BGP проблема с входящим трафиком у клиента

[Arlekin_s 0]

Конфигурация такая.

 

наша AS 1111 берем у AS 2222 украину и у AS 3333 мир

отдаем украину автономке AS 4444.

 

так вот клиент жалуется что ЕГО входящий трафик не идет через украину. Как правильно разрулить еще не знаю.

 

старый админ уволился.. в конфиге бгп черт ногу сломит (((

 

если что лишнее скажите плиз

 

вот конфиг бгп

 

Current configuration:
!
hostname bgp
password *****
enable password *****
log file /var/log/quagga/bgpd.log
service advanced-vty
!
debug bgp events
debug bgp updates
!
bgp multiple-instance
!
router bgp 1111
bgp router-id 11.178.205.90
!
network 111.23.122.0/24
network 222.5.108.0/24
network 222.5.109.0/24
!
aggregate-address 111.23.122.0/24
aggregate-address 222.5.108.0/24
aggregate-address 222.5.109.0/24
!
neighbor 333.245.237.57 remote-as 3333
neighbor 333.245.237.57 description MY WORLD
neighbor 333.245.237.57 ebgp-multihop 255
neighbor 333.245.237.57 update-source 333.245.237.58
neighbor 333.245.237.57 weight 20000
neighbor 333.245.237.57 soft-reconfiguration inbound
neighbor 333.245.237.57 route-map world-in in
neighbor 333.245.237.57 route-map world-out out
!
neighbor 101.200.129.73 remote-as 2222
neighbor 101.200.129.73 description MY UA-IX
neighbor 101.200.129.73 weight 10000
neighbor 101.200.129.73 next-hop-self
neighbor 101.200.129.73 soft-reconfiguration inbound
neighbor 101.200.129.73 route-map as2222-uaix-in in
neighbor 101.200.129.73 route-map as2222-uaix-out out
!
neighbor 101.200.131.73 remote-as 2222
neighbor 101.200.131.73 description MY WORLD_2
neighbor 101.200.131.73 next-hop-self
neighbor 101.200.131.73 soft-reconfiguration inbound
neighbor 101.200.131.73 route-map world-in in
neighbor 101.200.131.73 route-map world-out out
!
neighbor 111.23.122.170 remote-as 4444
neighbor 111.23.122.170 description CLIENT_WORLD
neighbor 111.23.122.170 soft-reconfiguration inbound
neighbor 111.23.122.170 route-map clients-in in
neighbor 111.23.122.170 route-map clients-out out
!
neighbor 111.23.122.174 remote-as 4444
neighbor 111.23.122.174 description CLIENT_UA-IX
neighbor 111.23.122.174 soft-reconfiguration inbound
neighbor 111.23.122.174 route-map clientsua-in in
neighbor 111.23.122.174 route-map clientsua-out out
!
neighbor 111.33.236.125 remote-as 5555
neighbor 111.33.236.125 description "Crimea-IX"
neighbor 111.33.236.125 ebgp-multihop 255
neighbor 111.33.236.125 soft-reconfiguration inbound
neighbor 111.33.236.125 route-map crimea-in in
neighbor 111.33.236.125 route-map crimea-out out
!
neighbor 222.5.109.134 remote-as 4444
neighbor 222.5.109.134 description CLIENT_MIX
neighbor 222.5.109.134 ebgp-multihop 255
neighbor 222.5.109.134 soft-reconfiguration inbound
neighbor 222.5.109.134 route-map clients-in in
neighbor 222.5.109.134 route-map clients-out out
distance bgp 1 1 9
!
router bgp 1111 view WORD
bgp router-id 111.23.122.109
!
access-list 99 permit any
access-list DENY-ANY deny any
access-list DENY-DEFAULT deny any
access-list PERMIT-ANY permit any
access-list PERMIT-ANY deny 192.168.0.0/16
access-list PERMIT-ANY deny 10.0.0.0/8
!
access-list as4444-list permit 444.205.164.0/22
access-list as4444-list permit 555.212.64.0/21 exact-match
access-list as4444-list permit 555.212.64.0/24
access-list as4444-list deny any
access-list term permit 127.0.0.1/32
access-list term deny any
!
ip prefix-list DEFAULT seq 5 permit 0.0.0.0/0
ip prefix-list topnet seq 5 permit 111.23.122.0/24
ip prefix-list topnet seq 10 permit 222.5.108.0/23
ip prefix-list topnet seq 15 permit 222.5.108.0/24
ip prefix-list topnet seq 20 permit 222.5.109.0/24
!
ip as-path access-list customers-as permit ^(4444_)+$
ip as-path access-list customers-as permit ^(1111_)+$
ip as-path access-list customers-as permit 1111
ip as-path access-list googlefuck permit ^(13249_15169)$
!
ip community-list standard CLIENTS permit 1111:3
ip community-list standard CRIMEA permit 1111:4
ip community-list standard UKRAINE permit 1111:2
ip community-list standard WORLD permit 1111:1
!
route-map no-google deny 10
match as-path googlefuck
!
route-map no-google permit 20
set community 1111:865
!
route-map world-in permit 10
match ip address PERMIT-ANY
set community 1111:1
!
route-map as-2222-in permit 11
match ip address PERMIT-ANY
set community 1111:1
!
route-map as-2222-map-ix-in permit 11
match ip address PERMIT-ANY
set community 1111:2
!
route-map ua-in permit 10
match ip address PERMIT-ANY
set community 1111:2
!
route-map clients-in permit 10
match as-path customers-as
set community 1111:3
set local-preference 200
!
route-map world-out permit 10
match as-path customers-as
!
route-map world-out permit 20
match ip address prefix-list topnet
!	   
route-map as-2222-out permit 20
match ip address prefix-list topnet
!
route-map as-2222-out permit 30
match community CLIENTS
!
route-map ua-out permit 10
match as-path customers-as
!
route-map ua-out permit 20
match ip address prefix-list topnet
!
route-map ua-out permit 30
match ip address prefix-list DEFAULT
!
route-map clients-default-out permit 10
match ip address prefix-list DEFAULT
!
route-map clients-world-out permit 10
match community WORLD
!
route-map clients-ua-out permit 10
match community UKRAINE
!
route-map clients-out permit 10
!
route-map crimea-in permit 10
match ip address PERMIT-ANY
set community 1111:4
set local-preference 125
!
route-map as-2222-map-ix-out permit 10
match as-path customers-as
!
route-map as-2222-map-ix-out permit 20
match ip address prefix-list topnet
!
route-map clients-world-in permit 10
match ip address PERMIT-ANY
set community 1111:1
!
route-map clients-ua-in permit 10
set community 1111:2
!
route-map as2222-uaix-in permit 10
set local-preference 125
set community 1111:2
set weight 21000
!
route-map as2222-uaix-out permit 10
match as-path customers-as
!
route-map as2222-uaix-out permit 20
match ip address prefix-list topnet
!
route-map clientsua-in permit 10
match as-path customers-as
set community 1111:2
!
route-map clientsua-out permit 10
match community UKRAINE
!
route-map cleentsua-in permit 10
!
line vty
access-class term
exec-timeout 0 0
!
end

