Переброс /32 на второй канал

Статическая и динамическая, протоколы

Переброс /32 на второй канал

Сообщение dobrohost » 05 дек 2011, 22:15

Здравствуйте Уважаемые.

Есть вот такая сеть:

netdiag1.png


Роутер С - это основной шлюз
Роутер D - резерв (на случай работ на первом) и он же пакетный фильтр для очистки трафика (DDos)

Задача состоит в том что бы анонс /32 префикса на роутере D переводил трафик этого адреса на себя, и по сути с входящим трафиком это работает на ура, а вот исходящий (что я только не делал) усердно ломится на роутер C

Сначало покажу конфиги роутеров

Роутер С (линк в сторону провайдера):
Код: Выделить всё
eth0      Link encap:Ethernet  HWaddr 00:19:5B:83:C7:5F
          inet addr:62.149.4.62  Bcast:62.149.4.63  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:537558693 errors:0 dropped:0 overruns:0 frame:0
          TX packets:647891043 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:108475311048 (101.0 GiB)  TX bytes:477437422640 (444.6 GiB)
          Interrupt:217 Base address:0x8000

Роутер С (линк в локалку):
Код: Выделить всё
eth1      Link encap:Ethernet  HWaddr 00:1D:7D:D2:D7:93
          inet addr:178.170.233.1  Bcast:178.170.233.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:649361326 errors:0 dropped:0 overruns:0 frame:0
          TX packets:538445833 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:477914213220 (445.0 GiB)  TX bytes:106954010422 (99.6 GiB)
          Interrupt:233 Base address:0x6000

eth1:1    Link encap:Ethernet  HWaddr 00:1D:7D:D2:D7:93
          inet addr:194.15.126.1  Bcast:194.15.126.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:233 Base address:0x6000

eth1:2    Link encap:Ethernet  HWaddr 00:1D:7D:D2:D7:93
          inet addr:194.15.127.1  Bcast:194.15.127.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:233 Base address:0x6000


Роутер С (BGP):
Код: Выделить всё
router bgp 200
bgp router-id 62.149.4.62
!
network 178.170.233.0/24
network 194.15.126.0/23
!
neighbor 62.149.4.61 remote-as 100
neighbor 62.149.4.61 soft-reconfiguration inbound
neighbor 62.149.4.61 description ColoCall
neighbor 62.149.4.61 route-map DobryjHosting-Network out
neighbor 62.149.4.61 route-map DobryjHosting-Network-in in
!
neighbor 194.15.127.40 remote-as 200
neighbor 194.15.127.40 soft-reconfiguration inbound
neighbor 194.15.127.40 next-hop-self
neighbor 194.15.127.40 description DobryjHosting-gw-2
!neighbor 194.15.127.40 route-map DobryjHosting-gw-2-in in
!
access-list 1 remark Localhost only
access-list 1 permit 127.0.0.1
!
ip prefix-list DobryjHosting-AllNets permit 178.170.233.0/24
ip prefix-list DobryjHosting-AllNets permit 194.15.126.0/23
!
!ip prefix-list DobryjHosting-gw-2-in deny 0.0.0.0/32
!
route-map DobryjHosting-Network permit 10
match ip address prefix-list DobryjHosting-AllNets
!
route-map DobryjHosting-Network-in permit 10
!set local-preference 50
!
!route-map DobryjHosting-gw-2-in deny 10
!match ip address prefix-list DobryjHosting-gw-2-in
!
line vty
access-class 1
!


