза (IGP)
network 64.17.0.0/21 — указываем сеть для анонсирования
командами neighbor мы описываем своего «соседа» (peer`а), указываем номер его AS, его IP-адрес, указываем маршрутные карты на вход и на выход, neighbor 2.2.2.1 next-hop-self — говорит о том, что для всех оглашаемых маршрутов next-hop будет выставлен на нас (в as-path будет содержаться номер нашей AS)
ip prefix-list bogons — описывает те сети маршруты в которые мы не хотим получать от своего «соседа»
ip as-path access-list 1 — описывает «серые» номера AS которые не маршрутизируются в сети Интернет и предоставлены для внутреннего использования, где бы они не встречались в as-path

route-map MY-PROVIDER-in — маршрутная карта которая применяется при передаче соседом маршрутов в нашу AS100

в deny 100 — запрещаем принимать маршруты в as-path которых содержатся «серые» AS, перечисленные в ip as-path access-list 1
в deny 110 — запрещаем принимать маршруты в которых содержатся сети перечисленные в ip prefix-list bogons
в deny 115 — запрещаем принимать default gateway
в deny 120 — запрещаем принимать маршрут в принадлежащие нам сети (наш блок адресов (prefix-list our-CIDR-blocks)) (на всякий случай ;))
в permit 200 — и последние правило которое разрешит все остальные маршруты и выставит на них local-preference 100

route-map MY-PROVIDER-out — маршрутная карта которая применяется при оглашении маршрутов от нашей AS100 к AS200 автономной системы нашего провайдера (prefix-list upstream-out).

в permit 100 — разрешаем свой блок /21

Принцип работы маршрутных карт (route-map) прост, то что разрешает access-list является совпадением, а дальше применяется действие указанное в маршрутной карте: permit или deny.
Последним действием которое не указано, но подразумевается это deny. Тот же самый принцип что и в access-list. Если совпадений не будет, то маршрут будет запрещен.

Рекомендуется присваивать «говорящие» названия для маршрутных карт (route-map) для дальнейшего удобства, когда конфиг будет разрастаться.

Ну вот мы и сделали необходимый минимум.
Пишем в /etc/rc.conf:

quagga_enable=»YES»
quagga_daemons=»zebra bgpd»
quagga_flags=»-d -A 127.0.0.1″

Стартуем:

/usr/local/etc/rc.d/quagga start

либо

/usr/local/sbin/zebra -f /usr/local/etc/quagga/zebra.conf -d -A 127.0.0.1
/usr/local/sbin/bgpd -f /usr/local/etc/quagga/bgpd.conf -d -A 127.0.0.1

Все то что описано в конфиге, можно настроить и через консоль, после запуска демона.
Для того, чтобы настроить и управлять демоном zebra, после его запуска, устанавливаем telnet соединение на порт 2601 localhost (127.0.0.1:2601).
Демон bgpd работает на порту 2605 localhost (127.0.0.1:2605).

Проверяем, что все работает:
telnet 127.0.0.1 2605
вводим пароль 123 и переходим в enable режим опять таки вводя пароль 123
смотрим информацию по соседу, где нас интересует строка состояния:
sh ip bgp neighbors 2.2.2.1
..................
BGP state = Established, up for 09w6d19h
.....................

даем команду sh ip bgp и смотрим получаем ли мы маршруты от соседа

AS100# sh ip bgp
BGP table version is 0, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 3.0.0.0 2.2.2.1 100 0 200 310 600 701 703 80 i
*> 4.0.0.0 2.2.2.1 100 0 200 310 3356 i
*> 4.0.0.0/9 2.2.2.1 100 0 200 310 3356 i
*> 4.23.112.0/24 2.2.2.1 100 0 200 310 174 21889 i
*> 4.23.113.0/24 2.2.2.1 100 0 200 310 174 21889 i
*> 4.23.114.0/24 2.2.2.1 100 0 200 310 174 21889 i
*> 4.36.116.0/23 2.2.2.1 100 0 200 310 174 21889 i
*> 4.36.116.0/24 2.2.2.1 100 0 200 310 174 21889 i
*> 4.36.117.0/24 2.2.2.1 100 0 200 310 174 21889 i
*> 4.36.118.0/24 2.2.2.1 100 0 200 310 174 21889 i

………………

Мы видим, что маршруты от соседа к нам приходят.

Теперь посмотрим, что мы огласили своему соседу:

sh ip bgp neighbors 2.2.2.1 advertised-routes
BGP table version is 0, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 64.17.0.0/21 2.2.2.2 0 32768 i

Total number of prefixes 1

Мы должны видеть наш блок адресов 64.17.0.0/21 и next-hop наш IP-адрес, если это так то все в порядке, наш маршрут соседу отправлен.

З.Ы.

Данная статья не претендует на гипер HOW-TO, но м.б. поможет кому нить, а так же, возможно, будет дописываться.

При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Мы продолжим тему настройки и понимания протокола BGP в других статьях, предполагается:

  1. настройка BGP на оборудовании от Cisco Systems
  2. настройка протокола BGP на оборудовании от Juniper
  3. как получить номер AS и собственный блок адресов ?
  4. что и как делать в БД RIPE после получения AS и блока адресов ?
  5. как управлять внешними каналами (трафик) ?
  6. транзитные AS

Ссылки:

Сгенерировать полный конфиг для cisco, построить фильтры по as-set , создать access-list / prefix-list можно с помощью: Online BGP tools Т.к. quagga имеет cisco like интерфейс конфиги почти один в один.

Автор: Николаев Дмитрий (virus (at) subnets.ru)
Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 3, среднее: 5,00 из 5)
Loading...Loading...
Отправить на почту Отправить на почту