Нужны советы гуру по организации БГП

Статическая и динамическая, протоколы

Re: Нужны советы гуру по организации БГП

Сообщение zaikini » 05 май 2011, 08:27

Не партесь, начальству всегда виднее. Вам надо изложить все недостатки такого решения на бумаге и сделать выводы, желательно, чтобы выводы были в денежном эквиваленте, т.е. сколько мы потеряем из-за того-то и того-то. Все это оформить в виде служебной записки и отдать руководству, копию, конечно, оставить себе. Насколько, это повлияет на руководство сложно спрогнозировать, но по крайней мере вы прикроете себя перед возможно более вышестоящим руководством, в случае, каких-то авариных событий.
Аватара пользователя
zaikini
новичок
 
Сообщения: 50
Зарегистрирован: 15 май 2009, 11:32

Re: Нужны советы гуру по организации БГП

Сообщение root » 05 май 2011, 11:38

brainiac писал(а):оскольку у нас теперь только один действующий канал, точнее один 200 мбит другой 1 мбит.

ага, можно сказать, что второго канала просто нет, т.к. в случае аварии на первом, второй с такой пропускной это просто не о чем

brainiac писал(а):начальство решило что так будет выгодней

ну да, знакомая хня, экономисты хреновы
тока вот когда все упадет и им начнут абоны жоп мылить, будут бегать и кричать "как же так ?" и "что же делать ?!"

brainiac писал(а):Принято решение принять от каждого прова по дефолту и не париться

а) что бы их принять нуна поднять BGP
б) мало получить дефолт, нуна и свои адреса анонсировать
в) т.к. два канала абсолютно разные по ширине и как я говорил выше, по сути, второго канала просто нет, то поднимать BGP сессию нуна тока с провом, канал которого 200 мбит/с, а иначе ты не сможешь нормально сбалансировать трафик

brainiac писал(а):НО запускать надо ибо как бы не отозвали/не отобрали(возможно ли такое?)

на самом деле могут, т.к. когда выдали АСку и подсеть им известно, а есть ли анонсы и когда они начались им тоже известно
устроят очередной аудит, увидят что врямя прошло много, а ни адреса ни AS не юзается и скажут тебе "гони обратно".
насколько я помню, нужно начать анонсы не позднее 3-х месяцев со дня получения

brainiac писал(а):Кто как поступил бы в такой ситуации?

поднять BGP хотя бы с одним провом и начать анонсы, а потом уже решать все остальные вопросы

zaikini писал(а):Не партесь, начальству всегда виднее.

не совсем так, ему не виднее, просто они всегда считают что их задача исключительно запарабывать бабло, а не тратить и есть мона ну хоть как то "за 3 рубля" или по правильному "за 300 рублей", то они всегда выберут первое, не задумываясь о том, что все получится как раз наоборот, т.к. обычно на поддержание схемы "хоть как то" уходит больше денег, чем сделать все сразу и по правильному.

zaikini писал(а):но по крайней мере вы прикроете себя перед возможно более вышестоящим руководством, в случае, каких-то авариных событий.

+1
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Нужны советы гуру по организации БГП

Сообщение brainiac » 10 окт 2011, 12:39

Не пойму, скока копипастов не видел в инете, все заворачивают в нуль серые адреса в конфиге квагги, нафига? Если их не анонсировать куда они уйдут то? А если у меня на сервере нат этих самых сетей и бгп тогда что?
Аватара пользователя
brainiac
новичок
 
Сообщения: 18
Зарегистрирован: 09 дек 2010, 14:16

Re: Нужны советы гуру по организации БГП

Сообщение root » 10 окт 2011, 13:29

brainiac писал(а): все заворачивают в нуль серые адреса в конфиге квагги, нафига?

тем самым добавляется статик маршрут
затем что бы если придет трафик для этих подсетей он сливался в null

brainiac писал(а):А если у меня на сервере нат этих самых сетей и бгп тогда что?

не понимаю вопроса
BGP и прописывание маршрута до серых подсетей никак не связано.
даже если BGP нет, но есть линк на прова, то раз серые сети не маршрутизируются в Инете, то трафик для них лучше сливать в null
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Нужны советы гуру по организации БГП

Сообщение brainiac » 10 окт 2011, 14:38

root писал(а):
brainiac писал(а): все заворачивают в нуль серые адреса в конфиге квагги, нафига?

тем самым добавляется статик маршрут
затем что бы если придет трафик для этих подсетей он сливался в null

так а если в префикс листе и роутмапе стоит запрещение на них, роутер их просто не примет или я
не так что-то понимаю?

root писал(а):
brainiac писал(а):А если у меня на сервере нат этих самых сетей и бгп тогда что?

не понимаю вопроса
BGP и прописывание маршрута до серых подсетей никак не связано.
даже если BGP нет, но есть линк на прова, то раз серые сети не маршрутизируются в Инете, то трафик для них лучше сливать в null

Я хотел сказать что если у меня на сервер приходят серые сети и натятся то какой смысл их в нуль заворачивать.
При отсутствии БГП у меня просто в фаере стоит запрет на серые сети со стороны интерфейса провайдера и чтобы от него не приходило все тупо блокируется.
Аватара пользователя
brainiac
новичок
 
Сообщения: 18
Зарегистрирован: 09 дек 2010, 14:16

Re: Нужны советы гуру по организации БГП

Сообщение root » 12 окт 2011, 09:57

route-map это способ отфильтровать маршруты приходящие по протоколу динамической маршрутизации, но не способ фильтрации реального трафика.
route-map не может запретить твоему соседу прописать статик роут в твою сторону.

brainiac писал(а):Я хотел сказать что если у меня на сервер приходят серые сети и натятся то какой смысл их в нуль заворачивать.

но ты же явно используешь не все адреса из серых подсетей, а раз так то трафик от используемых тобой подсетей будет нормально ходить, а от остальных серых префиксов будет уходить в null
ведь маршрутизатор всегда выбирает best match при выборе маршрута.
допустим на маршрутизаторе прописали статик роут на 10.0.0.0/8 в null, а затем добавили на некий ифейс роутера IP 10.1.1.1/24. Соответственно когда придет трафик для подсети 10.1.1.0/24, то он будет отмаршрутизирован в ифейс где висит IP 10.1.1.1, т.к. это best match по маске, а если придет трафик для любой другой подсети из 10.0.0.0/8, например 10.2.2.0, то такой трафик отправися в null.

brainiac писал(а): у меня просто в фаере стоит запрет на серые сети со стороны интерфейса провайдера и чтобы от него не приходило все тупо блокируется.

это безусловно правильно
но все мы люди и иногда ошибаемся, например при правке ACL`а, поэтому одно другому абсолютно не мешает
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20