Роутер D(линк в сторону провайдера):
Код: Выделить всё
eth1      Link encap:Ethernet  HWaddr 00:21:91:D6:DA:A8
          inet addr:62.149.4.50  Bcast:62.149.4.51  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:206307 errors:0 dropped:0 overruns:0 frame:0
          TX packets:210458 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:44776342 (42.7 MiB)  TX bytes:32635562 (31.1 MiB)
          Interrupt:58 Base address:0x6000



Роутер D(линк в локалку):

Код: Выделить всё
eth0      Link encap:Ethernet  HWaddr 00:1C:C0:64:CB:03
          inet addr:194.15.127.40  Bcast:194.15.127.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1876756 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8874 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:113079213 (107.8 MiB)  TX bytes:1382065 (1.3 MiB)
          Interrupt:50 Base address:0x4000


Роутер D (BGPD):

Код: Выделить всё
router bgp 200
bgp router-id 62.149.4.50
!
network 178.170.233.0/24
network 194.15.126.0/23
!
network 194.15.127.4/32
!

!
neighbor 62.149.4.49 remote-as 100
neighbor 62.149.4.49 soft-reconfiguration inbound
neighbor 62.149.4.49 description ColoCall
neighbor 62.149.4.49 route-map DobryjHostingNetwork out
neighbor 62.149.4.49 route-map DobryjHosting-ddos-hole out
!
neighbor 194.15.127.1 remote-as 200
neighbor 194.15.127.1 soft-reconfiguration inbound
neighbor 194.15.127.1 next-hop-self
neighbor 194.15.127.1 description DobryjHosting-gw-1
neighbor 194.15.127.1 route-map DobryjHosting-gw-1-in in
neighbor 194.15.127.1 route-map DobryjHosting-ddos-hole-for-gw-1 out
!
access-list 1 remark Localhost only
access-list 1 permit 127.0.0.1
!
ip prefix-list DobryjHostingNetwork permit 178.170.233.0/24
ip prefix-list DobryjHostingNetwork permit 194.15.126.0/23
!
ip prefix-list DobryjHosting-ddos-hole permit 194.15.127.4/32
!
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23
!
route-map DobryjHostingNetwork permit 10
match ip address prefix-list DobryjHostingNetwork
!
route-map DobryjHosting-ddos-hole permit 10
match ip address prefix-list DobryjHosting-ddos-hole
set as-path prepend 200
set weight 2000
set local-preference 200
!
route-map DobryjHosting-ddos-hole-for-gw-1 permit 10
match ip address prefix-list DobryjHosting-ddos-hole
!
route-map DobryjHosting-gw-1-in permit 10
match ip address prefix-list DobryjHosting-gw-1-in
!
line vty
access-class 1
!


Теперь продемонстрирую состояние сессий в обычном режиме и в режиме фильтрации

Роутер С (рабочий режим):

Код: Выделить всё
gw1.dobrohost.net# sh ip bgp
BGP table version is 0, local router ID is 62.149.4.62
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          62.149.4.61              0             0      100 i
*> 178.170.233.0/24 0.0.0.0                  0         32768 i
*> 194.15.126.0/23  0.0.0.0                  0         32768 i

Total number of prefixes 3
gw1.dobrohost.net#



Код: Выделить всё
[root@gw ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
62.149.4.60     0.0.0.0         255.255.255.252 U         0 0          0 eth0
178.170.233.0   0.0.0.0         255.255.255.0   U         0 0          0 eth1
194.15.126.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1
194.15.127.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         62.149.4.61     0.0.0.0         UG        0 0          0 eth0
[root@gw ~]#



Роутер D (рабочий режим):

Код: Выделить всё
gw2.dobrohost.net# sh ip bgp
BGP table version is 0, local router ID is 62.149.4.50
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          62.149.4.49              0             0     100 i
*> 178.170.233.0/24 0.0.0.0                  0         32768 i
*> 194.15.126.0/23  0.0.0.0                  0         32768 i

Total number of prefixes 3
gw2.dobrohost.net#


Код: Выделить всё
[root@gw2 ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
62.149.4.48     0.0.0.0         255.255.255.252 U         0 0          0 eth1
194.15.127.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         62.149.4.49     0.0.0.0         UG        0 0          0 eth1
[root@gw2 ~]#

