Jump to content
Local
luckys

Помогите с настройкой BGP на Extreme Summit x450

Recommended Posts

Доброго времени суток!

 

 

Уважаемые гуру, нуждаюсь в Вашей помощи по настройке EXTREME SUMMIT X450.

Задача следующая. Настроить взаимодействие с BGP пирами провайдера на свиче EXTREME SUMMIT X450. По одному влану мы должны принимать от провайдера дефолт на мир, а по второму UA-IX. Все казалось бы просто, но я столкнулся с такой проблемой: от провайдера я получаю как дефолт так и маршруты на UA-IX, но свою сеть провайдеру не отдаю. Ниже приведу конфиг на EXTREME SUMMIT X450.

 

Описание железки и исходных данных:

EXTREME SUMMIT X450, Лицензия CORE, Firmware 12.4.5.3

 

vlan1111 - VLAN для BGP WORLD

vlan2222 - VLAN для UA-IX

vlan3333 - VLAN для адресов моей AS

 

as1111 - AS провайдера

as33333 - Моя AS

 

Конфиг

create vlan ”ISPworld”

configure vlan ”ISPworld” tag 1111

create vlan ”ISPua-ix”

configure vlan ”ISPua-ix” tag 2222

crete vlan "LAN"

configure vlan "LAN" tag 3333

 

configure vlan ”ISPworld” ipaddress  1.1.1.2 255.255.255.252

enable ipforwarding vlan ”ISPworld”

configure vlan ”ISPua-ix” ipaddress  2.2.2.2 255.255.255.252

enable ipforwarding vlan ”ISPua-ix”

configure vlan "LAN" ipaddress 3.3.3.1 255.255.254.0

enable ipforwarding vlan "LAN"

 

configure bgp AS-number 33333

configure bgp routerid  3.3.3.1

enable bgp community format AS-number:number

enable bgp

 

create bgp neighbor 1.1.1.1 remote-AS-number 1111

enable bgp neighbor 1.1.1.1 soft-in-reset
configure bgp neighbor 1.1.1.1 description "ISPworld"
configure bgp neighbor 1.1.1.1 send-community both

configure bgp neighbor 1.1.1.1 route-policy out me-out

configure bgp neighbor 1.1.1.1 route-policy in default-in

enable bgp neighbor 1.1.1.1#F9F9F9"> 

create bgp neighbor 2.2.2.1 remote-AS-number 1111

enable bgp neighbor 2.2.2.1 soft-in-reset
configure bgp neighbor 2.2.2.1 description "ISPworld"
configure bgp neighbor 2.2.2.1 send-community both

configure bgp neighbor 2.2.2.1 route-policy out me-out

configure bgp neighbor 2.2.2.1 route-policy in UAIX-in


enable bgp neighbor 2.2.2.1 

Файлы роут полиси
--------------------------------------
File me-out.pol: 

--------------------------------------

entry mу-net { 
if match any { 
nlri 3.3.3.0/23 exact ;
}
then {
permit;
}
}
entry deny-any { 
if match any { 
}
then {
deny;
}

--------------------------------------
File default-in.pol

--------------------------------------
entry permit-def { 
if match any { 
nlri 0.0.0.0/0 exact ;
}
then {
permit ;
}
}
entry deny-any { 
if match any { 
}
then {
deny;
}

--------------------------------------
File UAIX-in.polentry permit-any { 
--------------------------------------
if match any { 
}
then {
permit;
}
}

-------------------------------------- 

 

 

Подскажите, пожалуйста, где я ошибся. Заранее благодарен.

Edited by luckys

Share this post


Link to post
Share on other sites

configure iproute add blackhole  ipv4 3.3.3.0 255.255.254.0

configure bgp add network 3.3.3.0/23

enable bgp export balckhole

Edited by alex_o

Share this post


Link to post
Share on other sites

 

configure iproute add blackhole  ipv4 3.3.3.0 255.255.254.0

configure bgp add network 3.3.3.0/23

enable bgp export balckhole

 

Маршрут на blackhole я прописывал и в конфиг добавил configure bgp add network 3.3.3.0/23, а вот enable bgp export balckhole - нет.

Спасибо большое за совет. Попробую и обязательно отпишусь о результатах.

Share this post


Link to post
Share on other sites

Добавил в конфиг enable bgp export blackhole, но получил то, что пинг даже в свою АСку с этого EXTREM'a не идет. Пинг идет только до ближайшего рутера внутренней сети.

Трафик в Мир и UA-IX c EXTREM'a идет.

До того как добавил в конфиг enable bgp export blackhole пинг на локалку шел отлично.

Edited by luckys

Share this post


Link to post
Share on other sites


configure iproute delete blackhole ipv4 3.3.3.0 255.255.254.0
disable bgp export balckhole
enable bgp export direct
disable bgp
enable bgp


show bgp neighbor X.X.X.X transmitted-routes all

Share this post


Link to post
Share on other sites

Чтобы не заморачиваться, я показал как анонсить не blackhole, а директ-сети. Но в этом случае если у Вас падает влан LAN, то анонсы по бгп прекратятся.

