Переброс /32 на второй канал

Статическая и динамическая, протоколы

Re: Переброс /32 на второй канал

Сообщение root » 13 дек 2011, 08:21

dobrohost писал(а):Ну увы их топографии я не знаю

брр.... я разве не правильно понял что роутеры C и D, хосты и свич это твое хозяйство, разве нет ?

dobrohost писал(а):вот так сейчас выглядит конфиг роутера D:

скаже, а что ты хотел сказать вот этим:
dobrohost писал(а):
Код: Выделить всё
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23

а ?

так же не понимаю смысла в препенде:
dobrohost писал(а):
Код: Выделить всё
route-map DobryjHostingNetwork permit 20
match ip address prefix-list DobryjHosting-ddos-hole
set as-path prepend 200


dobrohost писал(а):исправил прописав его в конфиг зебры ip route 194.15.127.4/32 eth0

в зебре все обязательно должно быть описано, все ипы, все статик маршруты.

на хосте 194.15.127.4 есть какие то ипы помимо этого ?

dobrohost писал(а):Мне почему то казалось что quagga сама должна это сделать

"само" оно ничего не делается, все нужно делать руками, только так ты получишь сеть с пониманием того как она функционирует

dobrohost писал(а):но сути это не поменяло хост как работал на выход через первый роутер так и работает:

ну а с чего хосту 194.15.127.4 ходить по другому ? иначе чем написано у него в def gw ?
анонсируя /32 маршрут с роутера D на роутер С и B ты их просишь при получении входящего трафика для 194.15.127.4/32 передать трафик на роутер D, но это никак не повлияет на то как сам этот хост отправляет трафик.

dobrohost писал(а):и всё бы ничего если бы хост оставался доступен снаружи (бог с ним что исходящий идёт через первый роутер) задача то отправить на фильтрацию входящий трафик (он то перетекает) но вот хост становится не доступен и трасса к нему рвётся именно на роутере D

ну а что показывает tcpdump на роутере D? ты его смотрел ?

dobrohost писал(а):что бы трафик с того хоста который переведён на роутер D (в нашем примере 194.15.127.4) и шёл на роутер D

входящий извне у тя уже должен ходить через роутер D, из-за анонса /32, а вот исходящий этого хоста пустить через роутер D можно только подняв например OSPF на этом хосте, а с роутера C и роутера D анонсить дефолт с разной метрикой.

dobrohost писал(а): увы я не знаю какими средствами этого добится но мне так думалось что роутер С в состоянии как то редиректить трафик и переадресовывать его на роутер D

чтобы понять тебе нужно разобраться в процессе маршрутизации, в том что и как происходит при получении пакета роутером
а происходит следущее:
роутер получая пакет, в котором есть SRC и есть DST смотрит в свою таблицу маршрутизации на предмет того как достичь этого DST.
В твоем случае когда 194.15.127.4 отправляет пакет то SRC это он сам, а DST это хост например в Инете. Так вот с чего роутеру C пересылать такой пакет на D, если DST по его таблице маршрутизации находится не за D ? ;)

dobrohost писал(а):P.S. я повторюсь что по сути не столь важно куда пойдёт исходящий трафик (если он идёт через роутер С то главное сохранить работоспособность хоста)

так важно или нет :) ты уж определись.
если не важно как сам 194.15.127.4 ходит в инет, а важно как из инета пакет достигает 194.15.127.4, то своими действиями с анонсом /32 ты уже этого добился. Смотри почему входящий пакет застревает на D.

dobrohost писал(а):А подскажите как это сделать?

с линухом мы не дружим, на FreeBSD это делается через sysctl

dobrohost писал(а):Мне так кажется что мою проблему решит или "Умный свитч" умеющий BGP или же ещё один роутер установленый на стык между роутерами C и D и свитчем, правильно ли я предпологаю?

нет

dobrohost писал(а):следующий вопрос такого плана реально ли будет подружить Роутеры C и D с этим свитчем с целью управления исходящим трафиком?

прочти то что я написал выше про то, как происходит процесс маршрутизации

dobrohost писал(а):Сразу оговорюсь по поводу девайса Cisco С3570 , да он умеет BGP но увы для моих масштабов он дорог

всегда можно купить Б/У железку

dobrohost писал(а):Вот появилась возможность завладеть железкой аля Cisco WS-C3550-48-EMI

ну и нафиг тебе 100-мбитный свич ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Переброс /32 на второй канал

Сообщение dobrohost » 13 дек 2011, 12:14

root писал(а):брр.... я разве не правильно понял что роутеры C и D, хосты и свич это твое хозяйство, разве нет ?

