Subnets.ru

[brainiac]

Понравился ваш сайт и форум и решил спросить совета на некоторые вопросы.
Вобщем получили AS и PI адреса, но пока работает всё на тех что провы выдали.

У нас 2 провайдера один 200мбит, другой 10мбит.
Сделать 2 толстых канала очень дорого. Пока все идет через 200, через 10 как запасной вариант ну и через него еще идет пару юриков, т.к. связность лучше, не гоняет трафик через европу, меньше хопов.
Маршрутизатор - бсдя 7.2 х64

С БГП ниразу не имел дела, по инету пошарился вроде читаешь - понятно, а с чего начать и как оно будет работать не оч понятно, да и на рабочей сети ссыкотно эксперименты устраивать, иначе порвут хомячки. С БД райп вообще жопа пока разобрался с их убогим интерфейсом, щас вот курю какие объекты создавать и что в них писать.

Вот нужны ваши советы:
1. Есть объекты inetnum, route. Какие еще нужно создать as-set, aut-num?

2. Нужно чтобы 99% трафик шло тока через одного прова, второй как резерв будет + через него надо будет пустить несколько юриков и при падении основного пустить остальных, но им будет тока разрешен наверно 110, 25, 80 порты ну и еще парочку.
Нужен ли мне в этом случае фулвью или можно дефолтом обойтись?

3. Нужен ли мне вообще фулвью? Или можно совместить фулвью и дефолт?

4. Категорически не желательно перекосов как на входящем таки на исходящем каналы то разные, как избежать этого?

5. Возможно ли договориться с провами чтобы для теста запустить с ними бгп сессии и не ломать пока то что есть?
Пока наверно все, больше ниче в голову не лезет.

[root]

Понравился ваш сайт и форум

рады это слышать, у нас и блог есть -> Subnets.ru blog
шоколадки, в виде пива, принимаются тут

Пока все идет через 200, через 10 как запасной вариант

хм... ну я бы не считал его запасным, т.к. скорости разняться на порядок и если у тя скорость заведомо более 10-ти мбит/с, то твой запасной канал сразу же ляжет на "полку", как тока упадет основной канал

1. Есть объекты inetnum, route. Какие еще нужно создать as-set, aut-num?

ты читал мою статью "Объекты БД RIPE (ripe.net): mntner, as-set, aut-num, route, inetnum, person, domain, role" ?
as-set не обязательный объект, он нужен тока если ты являешся транзитником, т.е. у тебя есть BGP клиенты, что бы твоим апстримам было удобно строить фильтры
если ты транзитником не являешся и в ближ. время им не будешь, то можно обойтись и без объекта as-set, апстрим будет фильтровать по твоему aut-num объекту
для нормальной работы всего тебе необходимы объекты:

mntner
aut-num
inetnum
person (для admin-c и tech-c контактов)
domain

Нужен ли мне в этом случае фулвью или можно дефолтом обойтись?

Нужен ли мне вообще фулвью? Или можно совместить фулвью и дефолт?

я всегда прошу full-view. почему ? да потому что тебе ж никто не мешает фильровать на входе к себе все что хочешь.
соответственно просишь full-view, а если он тебе в действительности ПОКА не нужен, то фильтруешь все что надо, хоть все , на входе.
зато если вдруг тебе срочно понадобится full-view или что-то из него, то не надо будет "бегать" с просьбами к апстриму, достаточно будет поправить свои фильтры и получить то что надо.
можешь и дефолт просить, опять же отфильруешь его, если он не нужен окажется

4. Категорически не желательно перекосов как на входящем таки на исходящем каналы то разные, как избежать этого?

для исходящего от тебя трафика используй local-preference, поднимая его выше на маршрутах из основного канала
для входящего юзай препенд через бекап канал и/или соответствующие community если таковые есть у твоего бекапного апстрима

Возможно ли договориться с провами чтобы для теста запустить с ними бгп сессии и не ломать пока то что есть?

ну на этот вопрос кроме твоих провов (апстримов) никто не ответ. технически это возможно сделать, тока на твой стороне тебе нуна будет PBR поднимать, что бы адреса, который тебе провы выдали, к ним и улетали.

[brainiac]

рады это слышать, у нас и блог есть -> Subnets.ru blog

Да, видал, мнго практичной инфы.