Чтобы анонсы Вашей АС оставались в инете не зависимо от состояния физического линка из экстрима в локалку, надо анонсить висящую на blackhole подсеть /23. Но для этого придется на влане LAN повесить на не одну подсеть /23, а разбить ее на две подсети по /24.

Share this post


Link to post
Share on other sites

снова обращаюсь за помощью. BGP установлено (анонсируются blackhole сети), сессии не рвутся но есть потери пакетов на данном устройстве. Подскажите, пожалуйста, сколько трафика можно пророутить при получении по мировой сессии - дефолта и по украинской - полностью UA-IX? Благодарю за помощь.

Edited by luckys

Share this post


Link to post
Share on other sites

Это же Л3-свич. Он молотит трафик на скорости порта - то есть 1Гбит/сек или 10Гбит/сек (смотря какой у Вас порт). Фабрика у экстрима неблокируемая, то есть все что пришло на свич, успешно с него же и уйдет. БГП тут не при чем, причины в физике. Смотрите статистику ерроров по порту, пробуйте менять физику (оптические модули, патчкорды и т.п.), а также напрягайте бгп-партнера, пусть они со своей стороны ищут источник дропов и ковыряют физику.

Share this post


Link to post
Share on other sites

снова обращаюсь за помощью. BGP установлено (анонсируются blackhole сети), сессии не рвутся но есть потери пакетов на данном устройстве. Подскажите, пожалуйста, сколько трафика можно пророутить при получении по мировой сессии - дефолта и по украинской - полностью UA-IX? Благодарю за помощь.

show bgp routes summary

 

у железки 25к маршрутов влазит.

 

ну и в show log если есть

 

01/01/2012 11:15:55.03 <Info:Kern.IPv4Adj.Info> vrId    2 adj 0x5D4B5D4C Unknown host found scanning hash collisions.

01/01/2012 11:15:51.03 <Info:Kern.IPv4Adj.Info> vrId    2 adj 0x5D4B290D Unknown host found scanning hash collisions.

01/01/2012 11:04:53.97 <Info:Kern.IPv4FIB.Info> IPv4 route not added.  Reached configured # of IP Route reserved-entries.

 

- то переполнена аппаратная таблица маршрутизации и экстрим начинает процессором обрабатывать маршрутизацию. x450 - 10kpps, x450a - 16kpps.

Share this post


Link to post
Share on other sites

апну тему. Конфигурю похожую железяку ,

configure bgp neighbor a.a.a.a maximum-prefix 10000

При поднятии сессии заливает 107000 префикосв уаикса и начинает дико лагать.

чяднт?

Share this post


Link to post
Share on other sites
9 минут назад, maxx сказал:

апну тему. Конфигурю похожую железяку ,


configure bgp neighbor a.a.a.a maximum-prefix 10000

При поднятии сессии заливает 107000 префикосв уаикса и начинает дико лагать.

чяднт?

Полагаю, вы пытаетесь впихнуть невпихуемое.

Сабж может принять 12 тыс ipv4 префиксов. Что по нынешним меркам очень мало. 

Share this post


Link to post
Share on other sites
1 минуту назад, foreverok сказал:

Полагаю, вы пытаетесь впихнуть невпихуемое.

Сабж может принять 12 тыс ipv4 префиксов. Что по нынешним меркам очень мало. 

меня не интересует сколько он может принять меня интересует как ограничить количество принимаемых префиксов.

ибо сабж почему то ниработаит.

Share this post


Link to post
Share on other sites
1 минуту назад, maxx сказал:

меня не интересует сколько он может принять меня интересует как ограничить количество принимаемых префиксов.

ибо сабж почему то ниработаит.

На счет ограничения не подскажу.

Насколько помню, у этих железок есть компрессия маршрутов, возможно это поможет.

Share this post


Link to post
Share on other sites
7 минут назад, foreverok сказал:

На счет ограничения не подскажу.

Насколько помню, у этих железок есть компрессия маршрутов, возможно это поможет.

ну по мануалам ограничение ставиться элементарно, configure bgp neighbor a.a.a.a maximum-prefix 10000 но что то идет не так.

Share this post


Link to post
Share on other sites

maximum-prefix - это только защитный механизм, например, чтобы вам full-view не "прилетел" от клиента.

Если "прилетает" больше префиксов, чем указано в значении maximum-prefix, то сессия рестартится (либо же шатдаунится, в зависимости от настройки).

Этот параметр никак не влияет на количество принимаемых префиксов. Если хотите ограничить количество входящих префиксов, "обрежьте" их по по маске. Принимайте, например, префиксы с маской не больше /20.

Share this post


Link to post
Share on other sites
9 минут назад, maxx сказал:

ну по мануалам ограничение ставиться элементарно, configure bgp neighbor a.a.a.a maximum-prefix 10000 но что то идет не так.

По манулам всегда всё элементарно. Однако есть жестокая реальность. То работает не так, то не те мануалы читаем, то какие то баги )

Софт последний на железке которую Вы настраиваете?