Это то моё))) но вопрос был о том к чему я подключаюсь этими роутерами (вот этого я не знаю) имеется ввиду я не знаю что за устройство на втором конце моих подключений.
root писал(а):
dobrohost писал(а):вот так сейчас выглядит конфиг роутера D:

скаже, а что ты хотел сказать вот этим:
dobrohost писал(а):
Код: Выделить всё
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23

а ?


Этим я ограничил приём от роутера С анонс сетей (разрешив принять только префиксы /24 и /23 исключив дефаулт)
root писал(а):так же не понимаю смысла в препенде:
dobrohost писал(а):
Код: Выделить всё
route-map DobryjHostingNetwork permit 20
match ip address prefix-list DobryjHosting-ddos-hole
set as-path prepend 200



Данный препенд попросил ставить провайдер на 32 анонсы (было предложено или препенд или же коммунити)
root писал(а):в зебре все обязательно должно быть описано, все ипы, все статик маршруты.

на хосте 194.15.127.4 есть какие то ипы помимо этого ?
нет только он один.

root писал(а):ну а с чего хосту 194.15.127.4 ходить по другому ? иначе чем написано у него в def gw ?
анонсируя /32 маршрут с роутера D на роутер С и B ты их просишь при получении входящего трафика для 194.15.127.4/32 передать трафик на роутер D, но это никак не повлияет на то как сам этот хост отправляет трафик.

root писал(а):ну а что показывает tcpdump на роутере D? ты его смотрел ?


Для чистоты эксперемента создал ВДС тестовый с адресом 194.15.127.53 (шлюз 194.15.127.1) отправил его на фильтрацию (анонсировал на роутере D)
пытаюсь соединится по ssh

Роутер D входящий от провайдера интерфейс:
Код: Выделить всё
[root@gw2 ~]# tcpdump -n -nn -ttt -i eth1 "host 194.15.127.53"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5044 > 194.15.127.53.22: S 2173104073:2173104073(0) win 8192 <mss 1452,nop,nop,sackOK>
2. 892582 IP 31.23.172.6.5044 > 194.15.127.53.22: S 2173104073:2173104073(0) win 8192 <mss 1452,nop,nop,sackOK>
5. 993880 IP 31.23.172.6.5044 > 194.15.127.53.22: S 2173104073:2173104073(0) win 8192 <mss 1452,nop,nop,sackOK>
5. 375633 IP 112.216.12.244.1146 > 194.15.127.53.445: S 2077086102:2077086102(0) win 16384 <mss 1460,nop,nop,sackOK>
2. 953140 IP 112.216.12.244.1146 > 194.15.127.53.445: S 2077086102:2077086102(0) win 16384 <mss 1460,nop,nop,sackOK>


Роутер D локальный интерфейс:
Код: Выделить всё
[root@gw2 ~]# tcpdump -n -nn -ttt -i eth0 "host 194.15.127.53"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5154 > 194.15.127.53.22: S 954829244:954829244(0) win 8192 <mss 1452,nop,nop,sackOK>
3. 008493 IP 31.23.172.6.5154 > 194.15.127.53.22: S 954829244:954829244(0) win 8192 <mss 1452,nop,nop,sackOK>
1. 990578 arp who-has 194.15.127.53 tell 194.15.127.40
000247 arp reply 194.15.127.53 is-at aa:00:f6:f4:06:01
2. 997782 arp reply 194.15.127.1 is-at 00:1d:7d:d2:d7:93
1. 009800 IP 31.23.172.6.5154 > 194.15.127.53.22: S 954829244:954829244(0) win 8192 <mss 1452,nop,nop,sackOK>


Роутер С локальный интерфейс:
Код: Выделить всё
[root@gw ~]# tcpdump -n -nn -ttt -i eth1 "host 194.15.127.53"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5214 > 194.15.127.53.22: S 1439152614:1439152614(0) win 8192 <mss 1452,nop,nop,sackOK>
000717 arp who-has 194.15.127.1 tell 194.15.127.53
000015 arp reply 194.15.127.1 is-at 00:1d:7d:d2:d7:93
000331 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
2. 998978 IP 31.23.172.6.5214 > 194.15.127.53.22: S 1439152614:1439152614(0) win 8192 <mss 1452,nop,nop,sackOK>
000280 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
304501 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
4. 695239 arp who-has 194.15.127.53 tell 194.15.127.40
1. 001359 IP 31.23.172.6.5214 > 194.15.127.53.22: S 1439152614:1439152614(0) win 8192 <mss 1452,nop,nop,sackOK>
009732 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
293951 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
12. 008501 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
6. 993516 IP 188.173.15.181.2494 > 194.15.127.53.445: S 3617294984:3617294984(0) win 65535 <mss 1460,nop,nop,sackOK>
000164 IP 194.15.127.53.445 > 188.173.15.181.2494: R 0:0(0) ack 3617294985 win 0
2. 965529 IP 188.173.15.181.2494 > 194.15.127.53.445: S 3617294984:3617294984(0) win 65535 <mss 1460,nop,nop,sackOK>
000147 IP 194.15.127.53.445 > 188.173.15.181.2494: R 0:0(0) ack 1 win 0


