Перейти до

Помогите с настройкой BGP на Extreme Summit x450


Рекомендованные сообщения

Доброго времени суток!

 

 

Уважаемые гуру, нуждаюсь в Вашей помощи по настройке EXTREME SUMMIT X450.

Задача следующая. Настроить взаимодействие с BGP пирами провайдера на свиче EXTREME SUMMIT X450. По одному влану мы должны принимать от провайдера дефолт на мир, а по второму UA-IX. Все казалось бы просто, но я столкнулся с такой проблемой: от провайдера я получаю как дефолт так и маршруты на UA-IX, но свою сеть провайдеру не отдаю. Ниже приведу конфиг на EXTREME SUMMIT X450.

 

Описание железки и исходных данных:

EXTREME SUMMIT X450, Лицензия CORE, Firmware 12.4.5.3

 

vlan1111 - VLAN для BGP WORLD

vlan2222 - VLAN для UA-IX

vlan3333 - VLAN для адресов моей AS

 

as1111 - AS провайдера

as33333 - Моя AS

 

Конфиг

create vlan ”ISPworld”

configure vlan ”ISPworld” tag 1111

create vlan ”ISPua-ix”

configure vlan ”ISPua-ix” tag 2222

crete vlan "LAN"

configure vlan "LAN" tag 3333

 

configure vlan ”ISPworld” ipaddress  1.1.1.2 255.255.255.252

enable ipforwarding vlan ”ISPworld”

configure vlan ”ISPua-ix” ipaddress  2.2.2.2 255.255.255.252

enable ipforwarding vlan ”ISPua-ix”

configure vlan "LAN" ipaddress 3.3.3.1 255.255.254.0

enable ipforwarding vlan "LAN"

 

configure bgp AS-number 33333

configure bgp routerid  3.3.3.1

enable bgp community format AS-number:number

enable bgp

 

create bgp neighbor 1.1.1.1 remote-AS-number 1111

enable bgp neighbor 1.1.1.1 soft-in-reset
configure bgp neighbor 1.1.1.1 description "ISPworld"
configure bgp neighbor 1.1.1.1 send-community both

configure bgp neighbor 1.1.1.1 route-policy out me-out

configure bgp neighbor 1.1.1.1 route-policy in default-in

enable bgp neighbor 1.1.1.1#F9F9F9"> 

create bgp neighbor 2.2.2.1 remote-AS-number 1111

enable bgp neighbor 2.2.2.1 soft-in-reset
configure bgp neighbor 2.2.2.1 description "ISPworld"
configure bgp neighbor 2.2.2.1 send-community both

configure bgp neighbor 2.2.2.1 route-policy out me-out

configure bgp neighbor 2.2.2.1 route-policy in UAIX-in


enable bgp neighbor 2.2.2.1 

Файлы роут полиси
--------------------------------------
File me-out.pol: 

--------------------------------------

entry mу-net { 
if match any { 
nlri 3.3.3.0/23 exact ;
}
then {
permit;
}
}
entry deny-any { 
if match any { 
}
then {
deny;
}

--------------------------------------
File default-in.pol

--------------------------------------
entry permit-def { 
if match any { 
nlri 0.0.0.0/0 exact ;
}
then {
permit ;
}
}
entry deny-any { 
if match any { 
}
then {
deny;
}

--------------------------------------
File UAIX-in.polentry permit-any { 
--------------------------------------
if match any { 
}
then {
permit;
}
}

-------------------------------------- 

 

 

Подскажите, пожалуйста, где я ошибся. Заранее благодарен.

Відредаговано luckys
Ссылка на сообщение
Поделиться на других сайтах

configure iproute add blackhole  ipv4 3.3.3.0 255.255.254.0

configure bgp add network 3.3.3.0/23

enable bgp export balckhole

Відредаговано alex_o
Ссылка на сообщение
Поделиться на других сайтах

 

configure iproute add blackhole  ipv4 3.3.3.0 255.255.254.0

configure bgp add network 3.3.3.0/23

enable bgp export balckhole

 

Маршрут на blackhole я прописывал и в конфиг добавил configure bgp add network 3.3.3.0/23, а вот enable bgp export balckhole - нет.

Спасибо большое за совет. Попробую и обязательно отпишусь о результатах.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Добавил в конфиг enable bgp export blackhole, но получил то, что пинг даже в свою АСку с этого EXTREM'a не идет. Пинг идет только до ближайшего рутера внутренней сети.

Трафик в Мир и UA-IX c EXTREM'a идет.

До того как добавил в конфиг enable bgp export blackhole пинг на локалку шел отлично.

Відредаговано luckys
Ссылка на сообщение
Поделиться на других сайтах

Чтобы не заморачиваться, я показал как анонсить не blackhole, а директ-сети. Но в этом случае если у Вас падает влан LAN, то анонсы по бгп прекратятся.