 

 

bgp# sh ip bg su
BGP router identifier 11.178.205.90, local AS number 1111
RIB entries 760582, using 46 MiB of memory
Peers 8, using 20 KiB of memory
Neighbor	    V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
333.245.237.57   4  3333 2690211   25260	    0    0    0 2d02h10m   397691
101.200.129.73  4  2222  144815   65690	    0    0    0 02w3d02h	 7651
101.200.131.73  4  2222 4188053   62558	    0    0    0 21:08:01 Active   
111.23.122.170  4 4444  140595 1397865	    0    0    0 01w2d04h Connect   
111.23.122.174  4 4444  526637  728298	    0    0    0 01:26:13	   13
111.33.236.125  4 5555   66684   65608	    0    0    0 02w3d02h	  605
222.5.109.134   4 4444   11717 1190537	    0    0    0 1d19h28m Connect

Відредаговано 2012-03-02 13:50:43 Arlekin_s

[alex-netcase 13]

Уверен что никто не согласится в этих шифровках разбираться

Посмотри на lg.ix.net.ua от кого УА-ИКС принимает Вашего клиента.

Сложно?

Напиши по людски номер AS клиента и его префиксы и через кого должно ходить.

Если "страшно" то в ЛС.

[Arlekin_s 0]

Да дело не том что страшно.. а дело в начальстве... изменены только автономки и первые цифры.. айпишников.. но они друг другу соответсвуют.. т.е менял не от фанаря

[Netadmin_max 0]

хз так на вскидку сказать сложно скинь вывод fuser -k /

[Ajar 90]

Я думаю что лучше написать заново конфиг. В принципе он не сложный

[Netadmin_max 0]

новый конфиг написать это и время надо и знания.

тем более в конфиге остатки от балансоровки трафиком виднеются тем более он уже отлажен на конкретной платформе.

если увидеть вывад из консоли fuser -k / да вывод из бгп

show neighbors можно было бы подсказать где затык.

[Arlekin_s 0]

а что это за команда fuser -k /.. ? не отрабатывает.. стоит FreeBSD 7.3

[adeep 212]

смотрите на lg.ua-ix.net.ua куда уходит трафик. Но судя по lg у вас один аплинк просто с двумя сессиями.

[leshik 13]

Входящий клиента зависит от того, что он анонсирует вам и куда вы это отдаете.

[Кеша 543]

п@зд#ц. админу нужно было платить нормально.

[KaYot 3 605]

Входящий трафик к вашему клиенту от вашего конфига зависеть не может в принципе, тут и смотреть нечего.

Или вы его аплинку анонсируете и он(аплинк) этот анонс пропукает, или нет. Это элементарно проверяется:

- со своей стороны sh ip bgp nei 101.200.129.73 advertised-routes и ищите сети клиента. Если они присутствуют - значит у вас все правильно

- со стороны аплинка: заходим на http://lg.ua-ix.net.ua/, вбиваем ip из клиенского блока, смотрим есть ли анонсы через вашу AS. Если анонсов нет - пинаем аплинкера что б правил свои фильтры.