а теперь смотрим состояние при включении режима фильтрации

Роутер С (режим фильтрации):
Код: Выделить всё
gw1.dobrohost.net# sh ip bgp
BGP table version is 0, local router ID is 62.149.4.62
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          62.149.4.61              0             0      100 i
*> 178.170.233.0/24 0.0.0.0                  0         32768 i
*> 194.15.126.0/23  0.0.0.0                  0         32768 i
*>i194.15.127.4/32  194.15.127.40            0    100      0 i

Total number of prefixes 4
gw1.dobrohost.net#

Код: Выделить всё
[root@gw ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
194.15.127.4    194.15.127.40   255.255.255.255 UGH       0 0          0 eth1
62.149.4.60     0.0.0.0         255.255.255.252 U         0 0          0 eth0
178.170.233.0   0.0.0.0         255.255.255.0   U         0 0          0 eth1
194.15.126.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1
194.15.127.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         62.149.4.61     0.0.0.0         UG        0 0          0 eth0
[root@gw ~]#


Роутер D (режим фильтрации):
Код: Выделить всё
gw2.dobrohost.net# sh ip bgp
BGP table version is 0, local router ID is 62.149.4.50
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          62.149.4.49              0             0     100 i
*> 178.170.233.0/24 0.0.0.0                  0         32768 i
*> 194.15.126.0/23  0.0.0.0                  0         32768 i
*> 194.15.127.4/32  0.0.0.0                  0         32768 i

Total number of prefixes 4
gw2.dobrohost.net#


Код: Выделить всё
[root@gw2 ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
62.149.4.48     0.0.0.0         255.255.255.252 U         0 0          0 eth1
194.15.127.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         62.149.4.49     0.0.0.0         UG        0 0          0 eth1
[root@gw2 ~]#


Напоследок пытаюсь пингонуть фильтрованный хост из локалки:

Код: Выделить всё
nagios:~# ping -c5 194.15.127.4
PING 194.15.127.4 (194.15.127.4) 56(84) bytes of data.
64 bytes from 194.15.127.4: icmp_seq=1 ttl=64 time=3.78 ms
From 178.170.233.1: icmp_seq=2 Redirect Host(New nexthop: 194.15.127.40)
64 bytes from 194.15.127.4: icmp_seq=2 ttl=64 time=1.08 ms
From 178.170.233.1: icmp_seq=3 Redirect Host(New nexthop: 194.15.127.40)
64 bytes from 194.15.127.4: icmp_seq=3 ttl=64 time=1.19 ms
64 bytes from 194.15.127.4: icmp_seq=4 ttl=64 time=0.777 ms
64 bytes from 194.15.127.4: icmp_seq=5 ttl=64 time=0.494 ms

--- 194.15.127.4 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.494/1.467/3.786/1.185 ms
nagios:~#


Вобщем то такой вот грустный расклад получается и третьи сутки я с ним ничего не могу сделать, перепробовал уже практически всё что у Вас тут нашёл(((

Прошу помощи.
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение root » 06 дек 2011, 21:52

привет

прости, но на сегодня у меня башка уже не варит на подобные вопросы, у самого сейчас по работе заморочек вагон.
попробую завтра с утра, если получится по времени, вникнуть в твой вопрос и сказать что нить.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Переброс /32 на второй канал

Сообщение dobrohost » 06 дек 2011, 22:03

Окей, спасибо буду ждать :)
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение root » 08 дек 2011, 10:31

Вчера не вышло, попробую вникнуть сегодня.
Итак вопросы:
1. А что за железка куда воткнуты PC`шки ? Это просто свич ? L3 свич ?
2. Что для PC`шек является def gw ?
3.
dobrohost писал(а):Задача состоит в том что бы анонс /32 префикса на роутере D переводил трафик этого адреса на себя