Чтобы анонсы Вашей АС оставались в инете не зависимо от состояния физического линка из экстрима в локалку, надо анонсить висящую на blackhole подсеть /23. Но для этого придется на влане LAN повесить на не одну подсеть /23, а разбить ее на две подсети по /24.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

снова обращаюсь за помощью. BGP установлено (анонсируются blackhole сети), сессии не рвутся но есть потери пакетов на данном устройстве. Подскажите, пожалуйста, сколько трафика можно пророутить при получении по мировой сессии - дефолта и по украинской - полностью UA-IX? Благодарю за помощь.

Відредаговано luckys
Ссылка на сообщение
Поделиться на других сайтах

Это же Л3-свич. Он молотит трафик на скорости порта - то есть 1Гбит/сек или 10Гбит/сек (смотря какой у Вас порт). Фабрика у экстрима неблокируемая, то есть все что пришло на свич, успешно с него же и уйдет. БГП тут не при чем, причины в физике. Смотрите статистику ерроров по порту, пробуйте менять физику (оптические модули, патчкорды и т.п.), а также напрягайте бгп-партнера, пусть они со своей стороны ищут источник дропов и ковыряют физику.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

снова обращаюсь за помощью. BGP установлено (анонсируются blackhole сети), сессии не рвутся но есть потери пакетов на данном устройстве. Подскажите, пожалуйста, сколько трафика можно пророутить при получении по мировой сессии - дефолта и по украинской - полностью UA-IX? Благодарю за помощь.

show bgp routes summary

 

у железки 25к маршрутов влазит.

 

ну и в show log если есть

 

01/01/2012 11:15:55.03 <Info:Kern.IPv4Adj.Info> vrId    2 adj 0x5D4B5D4C Unknown host found scanning hash collisions.

01/01/2012 11:15:51.03 <Info:Kern.IPv4Adj.Info> vrId    2 adj 0x5D4B290D Unknown host found scanning hash collisions.

01/01/2012 11:04:53.97 <Info:Kern.IPv4FIB.Info> IPv4 route not added.  Reached configured # of IP Route reserved-entries.

 

- то переполнена аппаратная таблица маршрутизации и экстрим начинает процессором обрабатывать маршрутизацию. x450 - 10kpps, x450a - 16kpps.

Ссылка на сообщение
Поделиться на других сайтах
  • 5 years later...

апну тему. Конфигурю похожую железяку ,

configure bgp neighbor a.a.a.a maximum-prefix 10000

При поднятии сессии заливает 107000 префикосв уаикса и начинает дико лагать.

чяднт?

Ссылка на сообщение
Поделиться на других сайтах
9 минут назад, maxx сказал:

апну тему. Конфигурю похожую железяку ,


configure bgp neighbor a.a.a.a maximum-prefix 10000

При поднятии сессии заливает 107000 префикосв уаикса и начинает дико лагать.

чяднт?

Полагаю, вы пытаетесь впихнуть невпихуемое.

Сабж может принять 12 тыс ipv4 префиксов. Что по нынешним меркам очень мало. 

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, foreverok сказал:

Полагаю, вы пытаетесь впихнуть невпихуемое.

Сабж может принять 12 тыс ipv4 префиксов. Что по нынешним меркам очень мало. 

меня не интересует сколько он может принять меня интересует как ограничить количество принимаемых префиксов.

ибо сабж почему то ниработаит.

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, maxx сказал:

меня не интересует сколько он может принять меня интересует как ограничить количество принимаемых префиксов.

ибо сабж почему то ниработаит.

На счет ограничения не подскажу.

Насколько помню, у этих железок есть компрессия маршрутов, возможно это поможет.

Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, foreverok сказал:

На счет ограничения не подскажу.

Насколько помню, у этих железок есть компрессия маршрутов, возможно это поможет.

ну по мануалам ограничение ставиться элементарно, configure bgp neighbor a.a.a.a maximum-prefix 10000 но что то идет не так.

Ссылка на сообщение
Поделиться на других сайтах

maximum-prefix - это только защитный механизм, например, чтобы вам full-view не "прилетел" от клиента.

Если "прилетает" больше префиксов, чем указано в значении maximum-prefix, то сессия рестартится (либо же шатдаунится, в зависимости от настройки).

Этот параметр никак не влияет на количество принимаемых префиксов. Если хотите ограничить количество входящих префиксов, "обрежьте" их по по маске. Принимайте, например, префиксы с маской не больше /20.

Ссылка на сообщение
Поделиться на других сайтах
9 минут назад, maxx сказал:

ну по мануалам ограничение ставиться элементарно, configure bgp neighbor a.a.a.a maximum-prefix 10000 но что то идет не так.

По манулам всегда всё элементарно. Однако есть жестокая реальность. То работает не так, то не те мануалы читаем, то какие то баги )

Софт последний на железке которую Вы настраиваете?