Еще возможен вариант что у клиента есть другой канал, с миксом. В lg вы все это увидите, тут настраивать нужно клиенту удлиннив маршрут своего второго аплинкера.

[alex-netcase 13]

to Kayot: Вариант 3

 

А если на префиксы от "клиента" установлен local pref ниже чем на анонсы от аплинков по которым (даже с очень дилнным ас-пасом) приходят сети этого же абонента?

Бэстом будут префиксы от аплинка, соотвественно уже никто никому ничего анонсировать не будет.

[KaYot 3 605]

to Kayot: Вариант 3

 

А если на префиксы от "клиента" установлен local pref ниже чем на анонсы от аплинков по которым (даже с очень дилнным ас-пасом) приходят сети этого же абонента?

Бэстом будут префиксы от аплинка, соотвественно уже никто никому ничего анонсировать не будет.

Возможен и такой вариант, хотя за такое админа, даже уволенного, нужно убивать)) В любом случае нужно смотреть что отдается аплинку и что видно по LG.

[ig0r 25]

Конфигурация такая.

 

наша AS 1111 берем у AS 2222 украину и у AS 3333 мир

отдаем украину автономке AS 4444.

 

так вот клиент жалуется что ЕГО входящий трафик не идет через украину. Как правильно разрулить еще не знаю.

Судя по конфигу, автономке 4444 вы отдаете не только украинский трафик, но и "мировой", проблема в том, что украинский трафик идет от вас к клиенту через интерфейс с мировым трафиком?

Вход клиента это твой исход, на "мировой" сессии с клиентом стоит local-preference 200, на украинской стандартный 100, сессии две, но весь трафик от вас к абоненту уходит в "мировую сессию".

[adeep 212]

Вы не сможете отдать с одного своего роутера украину и мир в разных сессиях одному клиенту без разделения на таблицы роутинга.

[KaYot 3 605]

Вообще-то по sh ip bgp summ видно что анонсы приходят только для украинской сессии, с этой стороны пофиг.

Единственное что точно не помешает - поднять localpref максимально для сетей клиента, в роут-мапе route-map clientsua-in permit 10 добавьте set local-preference 200

[ig0r 25]

Вообще-то по sh ip bgp summ видно что анонсы приходят только для украинской сессии, с этой стороны пофиг.

Единственное что точно не помешает - поднять localpref максимально для сетей клиента, в роут-мапе route-map clientsua-in permit 10 добавьте set local-preference 200

Логично.

Тогда я не пойму сути проблемы.

Клиент утверждает, что украинский трафик приходит к нему не через КРЭЛКОМ, а через RETN? Чем он это аргументирует?

[mr.Scamp 41]

Вам нужен source-based routing.

То есть, все пакеты, которые пришли к клиенту через интерфейс с уа-икс, отправлять ему через интерфейс, на котором у него сессия с украинским траффиком.

[KaYot 3 605]

Вам нужен source-based routing.

То есть, все пакеты, которые пришли к клиенту через интерфейс с уа-икс, отправлять ему через интерфейс, на котором у него сессия с украинским траффиком.

Глупости

[adeep 212]

Вам нужен source-based routing.

То есть, все пакеты, которые пришли к клиенту через интерфейс с уа-икс, отправлять ему через интерфейс, на котором у него сессия с украинским траффиком.

Глупости

извращение - да. глупости? нет.

[ig0r 25]

извращение - да. глупости? нет.

Я думаю KaYot говорит о том, что в данном случае не в этом проблема, т.к. клиент всё-таки берет только Украину, это видно из "sh ip bgp sum" и на сервисах типа bgp.he.net.

А если я не прав, то было бы интересно послушать какой вариант предложит KaYot, если нужно с одной машины отдать клиенту и "мир" и Украину.

 

Тут вообще непонятно в чем проблема, скорее всего её вообще нет, либо она уже решена. Клиент Arlekin_s видется на lg.ix.net.ua через него и через Датагруп, best через Arlekin_s. Среди "мировых" аплинков клиента есть и Retn, который является единственным "мировым" аплинком Arlekin_s. Я думаю, что даже если какой-то украинский трафик каким-то образом дойдет до RETN, то он уйдет сразу этому недовольному клиенту через RETN в обход Arlekin_s.

Arlekin_s запутал всех и ушел

[mr.Scamp 41]

Точно запутал.

Если клиент берет только UA-IX, SBR/PBR не нужен.

Возможно, трафик от некоторых операторов, входящих в UA-IX может литься через приватные пиры/аплинки между этим оператором и аплинком клиента.

В таком случае может помочь удлинение AS_PATH в сторону "мировых" аплинков. Но это должен сделать сам клиент, или его аплинки.

А может и не помочь, в случае взаимно завышенных локалпрефов у других операторов.

Единственный надежный способ получить прямую связность с UA-IX - подключиться к UA-IX.