На внешнем интерфейсе роутера С пакетов от или к этому адресу не наблюдается

а вот вывод tcpdumpa на самом хосте 194.15.127.53

Код: Выделить всё
sh-3.2# tcpdump -n -nn -ttt -i eth0 "host 194.15.127.53"
device eth0 entered promiscuous mode
type=1700 audit(1323769113.399:2): dev=eth0 prom=256 old_prom=0 auid=4294967295 ses=4294967295
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5625 > 194.15.127.53.22: S 399176828:399176828(0) win 8192 <mss 1452,nop,nop,sackOK>
000226 arp who-has 194.15.127.1 tell 194.15.127.53
000475 arp reply 194.15.127.1 is-at 00:1d:7d:d2:d7:93
000009 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
2. 993938 IP 31.23.172.6.5625 > 194.15.127.53.22: S 399176828:399176828(0) win 8192 <mss 1452,nop,nop,sackOK>
000030 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
001731 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
4. 997858 arp who-has 194.15.127.53 tell 194.15.127.40
000031 arp reply 194.15.127.53 is-at aa:00:f6:f4:06:01
999044 IP 31.23.172.6.5625 > 194.15.127.53.22: S 399176828:399176828(0) win 8192 <mss 1452,nop,nop,sackOK>
000029 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
003414 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
12. 000766 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>


Видно что запросы к хосту приходят только вот что то я не понимаю куда они уходят (раз на выходе из роутера С в сеть пакеты не проходят)

root писал(а):
dobrohost писал(а):что бы трафик с того хоста который переведён на роутер D (в нашем примере 194.15.127.4) и шёл на роутер D

входящий извне у тя уже должен ходить через роутер D, из-за анонса /32, а вот исходящий этого хоста пустить через роутер D можно только подняв например OSPF на этом хосте, а с роутера C и роутера D анонсить дефолт с разной метрикой.


Проблемно это, машинок сейчас много , но ведь того же результата можно добится работая по OPSF с управляемым свитчем?

root писал(а):чтобы понять тебе нужно разобраться в процессе маршрутизации, в том что и как происходит при получении пакета роутером
а происходит следущее:
роутер получая пакет, в котором есть SRC и есть DST смотрит в свою таблицу маршрутизации на предмет того как достичь этого DST.
В твоем случае когда 194.15.127.4 отправляет пакет то SRC это он сам, а DST это хост например в Инете. Так вот с чего роутеру C пересылать такой пакет на D, если DST по его таблице маршрутизации находится не за D ? ;)


Это я уже понял, спасибо)))

root писал(а):
dobrohost писал(а):Вот появилась возможность завладеть железкой аля Cisco WS-C3550-48-EMI

ну и нафиг тебе 100-мбитный свич ?


Ну для начала оба включения идущих ко мне как раз таки 100 мегабитные (пока что) но явные приимущества 3750 против 3550 при детальном изучении я всё же увидел

хотя разница в цене существенна(((
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение dobrohost » 13 дек 2011, 13:34

А разве 3550 по входу не гигабитка? помоему два гигабитных порта, а выдавать клиентам я больше не намереваюсь, может всё же можно и этот дивайс использовать?
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение dobrohost » 13 дек 2011, 14:41

С проблемой не работоспособности после переброса на второй роутер разобрался, на роутере С было правило фильтрующее пакеты со статусом INVALID а так как от внешней машины ответов сюда не приходило то фаервол банил исходящий трафик от этого хоста.

Но всё же для правильности работы внутреней сети думаю всё таки заменить свой (а точнее арендованый) 8 портовый свитч на L3 24-48 портовый свитч (желательно всё же серии 3550) для внутренних нужд его же хватит? (ну и в том же числе для управлением исходящим трафиком)?
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение root » 16 дек 2011, 10:40

dobrohost писал(а):на роутере С было правило фильтрующее пакеты

ну вот, а ларчик то просто открывался :) запомни tcpdump твой друг ;)

dobrohost писал(а): для внутренних нужд его же хватит?

