BGP для нескольких каналов

Статическая и динамическая, протоколы

Re: BGP для нескольких каналов

Сообщение Mechanic » 03 мар 2009, 17:52

так или я смешал все в 1 кашу ?
и еще вопрос , as-path используется для фильтрации вход или исход или обоих анонсов?
исходящий трафик в ут я поднял приоритет, а входящий из ут (несовсем понятно как формируется) ?

Код: Выделить всё
neighbor DG remote-as 21219
neighbor DG  description DG-world
neighbor DG  next-hop-self
neighbor DG  route-map dg-world-in in
neighbor DG  remote-as 21219
neighbor DG  description DG-uaix
neighbor DG  next-hop-self
neighbor UT remote-as 6849
neighbor UT description UT
neighbor UT ebgp-multihop 255
neighbor UT route-map ut-in in
neighbor UT prefix-list ut-in in

!
ip prefix-list ut-in seq 10 deny 82.207.0.0/17
ip prefix-list ut-in seq 11 deny 91.112.0.0/15
ip prefix-list ut-in seq 12 deny 94.178.0.0/15
ip prefix-list ut-in seq 13 deny 94.178.192.0/18
ip prefix-list ut-in seq 14 deny 94.179.0.0/18
ip prefix-list ut-in seq 15 deny 94.179.64.0/18
ip prefix-list ut-in seq 16 deny 94.179.128.0/17
ip prefix-list ut-in seq 17 deny 95.132.0.0/14
ip prefix-list ut-in seq 20 permit any
!
ip as-path access-list 10 permit ^6849$
!
route-map dg-world-in permit 10
 set metric 10
 set local-preference 1000
!
route-map ut-in permit 10
 match as-path 10
 set local-preference 1500
Mechanic
посетитель
 
Сообщения: 101
Зарегистрирован: 17 фев 2009, 08:38

Re: BGP для нескольких каналов

Сообщение root » 03 мар 2009, 18:47

1. строчки с
Код: Выделить всё
next-hop-self
можно смело убить, т.к. это твои eBGP пиры, а не iBGP.

2.
Код: Выделить всё
neighbor UT ebgp-multihop 255

а это вообще накой ? они у тебя не директли конектед ? скорее всего директед.

2.
Mechanic писал(а):as-path используется для фильтрации вход или исход или обоих анонсов?

анонс всегда один и он исходит от тебя.

3.
Mechanic писал(а):так или я смешал все в 1 кашу ?

не не так.
роутмапа ut-in сейчас разрешает только маршруты с as-path ^6849$ и запрещает все остальные маршруты, ты забыл про неявный deny в конце.
уффф, не знаю как ещё объяснить, хорошо, попробую на конфигах.

вариант А
разрешаем префиксы из prefix-list ut-pref и выставляем loc-pref, запрещаем все остальное:
Код: Выделить всё
neighbor UT remote-as 6849
neighbor UT description UT
neighbor UT route-map ut-in in
!
ip prefix-list ut-pref seq 10 permit 82.207.0.0/17
ip prefix-list ut-pref seq 11 permit 91.112.0.0/15
ip prefix-list ut-pref seq 12 permit 94.178.0.0/15
ip prefix-list ut-pref seq 13 permit 94.178.192.0/18
ip prefix-list ut-pref seq 14 permit 94.179.0.0/18
ip prefix-list ut-pref seq 15 permit 94.179.64.0/18
ip prefix-list ut-pref seq 16 permit 94.179.128.0/17
ip prefix-list ut-pref seq 17 permit 95.132.0.0/14
!
route-map ut-in permit 10
match ip address prefix-list ut-pref
set local-preference 1500
route-map ut-in deny 20
!

последний deny добавлен для наглядности, т.к. он по умолчанию всегда присутвует (неявный deny)

вариант Б
запрещаем префиксы из prefix-list ut-pref и разрешаем все остальное:
Код: Выделить всё
neighbor UT remote-as 6849
neighbor UT description UT
neighbor UT route-map ut-in in
!
ip prefix-list ut-pref seq 10 permit 82.207.0.0/17
ip prefix-list ut-pref seq 11 permit 91.112.0.0/15
ip prefix-list ut-pref seq 12 permit 94.178.0.0/15
ip prefix-list ut-pref seq 13 permit 94.178.192.0/18
ip prefix-list ut-pref seq 14 permit 94.179.0.0/18
ip prefix-list ut-pref seq 15 permit 94.179.64.0/18
ip prefix-list ut-pref seq 16 permit 94.179.128.0/17
ip prefix-list ut-pref seq 17 permit 95.132.0.0/14
!
route-map ut-in deny 10
match ip address prefix-list ut-pref
route-map ut-in permit 20
!


заметь что разница между вариантом А и вариантом Б только в route-map`е

вариант В
разрешаем маршруты только от AS6849 и выставляем loc-pref, запрещаем все остальное.
Код: Выделить всё
neighbor UT remote-as 6849
neighbor UT description UT
neighbor UT route-map ut-in in
!
ip as-path access-list 10 permit ^6849$
!
route-map ut-in permit 10
match as-path 10
set local-preference 1500
route-map ut-in deny 20
!