анонс куда ? апстриму ? соседу ?
сомневаюсь что апстрим пропустит анонс /32 маршрута через свои фильтры.
сейчас по конфигу роутера D можно судить что анонс /32 идет в обе стороны.
4. На роутере D у нейбора 62.149.4.49 написаны две route-map и обе на out. Это ошибка копипаста в форум лили это действительно так ? Маршрутная карта должна быть одна.
5. В роутмапе DobryjHosting-ddos-hole выставляется weight и local-preference, но это бесполезно, т.к. weight и loc-pref действует только "внутри" твоего роутера и eBGP пиру не передается, для eBGP передается только med атрибут, который он может и не обрабатывать, все зависит от того как настроен роутер апстрима.
Атрибут local-preference передается только между роутерами одной автономной системы (iBGP пирам), атрибут weight действует только в пределах роутера, на котором он установлен.
IP Routing :: BGP Case Studies
The weight attribute is a Cisco-defined attribute. This attribute uses weight to select a best path. The weight is assigned locally to the router. The value only makes sense to the specific router. The value is not propagated or carried through any of the route updates.

Unlike the weight attribute, which is only relevant to the local router, local preference is an attribute that routers exchange in the same AS.

6. По приведенным тобой конфигам и таблам роутинга роутера D, я так и не нашел где живет 194.15.127.4. Либо ты что то не докопипастил, либо я уже ничего не понимаю. BGP не будет анонсировать маршрут, если роутер сам не знает где он находится. При этом по выводу sh ip bgp он есть, а при netstat -rn его нет. Это как так ? :)
7.
dobrohost писал(а):Напоследок пытаюсь пингонуть фильтрованный хост из локалки:

Пингануть откуда ? SRC какой ? Дай трассу.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Переброс /32 на второй канал

Сообщение dobrohost » 08 дек 2011, 13:56

root писал(а):1. А что за железка куда воткнуты PC`шки ? Это просто свич ? L3 свич ?

обычный свитч
2. Что для PC`шек является def gw ?

Соответствующий вышестоящий роутер провайдера
анонс куда ? апстриму ? соседу ?
сомневаюсь что апстрим пропустит анонс /32 маршрута через свои фильтры.
сейчас по конфигу роутера D можно судить что анонс /32 идет в обе стороны.

и апстриму и соседу, апстрим принимает до 20 таких маршрутов , но выше себя он их не пропускает, и именно анонс апстриму работает нормально, входящий трафик перелетает
4. На роутере D у нейбора 62.149.4.49 написаны две route-map и обе на out. Это ошибка копипаста в форум лили это действительно так ? Маршрутная карта должна быть одна.

ммм(( да две, но я не знаю как по другому установить для передаваемого ему маршруту (только /32 му) set as-path prepend 200
хотя в одну карты можна же разные списки префиксов засунуть))) исправлюсь)
5. В роутмапе DobryjHosting-ddos-hole выставляется weight и local-preference, но это бесполезно, т.к. weight и loc-pref действует только "внутри" твоего роутера и eBGP пиру не передается, для eBGP передается только med атрибут, который он может и не обрабатывать, все зависит от того как настроен роутер апстрима.

это я уже понял, просто забыл убрать хлам этот
Атрибут local-preference передается только между роутерами одной автономной системы (iBGP пирам), атрибут weight действует только в пределах роутера, на котором он установлен.
IP Routing :: BGP Case Studies
The weight attribute is a Cisco-defined attribute. This attribute uses weight to select a best path. The weight is assigned locally to the router. The value only makes sense to the specific router. The value is not propagated or carried through any of the route updates.

Unlike the weight attribute, which is only relevant to the local router, local preference is an attribute that routers exchange in the same AS.

6. По приведенным тобой конфигам и таблам роутинга роутера D, я так и не нашел где живет 194.15.127.4. Либо ты что то не докопипастил, либо я уже ничего не понимаю. BGP не будет анонсировать маршрут, если роутер сам не знает где он находится. При этом по выводу sh ip bgp он есть, а при netstat -rn его нет. Это как так ? :)

ну анонсирую я его с роутера D (или как понять где он живёт?) по сути это же один адрес из сети 194.15.126.0/23 которая прописана на роутере C , а то что в карте не появляется это да (там висит только полная сеть 194.15.127.0/24 на ифасе eth0)
7.
dobrohost писал(а):Напоследок пытаюсь пингонуть фильтрованный хост из локалки:

Пингануть откуда ? SRC какой ? Дай трассу.