шоколадки, в виде пива, принимаются тут

Ок, учту

Пока все идет через 200, через 10 как запасной вариант

хм... ну я бы не считал его запасным, т.к. скорости разняться на порядок и если у тя скорость заведомо более 10-ти мбит/с, то твой запасной канал сразу же ляжет на "полку", как тока упадет основной канал

Так вот я о чем и писал, что если основной упадет все должно на резерв переключиться, а там уже я жостко буду резать все оставив тока необходимое, несколько портов типа 80, 25, 110 и тд

ты читал мою статью "Объекты БД RIPE (ripe.net): mntner, as-set, aut-num, route, inetnum, person, domain, role" ? as-set не обязательный объект, он нужен тока если ты являешся транзитником, т.е. у тебя есть BGP клиенты, что бы твоим апстримам было удобно строить фильтры
если ты транзитником не являешся и в ближ. время им не будешь, то можно обойтись и без объекта as-set, апстрим будет фильтровать по твоему aut-num объекту
для нормальной работы всего тебе необходимы объекты:

mntner
aut-num
inetnum
person (для admin-c и tech-c контактов)
domain

Да читал статью, собсно все объекты кроме as-set, aut-num, есть знач надо будет aut-num тока сделать.

я всегда прошу full-view. почему ? да потому что тебе ж никто не мешает фильровать на входе к себе все что хочешь.
соответственно просишь full-view, а если он тебе в действительности ПОКА не нужен, то фильтруешь все что надо, хоть все , на входе.
зато если вдруг тебе срочно понадобится full-view или что-то из него, то не надо будет "бегать" с просьбами к апстриму, достаточно будет поправить свои фильтры и получить то что надо.
можешь и дефолт просить, опять же отфильруешь его, если он не нужен окажется

Т.е. можно и фулвью просить и дефолт сразу же?
Я просто что хочу, если будет дефолт то я так понимаю смогу с помощью PBR легко разрулить трафик
какой мне нужно и куда нужно, по определенным протоколам и портам.
Типа игровой и веб трафик пустить через одного прова у которго пинг маленький а через другого все остальное.
Если будет оба тока фулвью я ведь уже не смогу так конкретно зарулить трафик по протоколам и портам?
Я вот тут малость не догоняю.

для исходящего от тебя трафика используй local-preference, поднимая его выше на маршрутах из основного канала
для входящего юзай препенд через бекап канал и/или соответствующие community если таковые есть у твоего бекапного апстрима

Стока слов умных придется вкуривать что куда

ну на этот вопрос кроме твоих провов (апстримов) никто не ответ. технически это возможно сделать, тока на твой стороне тебе нуна будет PBR поднимать, что бы адреса, который тебе провы выдали, к ним и улетали.

Ну, понятно, примерно понял как можно сделать, придется с провами говорить.

[root]

все должно на резерв переключиться, а там уже я жостко буду резать все оставив тока необходимое, несколько портов типа 80, 25, 110 и тд

ну если так, то м.б. и уложишь все в 10 мбит/с, тебе виднее, ты свой трафик лучше знаешь

Да читал статью, собсно все объекты кроме as-set, aut-num, есть знач надо будет aut-num тока сделать.

aut-num объект делает сам RIPE, когда выделяет AS тебе, и ты не исключение:

Код: Выделить всё

aut-num:         AS51891
as-name:         GSPNET
descr:           GSP Ltd.

я забыл про объект route, его нужно тоже обязательно сделать

Т.е. можно и фулвью просить и дефолт сразу же?

можно конечно, почему бы и нет

Я просто что хочу, если будет дефолт то я так понимаю смогу с помощью PBR легко разрулить трафик

PBR и прием дефолта по BGP (да и статик дефолт) никак не связаны.
PBR как раз способ наплевать на маршруты в табле маршрутизации и насильно отправить пакет туда куда укажешь, даже если next-hop будет отличаться от дефолта в табле роутинга роутера.

Если будет оба тока фулвью я ведь уже не смогу так конкретно зарулить трафик по протоколам и портам?

Типа игровой и веб трафик пустить через одного прова у которго пинг маленький а через другого все остальное.

а) протокол BGP ничего не знает про другие протоколы и порты
б) сделать это можно PBR`ом, но это не совсем правильно, так ты лишаешся основного преимущества динамической маршрутизации - динамики
когда в зависимости от живости каналов оно само переключается с одного канала на другой, а PBR ничего не знает о состоянии каналов и доступности шлюзов.

для исходящего от тебя трафика используй local-preference, поднимая его выше на маршрутах из основного канала

Стока слов умных придется вкуривать что куда

юзай поиск, про руление трафиком в этом разделе уже много чего было сказано (ищи по словам local-preference и weight) и эти умные слова расписаны не единожды
мона ещё книжку почитать
Рекомендую книжку "Принципы маршрутизации в Internet. Самое полное описание протокола BGP 4", очень хорашая книга на начальном этапе.