вариант Г
запрещаем маршруты от AS6849 и разрешаем все остальное.
Код: Выделить всё
neighbor UT remote-as 6849
neighbor UT description UT
neighbor UT route-map ut-in in
!
ip as-path access-list 10 permit ^6849$
!
route-map ut-in deny 10
match as-path 10
route-map ut-in permit 20
!

аналогичная разница между В и Г

4. зачем такие большие значения local-preference ? необязательно их такими делать :) достаточно "ползать" в диапазоне до 1000 :) ведь даже разница в 1-цу уже играет роль.

теперь понятно ? :)

З.Ы. почему у тебя нет ни одной маршрутки на OUT ? Или это ты просто сократил так.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: BGP для нескольких каналов

Сообщение root » 03 мар 2009, 18:51

Mechanic писал(а):исходящий трафик в ут я поднял приоритет, а входящий из ут (несовсем понятно как формируется) ?

ты всегда полностью можешь управлять исходящим трафиком своей ASки.
Входящим можно управлять тока косвенно, например через community, если твой апстрим предоставляет сommunities для управления твоими анонсами через него.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: BGP для нескольких каналов

Сообщение Mechanic » 04 мар 2009, 17:25

отвечаю по пунктам:
1 согласно документации никакой разницы в ebgp и ibgp -нет
    Если роутеры A,C,D используют общую схему обмена данными, такую как Frame Relay (или любой из NBMA), то роутер "C" анонсирует сеть 180.20.0.0 роутеру "A" со значением next hop 170.10.20.3, точно так же так если бы эти роутеры были включены в сеть Ethernet. Но, в данном случае есть одна проблема: она заключается в том, что роутер "A" не имеет постоянного прямого соединения с роутером "D" (это называется "direct Permanent Virtual Connection, или PVC) и не может достичь этого самого next hop'а, который ему указан в таблице маршрутизации. Таким образом, маршрутизация не работает. Для решения данной проблемы, используется команда роутера:
    next-hop-self
поэтому я и прописал
2 он не директли конектед
Mechanic
посетитель
 
Сообщения: 101
Зарегистрирован: 17 фев 2009, 08:38

Re: BGP для нескольких каналов

Сообщение Mechanic » 04 мар 2009, 17:45

пр неявный deny я знаю
почему у тебя нет ни одной маршрутки на OUT ? Или это ты просто сократил так

не сокращал, я не знаю что туда писать :)

Спасибо за варианты конфига. общий смысл я понял.
первоначально я использовал вариант
Код: Выделить всё
Вариант В
разрешаем маршруты только от AS6849 и выставляем loc-pref, запрещаем все остальное.

Код: Выделить всё
    neighbor UT remote-as 6849
    neighbor UT description UT
    neighbor UT route-map ut-in in
    !
    ip as-path access-list 10 permit ^6849$
    !
    route-map ut-in permit 10
    match as-path 10
    set local-preference 1500
    route-map ut-in deny 20
    !

мои запросы уходили в АС6849 через нужный мне интерфейс,но столкнулся с проблемой перегрузки канала. и пришла идея дополнительно резать подсети. те если перейти на цифры, получаем след картину:
в ас6849 -92анонса, те если из этого списка мне надо запретить 5, то я могу воспользоваться вариантом Б , но у меня прилетает fullview- а его как отсечь ?
и еще: это мы управляем исход трафиком, а вход трафик -через prepend ?
и prepend ставится для as6849 на аплинк dg ?
Mechanic
посетитель
 
Сообщения: 101
Зарегистрирован: 17 фев 2009, 08:38

Re: BGP для нескольких каналов

Сообщение root » 04 мар 2009, 18:48

Mechanic писал(а):не сокращал, я не знаю что туда писать

:shock: :shock: :shock:
тогда ты понимаешь, что ты становишся транзитником ??? т.е. через тебя, твои пиры, могут трафик гонять ?
у тя же несколько каналов, вот и получается, что ты своим апстримам так же выдаешь full-view в обратку :) т.к. фильтров на выход у тебя нет.
принимают ли они его или нет, пользуются ли они этими маршрутами это конечно вопрос, НО самое главное что ты сам, по незнанию им это предоставил.

Mechanic писал(а):Спасибо за варианты конфига. общий смысл я понял.

нзчт, хорошо если понял ;)

Mechanic писал(а):в ас6849 -92анонса, те если из этого списка мне надо запретить 5, то я могу воспользоваться вариантом Б , но у меня прилетает fullview- а его как отсечь ?

зачем запрещать ? запрещать не надо ничего.
просто раздели их по префикс листам и в "маршрутке" опиши под разными "правилами" ("секциями").
каким то префиксам ты поднимешь loc-pref, а остальным нет, оставишь его по дефолту, вот и все.