я пинговал с сервера клиента находящегося за свитчем 178.170.233.96 (шлюз у него прописан 178.170.233.1)


За допущенные косяки))) прошу не пинать, со всем этим сталкиваюсь в принципе впервые, и немного проясню ситуацию

Провайдер это Дата центр, клиенты после свитча это ВДС сервера и выделенные сервера, все они расположены в сетях 178.170.233.0/24 (шлюз 178.170.233.1) 194.15.126.0/24 (шлюз 194.15.126.1) и 194.15.127.0/24 (шлюз 194.15.127.1) на любом фильтруемом (то есть том что должен пройти через роутер D) адресе шлюзом прописан наименьший адрес его сети в том числе и на том апи что в примере показан 194.15.127.4 (шлюз 194.15.127.1)

все эти шлюзы прописаны на роутере С (а на роутере D прописан адрес 194.15.127.40 (позже будут и адреса из других сетей) именно этот адрес должен стать шлюзом для фильтруемого адреса) и если я на машинке 194.15.127.4 прописываю шлюзом именно 194.15.127.40 то всё работает и трафик идёт через роутер D, но нужно что бы это происходило автоматически(((

И сейчас после всех моих (горе настроек) появился неприятный казус в локалке из сети 178.170.233.0/24 не пингуются адреса из сетей 194.15.127.0/24 и 194.15.126.0/24 только шлюзы((((
Последний раз редактировалось dobrohost 08 дек 2011, 15:17, всего редактировалось 1 раз.
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение dobrohost » 08 дек 2011, 15:09

P.S. Причём проблемы в локалке временные то есть то нету((( сейчас вот попробовал всё нормально пингуется, но временами проскакивает вот такое

Код: Выделить всё
-bash-3.2# ping -c5 194.15.127.45
PING 194.15.127.45 (194.15.127.45) 56(84) bytes of data.
64 bytes from 194.15.127.45: icmp_seq=1 ttl=63 time=0.445 ms
64 bytes from 194.15.127.45: icmp_seq=2 ttl=63 time=0.532 ms
64 bytes from 194.15.127.45: icmp_seq=3 ttl=64 time=0.547 ms
From 194.15.126.1: icmp_seq=4 Redirect Host(New nexthop: 194.15.127.45)
64 bytes from 194.15.127.45: icmp_seq=4 ttl=64 time=0.441 ms
64 bytes from 194.15.127.45: icmp_seq=5 ttl=64 time=0.412 ms

--- 194.15.127.45 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.412/0.475/0.547/0.057 ms
-bash-3.2#



это пинг с хоста 178.170.233.50 (шлюзом у него прописан 178.170.233.1)
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение root » 09 дек 2011, 08:30

dobrohost писал(а):Соответствующий вышестоящий роутер провайдера

это как это ? такого быть не может. у них или роутер C или роутер D должен выступать шлюзом.

dobrohost писал(а):апстрим принимает до 20 таких маршрутов , но выше себя он их не пропускает

а, ну если ты договорился с апстримом, то тогда понятно.

dobrohost писал(а):ммм(( да две, но я не знаю как по другому установить для передаваемого ему маршруту (только /32 му) set as-path prepend 200

все делается в одной роутмапе
Route map entries are read in order. You can identify the order using the sequence_number option
route-map name {permit | deny} [sequence_number]

соответственно:
Код: Выделить всё
route-map test deny 10
 match ....
 set ....
route-map test permit 20
 match ....
route-map test permit 30
 match ....
 set ....


dobrohost писал(а):просто забыл убрать хлам этот

убери, он точно не нужен, все лишнее в топку

dobrohost писал(а):ну анонсирую я его с роутера D (или как понять где он живёт?)