Ну, понятно, примерно понял как можно сделать, придется с провами говорить.

ну ессно надо поговорить, иначе как ?

З.Ы. Что бы возникало меньше вопросов собери тестовый стенд. В чем проблема ?
Не относи все что ниже на свой счет, это так мысли в слух:
Я вообще не понимаю почему "молодежь" в последнее время все неприменно пытается вкурить и отладить на "боевой" системе
Для меня это загадка.....
Когда я начинал с этим разбираться, то я собрал тестовый стенд, сначала из двух компов, потом из трех и гонял BGP между ними, читая книжку и вкуривая что к чему на тестовом стенде и только потом, вкурив, начал настраивать "боевую" систему и схему.

[brainiac]

Если будет оба тока фулвью я ведь уже не смогу так конкретно зарулить трафик по протоколам и портам?

Типа игровой и веб трафик пустить через одного прова у которго пинг маленький а через другого все остальное.

а) протокол BGP ничего не знает про другие протоколы и порты
б) сделать это можно PBR`ом, но это не совсем правильно, так ты лишаешся основного преимущества динамической маршрутизации - динамики
когда в зависимости от живости каналов оно само переключается с одного канала на другой, а PBR ничего не знает о состоянии каналов и доступности шлюзов.

Дак я не против динамики, только она хороша когда каналы примерно равны, или ты магистрал с кучей линков, а тут же явно перекос каналов да и к тому же разное количество хопов до интересующих ресуросв с разной задержкой у аплинков..
Поэтому тут впринципе эта динамика до лампочки.

Ну, понятно, примерно понял как можно сделать, придется с провами говорить.

ну ессно надо поговорить, иначе как ?
З.Ы. Что бы возникало меньше вопросов собери тестовый стенд. В чем проблема ?
Не относи все что ниже на свой счет, это так мысли в слух:
Я вообще не понимаю почему "молодежь" в последнее время все неприменно пытается вкурить и отладить на "боевой" системе
Для меня это загадка.....
Когда я начинал с этим разбираться, то я собрал тестовый стенд, сначала из двух компов, потом из трех и гонял BGP между ними, читая книжку и вкуривая что к чему на тестовом стенде и только потом, вкурив, начал настраивать "боевую" систему и схему.

Да не на рабочей системе, я не враг себе. Поставлю сервак, подниму BGP и пущу только офиc. Естественно погуглю, да у вас тут поспрашиваю кое о чем
Как то так.

[root]

только она хороша когда каналы примерно равны, или ты магистрал с кучей линков

она хороша, когда ты дома/гуляешь/и т.п., вообщем расслабляешся по полной, а тут на работе у тя один из каналов падает, а все продолжает работать и юзера даже не замечают что что-то сломалось

Поставлю сервак, подниму BGP и пущу только офиc.

я все же рекомендую тебе погонять BGP между двумя BGP машинами, что бы ты мог видеть одновременно обе "стороны".

[brainiac]

Попробую поднять тему.
Короче с момента последнего поста очень все изменилось.
БГП я так и не решился поднимать, поскольку у нас теперь только один действующий канал, точнее один 200 мбит другой 1 мбит.
Почему так - не спрашивайте, начальство решило что так будет выгодней, причем меня поставили в известность когда все уже было решено.

Принято решение принять от каждого прова по дефолту и не париться. НО запускать надо ибо как бы не отозвали/не отобрали(возможно ли такое?) наш блок адресов. Я хз как будет дальше, но просвета не видать пока.
Кто как поступил бы в такой ситуации?

[krowel]

Тут стоит поглядеть, а что за аплинки у вас, не берут ли они трафик друг у друга...

Ну и настроил бы с ними BGP, но тот канал что в 1М, сделал бы жестко бекапным и только для управления или доступа к управлению.

[Dgoni_sp]

НО запускать надо ибо как бы не отозвали/не отобрали(возможно ли такое?) наш блок адресов. Я хз как будет дальше, но просвета не видать пока.

Можно тут более подробно, как я понял у тебя имеется блок адресов, выданных RIPE ?

НО запускать надо ибо как бы не отозвали/не отобрали(возможно ли такое?) наш блок адресов.

Что-то RIPEу задолжали =) ?

[brainiac]

Тут стоит поглядеть, а что за аплинки у вас, не берут ли они трафик друг у друга...

ттк и ростелеком, так шта...

Можно тут более подробно, как я понял у тебя имеется блок адресов, выданных RIPE ?
Что-то RIPEу задолжали =) ?

Да.
Да нет никаких задолженностей.