Mechanic писал(а):и еще: это мы управляем исход трафиком, а вход трафик -через prepend ?

ага, именно. Prepend удлиняет as-path, а значит ухудшает маршрут.

Mechanic писал(а):и prepend ставится для as6849 на аплинк dg ?

он ставится туда, по тем направлениям, где ты хочешь сократить вход. трафик через этого апстрима.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: BGP для нескольких каналов

Сообщение Mechanic » 05 мар 2009, 14:02

я так понимаю. что для UT fплинка, если я хочу получить только его AS ,то я должен указать
Код: Выделить всё
neighbor UT route-map ut-out out
ip as-path access-list 20 permit ^6849$
    !
    route-map ut-iut permit 10
    match as-path 20
    set local-preference 500

?
кстати интересная ситуация с no synchronization :
при выполнении этой команды в телнете- она выполняется, но по wr она в конфиг не записывается :(
и по ее описанию, я понял, что именно она и отвечает за запрет транзита

ПС в изучении bgp я см на 2 осн ресурса :
http://wiki.nag.ru/wiki/index.php/AS_PA ... 0%B8%D1%8F

http://www.opennet.ru/docs/RUS/bgp_rus/ ... ocid237531

мож есть что-то еще почитать более подробное ?
Mechanic
посетитель
 
Сообщения: 101
Зарегистрирован: 17 фев 2009, 08:38

Re: BGP для нескольких каналов

Сообщение root » 05 мар 2009, 15:16

честно сказать ты меня чичас просто "убил" причем наповал :)
пойми, что в таких сложных вещах как BGP нельзя полагаться только на форумы и статьи :shock:
нуна читать и специализированную литературу, коей в инете навалом, написанные той же Cisco Systems.
Например книга "Принципы маршрутизации в Internet. Самое полное описание протокола BGP 4", которая лежит у нас на сайте.

Mechanic писал(а):я так понимаю. что для UT fплинка, если я хочу получить только его AS ,то я должен указать

абсолютно не верно
IN - получать
OUT - оглашать
как бы по "дефолту" (все еснно зависит от ситуации и желаемых целях) ты должен огласить апстриму (пиру) ТОЛЬКО свои префиксы (+префиксы своих клиентов, если он есть, клиенты подключенные по BGP), чтобы он их распространял дальше, он расскажет своим "соседям" они своим и т.д.
На robtex.com, на примере "твоих соседей" AS6849, можно глянуть графически иерархию ASсок до тебя.
Пример: http://www.robtex.com/as/as6849.html

Загляни в наш раздел Online BGP tools, а именно секция "Генерация полного конфига для BGP"
вбей свои данные и посмотри что тебе напишут в маршрутке на OUT
я что зря старался ? писал скрипты для данного раздела....

Mechanic писал(а):кстати интересная ситуация с no synchronization
по ее описанию, я понял, что именно она и отвечает за запрет транзита

абсолютный бред :)
http://www.cisco.com/en/US/docs/ios/12_ ... rdbgp.html
synchronization

To enable the synchronization between Border Gateway Protocol (BGP) and your Interior Gateway Protocol (IGP) system, use the synchronization command in address family or router configuration mode. To enable the Cisco IOS software to advertise a network route without waiting for the IGP, use the no form of this command.

Syntax Description
This command has no arguments or keywords.
Defaults

The behavior of this command is enabled by default.

эта команда отвечает за взаимодействие EGP и IGP протоколов, а именно влияет на то, что BGP протокол, не ждет подтверждения маршрута от любого IGP протокола, прежде чем огласить маршрут.

Mechanic
Пойми одно, что получив свою AS и блок адресов, ты принял на себя ответственность, т.к. ты стал "пограничником" и влился в общий Инет "персонально".
Теперь ты сам отвечаешь за то КАК и КУДА ходят твои адреса, за тех КТО ХОДИТ/БУДЕТ ХОДИТЬ через тебя...
хм... слова кончились ХЗ как ещё это объяснить.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: BGP для нескольких каналов

Сообщение Mechanic » 06 мар 2009, 02:29

все , я пока сдался. пошел читать книгу, тк "противоречия" в статьях никуда не ведут
Mechanic
посетитель
 
Сообщения: 101
Зарегистрирован: 17 фев 2009, 08:38

Re: BGP для нескольких каналов

Сообщение root » 06 мар 2009, 10:05

Mechanic писал(а):все , я пока сдался

не надо сдаваться, закрой "дырку"
воспользуйся:
root писал(а):Загляни в наш раздел Online BGP tools, а именно секция "Генерация полного конфига для BGP"
вбей свои данные и посмотри что тебе напишут в маршрутке на OUT
я что зря старался ? писал скрипты для данного раздела....

и сделай маршрутку на OUT

Mechanic писал(а):пошел читать книгу

вот это правильно, как раз, по быстрому найди и прочти раздел про route-map
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17

cron