"живет" - прописан на сетевом интерфейсе. Он же должен принадлежать какому то хосту. Так вот где он ?

dobrohost писал(а):по сути это же один адрес из сети 194.15.126.0/23 которая прописана на роутере C

и что с этого ? Маска то у него more specific.

dobrohost писал(а): а то что в карте не появляется это да (там висит только полная сеть 194.15.127.0/24 на ифасе eth0)

опять же, /24, это не /32, одно из правил протокола BGP: не анонсировать маршруты, которых нет в таблице маршрутизации, т.е. тех которых о не знает.
И честно сказать я пока удивлен какого черта он у тя вообще анонсит этот маршрут, если он сам не знает где этот хост. Либо ты все же что то недообъяснял, либо я пока не могу сообразить, т.к. всегда сложно "лечить по фотографии" :).
Покажи на роутере D вывод команд:
Код: Выделить всё
route -n get 194.15.127.4

Код: Выделить всё
arp -n 194.15.127.4


dobrohost писал(а):я пинговал с сервера клиента находящегося за свитчем 178.170.233.96 (шлюз у него прописан 178.170.233.1)

эмм и где этот свич ? что то я не наблюдаю его на схеме.
так если там шлюз 178.170.233.1, то ясно что исходящий трафик пойдет в первую очередь на роутер С. А ты как хочешь ? Чтобы на роутер D шел ?

dobrohost писал(а):Провайдер это Дата центр, клиенты после свитча это ВДС сервера и выделенные сервера

это я уже сообразил :)

dobrohost писал(а):все эти шлюзы прописаны на роутере С (а на роутере D прописан адрес 194.15.127.40 (позже будут и адреса из других сетей) именно этот адрес должен стать шлюзом для фильтруемого адреса) и если я на машинке 194.15.127.4 прописываю шлюзом именно 194.15.127.40 то всё работает и трафик идёт через роутер D, но нужно что бы это происходило автоматически(((

ну ессно, что если ты пишешь шлюзом роутер С, то трафик идет на роутер С.
а вот теперь давай разберемся, что именно должно быть автоматически ? Меняться def gw у хоста ?

dobrohost писал(а):И сейчас после всех моих (горе настроек) появился неприятный казус в локалке из сети 178.170.233.0/24 не пингуются адреса из сетей 194.15.127.0/24 и 194.15.126.0/24 только шлюзы((((

смотри трассу и tcpdump

dobrohost писал(а):сейчас вот попробовал всё нормально пингуется, но временами проскакивает вот такое

а что тебя смущает ? Redirect Host ? Отруби на роутере С вывод сообщений о редиректах.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Переброс /32 на второй канал

Сообщение dobrohost » 09 дек 2011, 12:49

root писал(а):это как это ? такого быть не может. у них или роутер C или роутер D должен выступать шлюзом.

Ну увы их топографии я не знаю и устройства с которым строю взаимодействие тоже не знаю, но трассировка к любому моему хосту с наружи выглядет так:
Код: Выделить всё
Трассировка маршрута до 178.170.233.50 завершена!

1 62.152.63.129 (62.152.63.129) 0.587 ms 0.311 ms 0.271 ms
2 te4-3-11-alpha.msk.citytelecom.ru (217.65.1.245) 152.848 ms 20.188 ms 230.965 ms
3 te2-4-23-alpha.ua.citytelecom.ru (217.65.1.242) 19.804 ms 19.792 ms 19.762 ms
4 31.28.1.246 (31.28.1.246) 19.845 ms 19.798 ms 19.749 ms
5 gw.itsystems-ua.ll.colocall.com (62.149.20.65) 19.917 ms 19.874 ms 19.940 ms
6 athena.colocall.net (62.149.2.108) 20.207 ms 20.023 ms 19.965 ms
7 gw1.dobrohost.net (62.149.4.62) 20.061 ms 20.030 ms 20.052 ms
8 dobryjhosting.ru (178.170.233.50) 20.180 ms 24.107 ms 20.173 ms


root писал(а):убери, он точно не нужен, все лишнее в топку

Убрал, вот так сейчас выглядит конфиг роутера D:
Код: Выделить всё
router bgp 200
bgp router-id 62.149.4.50
!
network 178.170.233.0/24
network 194.15.126.0/23
!
network 194.15.127.4/32
!

