Subnets.ru

[spd2]

ДОбрый день! Никак не получается подобрать оптимальное решение для следующей задачки:

Есть канал на прова-1 и выданная из его адресного пространства подсетка /24. На прова-1 прописан статикой default.
Недавно зарегистрировали мы свою AS, получили блок PI адресов и дополнительно организовали канал на прова-2.
Теперь необходимо поднять BGP и плавно переехать на свои адреса. Загвоздка вот в чем: пров-2 отдает нам full-view и в тот момент, когда мы поднимаем с ним BGP-сессию, отрубается существующий default на прова-1. Как я понимаю, наш исходящий трафик разворачивается на нового прова (пров-2), а поскольку наше адресное пространство прова-1, то трафик видимо дропается у прова-2.
Как-то можно сохранить и существующую маршрутизацию и безболезненно поднять BGP с провом-2? или может есть более простой способ переезда на свои адреса?

[root]

отрубается существующий default на прова-1.

он не отрубается, а просто перестает действовать т.к. есть more specific маршруты (full-view) и трафик начинает уходить по этим маршрутам.

Как-то можно сохранить и существующую маршрутизацию и безболезненно поднять BGP с провом-2? или может есть более простой способ переезда на свои адреса?

можно, настроить PBR, в котором насильно выставлять next-hop в пров-1 для IP-адресов из адресного пространства прова-1, а default убрать вовсе.
тогда пакеты от IP-адресов прова-1 будут заворачиваться к нему, а пакеты твоей личной сетки будут бежать к пров-2, т.к. у тя есть full-view от него.

[spd2]

он не отрубается, а просто перестает действовать т.к. есть more specific маршруты (full-view) и трафик начинает уходить по этим маршрутам.

ну да, я неправильно выразился - default никуда не изчезает, просто он никогда не выбирается.

можно, настроить PBR, в котором насильно выставлять next-hop в пров-1 для IP-адресов из адресного пространства прова-1, а default убрать вовсе.
тогда пакеты от IP-адресов прова-1 будут заворачиваться к нему, а пакеты твоей личной сетки будут бежать к пров-2, т.к. у тя есть full-view от него.

PBR я первым делом и попробовал, но результат был отрицательный. Первая секция - route-map на прова-1, вторая - на прова-2.

Код: Выделить всё

interface GigabitEthernet0/2.8
  ip policy route-map ISP
!
route-map ISP permit 10
 match ip address 1
 set ip next-hop 217.150.XX.XX
!
route-map ISP permit 20
 match ip address 2
 set ip next-hop 94.25.XX.XX



Правда, default я не удалял. Не совсем пойму, как он влияет на PBR?

[root]

1.

PBR я первым делом и попробовал, но результат был отрицательный.

скажи, а interface GigabitEthernet0/2.8 это интерфейс смотрящий вниз ? то откуда и "идут" пакеты от IP-адресов из подсети пров-1 ?
что то мне подсказывает что нет.
посмотри нашу статейку: Cisco и Policy-based routing ( PBR )

2. свои адреса я бы PBR`ом вообще не трогал, они и так будут через пров-2 ходить.
Либо, раз ты уже их жестко собираешся тока в пров-2 пихать, то зачем тогда тебе full-view ? Память нагружать ?

[spd2]

1.
скажи, а interface GigabitEthernet0/2.8 это интерфейс смотрящий вниз ? то откуда и "идут" пакеты от IP-адресов из подсети пров-1 ?
что то мне подсказывает что нет.
посмотри нашу статейку: Cisco и Policy-based routing ( PBR )

Схема такая :

Пров-1 Gi0/0.3
\
Cisco 7301 -- Gi0/2.8 локалка (блок адресов прова-1 + блок PI)
/
Пров-2 Gi0/0.4

2. свои адреса я бы PBR`ом вообще не трогал, они и так будут через пров-2 ходить.
Либо, раз ты уже их жестко собираешся тока в пров-2 пихать, то зачем тогда тебе full-view ? Память нагружать ?

Да, верно, свои адреса нет смысла в PBR запихивать, это лишнее. Тем более в будущем будет поднят BGP и с провом-1.

[spd2]

Вот кстати кусок дебага полисинга

Код: Выделить всё

22:51:22: IP: s=80.82.XX.XX (GigabitEthernet0/2.8), d=65.55.184.221, len 81, FIB policy match
22:51:22: IP: s=80.82.XX.XX (GigabitEthernet0/2.8), d=65.55.184.221, g=217.150.XX.XX, len 81, FIB policy routed
22:51:22: IP: s=80.82.XX.XX (GigabitEthernet0/2.8), d=213.87.88.45, len 49, FIB policy match
22:51:22: IP: s=80.82.XX.XX (GigabitEthernet0/2.8), d=213.87.88.45, g=217.150.XX.XX, len 49, FIB policy routed


g=217.150.XX.XX - это как раз гейт прова-1, s=80.82.XX.XX - его адреса, выделенные нам.

Видно, что пакетики попадают под правило и должны отправиться на g=217.150.XX.XX.
Вот так прописан default:

Код: Выделить всё

ip route 0.0.0.0 0.0.0.0 217.150.XX.XX


Может указать принудительно еще и интерфейс?

[root]

хм.... тогда все должно работать
а как выглядит трасса с любого из 80.82.XX.XX до любого хоста в инете ?

[spd2]

хм.... тогда все должно работать
а как выглядит трасса с любого из 80.82.XX.XX до любого хоста в инете ?

Должно, но как-то не очень хочет. Трасса будет завтра по возможности.
Я думаю, может пока от прова-2 принимать только default? B таблице маршрутизации не будет more specific маршрутов, только два default-a.
А дальше попробовать PBR-ом разрулить пакетики. Не слишком корявая схема?

[root]

может пока от прова-2 принимать только default? B таблице маршрутизации не будет more specific маршрутов, только два default-a.

да но:

На прова-1 прописан статикой default.

соответственно статический будет иметь меньшую метрику, а значит больший приоритет и будет таже жопа с твоими адресами.

А дальше попробовать PBR-ом разрулить пакетики.

вот именно это и нужно добиваться чичас, чтобы PBR заработал, если он заработает, то все будет ОК и в месте с full-view.
давай посмотрим трассу, а там дальше видно будет.

З.Ы. и в ЛС кинь мне нормальные, не закрытые ХХ-ми, адреса. Я из-вне посмотрю что я вижу. Так быстрее поймем в чем затык если он есть.

[spd2]

Наконец дошли руки поковырять еще раз PBR. Собственно, ларчик, как всегда, открывался очень просто. Вот кусок конфига:

Код: Выделить всё

route-map ISP permit 10
match ip address 1
set ip next-hop 217.150.XX.XX


Проблема кроется в access-list 1. Этот лист должен быть extended, т.е. должны быть указаны и source и destination ip.
В общем, PBR работает, как положено, спасибо за содействие