мы не можем ответить на подобный вопрос, как минимум в виду того что не знаем твоих нужд и кол-во трафика

dobrohost писал(а):ну и в том же числе для управлением исходящим трафиком

он поможет решить задачу что при падении одного роутера, например С, весь трафик отправить на D.

dobrohost писал(а):А разве 3550 по входу не гигабитка? помоему два гигабитных порта

3550 уже давно пережиток прошлого, дело конечно твое, но нам кажется что не стоит его покупать, т.к. потом все равно его апгрейдить придется, т.к. трафик всегда только растет, а не уменьшается
так же у него медленая матрица коммутации и т.п.

dobrohost писал(а):а выдавать клиентам я больше не намереваюсь

это сейчас, а завтра ? а после завтра ? а через неделю/месяц ? подумай об этом
ИМХО. лучше затянуть поясок, но сразу купить вещь, чем потом менять её каждый раз

dobrohost писал(а): но вопрос был о том к чему я подключаюсь этими роутерами (вот этого я не знаю)

нет, был вопрос кто у компов является def GW

dobrohost писал(а):Этим я ограничил приём от роутера С анонс сетей (разрешив принять только префиксы /24 и /23 исключив дефаулт)

а какой в этом смысл ? в чем задумка ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Переброс /32 на второй канал

Сообщение dobrohost » 16 дек 2011, 11:14

root писал(а):
dobrohost писал(а): для внутренних нужд его же хватит?

мы не можем ответить на подобный вопрос, как минимум в виду того что не знаем твоих нужд и кол-во трафика

Данный свитч будет обслуживать максимум одну стойку серверов (максимум 39 серверов) оставшиеся три юнита займёт он сам и два PC роутера , трафик думаю на максимуме будет достигать 60-80 мб./сек
root писал(а):
dobrohost писал(а):А разве 3550 по входу не гигабитка? помоему два гигабитных порта

3550 уже давно пережиток прошлого, дело конечно твое, но нам кажется что не стоит его покупать, т.к. потом все равно его апгрейдить придется, т.к. трафик всегда только растет, а не уменьшается
так же у него медленая матрица коммутации и т.п.

какой по Вашему мнению лучше дивайс для заявленных выше требований?
3750 - как по вашему мнению, лучше подойдёт в моём варианте?
Может есть какие другие (не Cisco) дивайсы которые будут стоить чуть дешевле но при этом вполне уверенно себя зарекомендовавшие?
root писал(а):
dobrohost писал(а):а выдавать клиентам я больше не намереваюсь

это сейчас, а завтра ? а после завтра ? а через неделю/месяц ? подумай об этом
ИМХО. лучше затянуть поясок, но сразу купить вещь, чем потом менять её каждый раз


Тут конечно Вы правы, но не стоит забывать что я представляю всего лиш хостинг компанию, и допустить вариант что ДЦ мне выдаст ёмкости более 1ГБ для организации собтвенной сетевой инфраструктуры как то не получается (хотя деньги решают всё, ну зачем устраивать ДЦ в ДЦ))), да и глупо это , основной трафик должен пережёвывать ДЦ своими силами , и если у меня будет появляться клиент способный оплатить гарантированный выделеный гигабит , то по моему значительно проще протянуть ему линк напрямую от коммутатора ДЦ чем вмешивать туда свои железки.
root писал(а):
dobrohost писал(а): но вопрос был о том к чему я подключаюсь этими роутерами (вот этого я не знаю)

нет, был вопрос кто у компов является def GW

Роутер С
root писал(а):
dobrohost писал(а):Этим я ограничил приём от роутера С анонс сетей (разрешив принять только префиксы /24 и /23 исключив дефаулт)

а какой в этом смысл ? в чем задумка ?

Если честно это я доставал ноковцев своего ДЦ с той же проблемой что и Вас, ну вот они мне и обозначили что бы я по iBGP обменивался только анонсируемыми сетями а дефолты принимал только от них(от ДЦ).
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение root » 21 дек 2011, 13:36

dobrohost писал(а):Данный свитч будет обслуживать максимум....достигать 60-80 мб./сек

ну 3550 конечно на сейчас хватит, но я бы все равно подумал о будущем.

dobrohost писал(а):Может есть какие другие (не Cisco) дивайсы которые будут стоить чуть дешевле но при этом вполне уверенно себя зарекомендовавшие?

Свичи Juniper (линейка EX) так же хороши.

dobrohost писал(а):ну вот они мне и обозначили что бы я по iBGP обменивался только анонсируемыми сетями а дефолты принимал только от них(от ДЦ).

все равно не понимаю задумки, т.к. получается что кроме твоих префиксов под эту маску ничего и не попадет, а на обоих твоих роутерах они объявлены в network.
есть смысл "кидаться" большими масками по iBGP, такими как твой /32.
и я бы не строил так маршрутные карты, я предпочитаю явное указание того что надо получать или не получать
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20

cron