!
neighbor 62.149.4.49 remote-as 100
neighbor 62.149.4.49 soft-reconfiguration inbound
neighbor 62.149.4.49 description ColoCall
neighbor 62.149.4.49 route-map DobryjHostingNetwork out
!
neighbor 194.15.127.1 remote-as 200
neighbor 194.15.127.1 soft-reconfiguration inbound
neighbor 194.15.127.1 next-hop-self
neighbor 194.15.127.1 description DobryjHosting-gw-1
neighbor 194.15.127.1 route-map DobryjHosting-gw-1-in in
neighbor 194.15.127.1 route-map DobryjHostingNetwork-for-gw-1 out
!
access-list 1 remark Localhost only
access-list 1 permit 127.0.0.1
!
ip prefix-list DobryjHostingNetwork permit 178.170.233.0/24
ip prefix-list DobryjHostingNetwork permit 194.15.126.0/23
!
ip prefix-list DobryjHosting-ddos-hole permit 194.15.127.4/32
!
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23
!
route-map DobryjHostingNetwork permit 10
match ip address prefix-list DobryjHostingNetwork
!
route-map DobryjHostingNetwork permit 20
match ip address prefix-list DobryjHosting-ddos-hole
set as-path prepend 200
!
route-map DobryjHostingNetwork-for-gw-1 permit 10
match ip address prefix-list DobryjHosting-ddos-hole
!
route-map DobryjHosting-gw-1-in permit 10
match ip address prefix-list DobryjHosting-gw-1-in
!
line vty
access-class 1


root писал(а):И честно сказать я пока удивлен какого черта он у тя вообще анонсит этот маршрут, если он сам не знает где этот хост. Либо ты все же что то недообъяснял, либо я пока не могу сообразить, т.к. всегда сложно "лечить по фотографии" :).
Покажи на роутере D вывод команд:
Код: Выделить всё
route -n get 194.15.127.4

Код: Выделить всё
arp -n 194.15.127.4



Ну да виноват каюсь небыло его в карте, исправил прописав его в конфиг зебры ip route 194.15.127.4/32 eth0
в результате он появился в маршрутной карте:
Код: Выделить всё
[root@gw2 ~]# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
194.15.127.4   0.0.0.0         255.255.255.255 UH        0 0          0 eth0
62.149.4.48     0.0.0.0         255.255.255.252 U         0 0          0 eth1
194.15.127.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         62.149.4.49     0.0.0.0         UG        0 0          0 eth1

Код: Выделить всё
[root@gw2 ~]# arp -n 194.15.127.4
Address                  HWtype  HWaddress           Flags Mask            Iface
194.15.127.4            ether   AA:00:F6:F4:06:01   C                     eth0
[root@gw2 ~]#

Мне почему то казалось что quagga сама должна это сделать, ведь на основном роутере она исправила маршрут и убрала этот апи из своей маршрутной карты

но сути это не поменяло хост как работал на выход через первый роутер так и работает:
Код: Выделить всё
sh-3.2# traceroute ya.ru
traceroute to ya.ru (87.250.250.203), 30 hops max, 40 byte packets
 1  194.15.127.1 (194.15.127.1)  0.295 ms  0.596 ms  0.587 ms
 2  gw1.dobrohost.cc.colocall.com (62.149.4.61)  0.758 ms  0.986 ms  0.964 ms
 3  hobbit.colocall.net (62.149.2.99)  0.951 ms  0.928 ms  1.117 ms
 4  yandex-10G-gw.ix.net.ua (195.35.65.88)  0.625 ms  0.605 ms  0.573 ms
 5  panas-vlan601.yandex.net (87.250.233.69)  7.797 ms  7.788 ms  7.765 ms
 6  l3-dante-panas.yandex.net (213.180.213.118)  20.162 ms  20.116 ms  20.039 ms
 7  213.180.213.102 (213.180.213.102)  20.614 ms  20.925 ms  20.852 ms
 8  l3-s3600-s1300.yandex.net (213.180.213.75)  21.584 ms  21.565 ms  21.543 ms
 9  www.yandex.ru (87.250.250.203)  21.510 ms  21.147 ms  21.116 ms
sh-3.2#