Відредаговано foreverok
Ссылка на сообщение
Поделиться на других сайтах
Только что, foreverok сказал:

По манулам всегда всё элементарно. Однако есть жестокая реальность. То работает не так, то не те мануалы читаем, то какие то баги )

Софт последние на железке которую Вы настраиваете?

софт не последний, последние версии глючные.

 

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, foreverok сказал:

 

Стесняюсь спросить, а что за железка такая? 

так х450. 

7 минут назад, muff сказал:

maximum-prefix - это только защитный механизм, например, чтобы вам full-view не "прилетел" от клиента.

Если "прилетает" больше префиксов, чем указано в значении maximum-prefix, то сессия рестартится (либо же шатдаунится, в зависимости от настройки).

Этот параметр никак не влияет на количество принимаемых префиксов. Если хотите ограничить количество входящих префиксов, "обрежьте" их по по маске. Принимайте, например, префиксы с маской не больше /20.

это уже через полиси делать я так понимаю?

 

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, foreverok сказал:

На счет ограничения не подскажу.

Насколько помню, у этих железок есть компрессия маршрутов, возможно это поможет.

Даже просто агрегированных маршрутов (в независимости от hext-hop, а просто "сложенных вместе" с помощью утилиты aggregate на сервере статистики), в UA получается больше 32k.

А железка поддерживает только 16k маршрутов...

3 часа назад, maxx сказал:

так х450. 

это уже через полиси делать я так понимаю?

 

Да, через полиси.
И "накладываете" этот полиси на входящие префиксы.

 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
В 21.01.2020 в 15:27, muff сказал:

Даже просто агрегированных маршрутов (в независимости от hext-hop, а просто "сложенных вместе" с помощью утилиты aggregate на сервере статистики), в UA получается больше 32k.

А железка поддерживает только 16k маршрутов...

Да, через полиси.
И "накладываете" этот полиси на входящие префиксы.

 

дзинькую, буду читать.

Ссылка на сообщение
Поделиться на других сайтах
В 21.01.2020 в 16:27, muff сказал:

Даже просто агрегированных маршрутов (в независимости от hext-hop, а просто "сложенных вместе" с помощью утилиты aggregate на сервере статистики), в UA получается больше 32k.

А железка поддерживает только 16k маршрутов...

Да, через полиси.
И "накладываете" этот полиси на входящие префиксы.

 

entry permit-any {
if match any {
        nlri 0.0.0.0/20
}
then {
permit;
}
}

Что то типа такого,  яправильно понимаю?

 

Смущает вот это.

ACL в Extreme не имеют завершающего deny в конце правила. То есть, если пакет не совпал ни с одним правилом в ACL, пакет будет разрешен.

 

Відредаговано maxx
Ссылка на сообщение
Поделиться на других сайтах

1. юаикс вы не вольете в 450. Скорей всего даже с компресией маршрутов. Лучше  от него отказаться или  не принимать маршруты а только отдавать свои. Будет асинхрон, но будет работать.

2.  как уже писали выше надо добавить все ваши подсети в бжп строкой типа configure bgp add network 3.3.3.0/23

3. Лучше маршруты не експортировать потому что может отдаться какие то левые если с полиси налажаете.

4. Отдаваться могут только активные маршруты  по той же маске что и прописана в бжп и в полиси.  Активные могут быть директ, статик или блекхол в вашем случае.  Если сеть подроблена на этом маршуртизаторе добавьте блекхол на эту сеть. Если статикой отроучена куда - то то блехол добавлять не надо. 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від scaran
      Приветствую еще раз. Кто может поделится прошивкой 15.3.1.4 или ниже для summit x250e.  На свитче стоит 12.5.4.5, при попытке зашить 15.3.5.2 patch 1-19 ругается, что нужна промежуточная. А какая именно промежуточная инфы не нашел.
    • Від Berkut
      Продам коммутаторы L3 Extreme Networks Summit X460-48x + XGM3-2SF
       
      в комплекте блок питания Summit 300W AC PSU - 2 шт. + уши для крепления в стойку
       
       
      состояние - отличное, продаются в связи с агрейдом,
      коммутаторы сброшены и обновлены на последнюю прошивку
       
      в наличии -  3шт
       
       
      цена 500$



    • Від scaran
      Интересует какие существуют свитчи 1U формата с 48sfp и аплинками по 10G
      Единственное пока нашел у экстрима summit x460-48x с модулем XGM3-2sf. Если edge лицензия на нем, там же все должно работь и 10г дырки и обычные?
      Есть ли такое у хуавея или дела?
    • Від Meister
      Добрый день. Поделитесь пожалуйста прошивкой для Summit X440-g2.
    • Від kotqq
      Продам коммутатор Extreme Networks Summit x450a-24x, цена 200$, возможно добавить модуль 10G
       




       
       
×
×
  • Створити нове...