Edited by foreverok

Share this post


Link to post
Share on other sites
Только что, foreverok сказал:

По манулам всегда всё элементарно. Однако есть жестокая реальность. То работает не так, то не те мануалы читаем, то какие то баги )

Софт последние на железке которую Вы настраиваете?

софт не последний, последние версии глючные.

 

Share this post


Link to post
Share on other sites

 

1 минуту назад, maxx сказал:

софт не последний, последние версии глючные.

 

Стесняюсь спросить, а что за железка такая? 

Share this post


Link to post
Share on other sites
1 минуту назад, foreverok сказал:

 

Стесняюсь спросить, а что за железка такая? 

так х450. 

7 минут назад, muff сказал:

maximum-prefix - это только защитный механизм, например, чтобы вам full-view не "прилетел" от клиента.

Если "прилетает" больше префиксов, чем указано в значении maximum-prefix, то сессия рестартится (либо же шатдаунится, в зависимости от настройки).

Этот параметр никак не влияет на количество принимаемых префиксов. Если хотите ограничить количество входящих префиксов, "обрежьте" их по по маске. Принимайте, например, префиксы с маской не больше /20.

это уже через полиси делать я так понимаю?

 

Share this post


Link to post
Share on other sites
3 часа назад, foreverok сказал:

На счет ограничения не подскажу.

Насколько помню, у этих железок есть компрессия маршрутов, возможно это поможет.

Даже просто агрегированных маршрутов (в независимости от hext-hop, а просто "сложенных вместе" с помощью утилиты aggregate на сервере статистики), в UA получается больше 32k.

А железка поддерживает только 16k маршрутов...

3 часа назад, maxx сказал:

так х450. 

это уже через полиси делать я так понимаю?

 

Да, через полиси.
И "накладываете" этот полиси на входящие префиксы.

 

  • Like 1

Share this post


Link to post
Share on other sites
В 21.01.2020 в 15:27, muff сказал:

Даже просто агрегированных маршрутов (в независимости от hext-hop, а просто "сложенных вместе" с помощью утилиты aggregate на сервере статистики), в UA получается больше 32k.

А железка поддерживает только 16k маршрутов...

Да, через полиси.
И "накладываете" этот полиси на входящие префиксы.

 

дзинькую, буду читать.

Share this post


Link to post
Share on other sites
В 21.01.2020 в 16:27, muff сказал:

Даже просто агрегированных маршрутов (в независимости от hext-hop, а просто "сложенных вместе" с помощью утилиты aggregate на сервере статистики), в UA получается больше 32k.

А железка поддерживает только 16k маршрутов...

Да, через полиси.
И "накладываете" этот полиси на входящие префиксы.

 

entry permit-any {
if match any {
        nlri 0.0.0.0/20
}
then {
permit;
}
}

Что то типа такого,  яправильно понимаю?

 

Смущает вот это.

ACL в Extreme не имеют завершающего deny в конце правила. То есть, если пакет не совпал ни с одним правилом в ACL, пакет будет разрешен.

 

Edited by maxx

Share this post


Link to post
Share on other sites

1. юаикс вы не вольете в 450. Скорей всего даже с компресией маршрутов. Лучше  от него отказаться или  не принимать маршруты а только отдавать свои. Будет асинхрон, но будет работать.

2.  как уже писали выше надо добавить все ваши подсети в бжп строкой типа configure bgp add network 3.3.3.0/23

3. Лучше маршруты не експортировать потому что может отдаться какие то левые если с полиси налажаете.

4. Отдаваться могут только активные маршруты  по той же маске что и прописана в бжп и в полиси.  Активные могут быть директ, статик или блекхол в вашем случае.  Если сеть подроблена на этом маршуртизаторе добавьте блекхол на эту сеть. Если статикой отроучена куда - то то блехол добавлять не надо. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By adik_v
      Продам SFP комутаторы, цена 2700 грн за 1 шт, в наличии 5 шт, с ушами, все порты рабочие, отправлю наложкой, либо олх доставка

      extreme summit x250e-24x  -2шт 
      3com switch 5500-e1 28-port fx
      huawei quidway s3328tp-el-24s
       
      По желанию могу доукомплектовать медиками и модулями 180 грн пара модуль-медик
    • By kotqq
      Продам свичи Extreme Networks Summit X460-48P, в коробках, 2 БП, цена с платой xgm3-2sf - 500$, без платы - 380$
       

       
    • By Berkut
      Продам Extreme Networks Summit X440-48t
      новый
      цена 350$
       
      также есть несколько б/у 48t / 48p по 250$
       



    • By SanKo_mn
      Продам Extreme Networks Summit X650-24x + VIM1-SS256-1 (1xPSU AC, Advanced Edge License)- 1 ш
      Цена 2000$
       
      Продам Extreme Networks Summit X670-48x BF (2xPSU AC, Core License), в наличии 2 штуки.
      Цена 4000$ за штуку
    • By hardwar3
      Выведены из эксплуатации в связи с апгрейдом, полностью рабочие.
      1 шт Extreme X450a-24x - 200$
      1 шт Extreme X350-24t   - 100$
      2 шт XGM2-2SF  - 300$
       
      Киев. 
       
×