и всё бы ничего если бы хост оставался доступен снаружи (бог с ним что исходящий идёт через первый роутер) задача то отправить на фильтрацию входящий трафик (он то перетекает) но вот хост становится не доступен и трасса к нему рвётся именно на роутере D
Код: Выделить всё
Трассировка маршрута до 194.15.127.4 завершена!

1 62.152.63.129 (62.152.63.129) 0.537 ms 0.388 ms 0.298 ms
2 te4-3-11-alpha.msk.citytelecom.ru (217.65.1.245) 19.900 ms 19.815 ms 19.789 ms
3 te2-4-23-alpha.ua.citytelecom.ru (217.65.1.242) 19.728 ms 19.769 ms 19.735 ms
4 31.28.1.246 (31.28.1.246) 19.783 ms 19.784 ms 19.739 ms
5 gw.itsystems-ua.ll.colocall.com (62.149.20.65) 19.853 ms 19.859 ms 19.846 ms
6 athena.colocall.net (62.149.2.108) 20.163 ms 20.035 ms 20.042 ms
7 62.149.4.50 (62.149.4.50) 20.066 ms 20.011 ms 20.021 ms
8 * * *
9 * * *
10 * * *

root писал(а):эмм и где этот свич ? что то я не наблюдаю его на схеме.

под роутерами C и D
root писал(а):так если там шлюз 178.170.233.1, то ясно что исходящий трафик пойдет в первую очередь на роутер С. А ты как хочешь ? Чтобы на роутер D шел ?

что бы трафик с того хоста который переведён на роутер D (в нашем примере 194.15.127.4) и шёл на роутер D
root писал(а):а вот теперь давай разберемся, что именно должно быть автоматически ? Меняться def gw у хоста ?

Что бы исходящий трафик попадал на роутер D , увы я не знаю какими средствами этого добится но мне так думалось что роутер С в состоянии как то редиректить трафик и переадресовывать его на роутер D (так как поменять шлюз на самом хосте далеко не всегда возможно) не исключаю что для этого нужно поднимать ещё что то что будет управлять этим трафиком , но решить вопрос каким либо методом нужно.

P.S. я повторюсь что по сути не столь важно куда пойдёт исходящий трафик (если он идёт через роутер С то главное сохранить работоспособность хоста)

Извиняюсь если сказал бред, но я пока что изучаю все эти моменты и не исключаю что вопросы и пожелания мои могут казаться смешными)

root писал(а):а что тебя смущает ? Redirect Host ? Отруби на роутере С вывод сообщений о редиректах.

А подскажите как это сделать?
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение dobrohost » 11 дек 2011, 11:52

Мне так кажется что мою проблему решит или "Умный свитч" умеющий BGP или же ещё один роутер установленый на стык между роутерами C и D и свитчем, правильно ли я предпологаю?
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

Re: Переброс /32 на второй канал

Сообщение dobrohost » 11 дек 2011, 14:14

Вот появилась возможность завладеть железкой аля Cisco WS-C3550-48-EMI

Погуглив по её характеристикам понял что с BGP она не дружит, но дружит с OSPF, следующий вопрос такого плана реально ли будет подружить Роутеры C и D с этим свитчем с целью управления исходящим трафиком?

Насколько я понял Quagga поддерживает редистрибуцию из BGP в OSPF но всё же хочется услышать мнение профессионала, стоит ли заморачиваться?

P.S. Сразу оговорюсь по поводу девайса Cisco С3570 , да он умеет BGP но увы для моих масштабов он дорог, хотелось бы обойтись малой кровью)
dobrohost
новичок
 
Сообщения: 11
Зарегистрирован: 04 дек 2011, 13:45

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 19

cron