electro_ 0 Опубликовано: 2016-02-08 15:29:47 Share Опубликовано: 2016-02-08 15:29:47 (відредаговано) ТЕМА ОБНОВЛЕНА, ДОБАВИЛОСЬ НЕСКОЛЬКО ЗАДАЧ Доброго времени суток, дорогие форумчане и гуру маршрутизации BGP Есть сервер(шлюз) Ubuntu 14.04, XEON 3,2 4C, 8Gb RAM, uname -a 3.19.0-49-generic: Есть моя автономная система AS43175 91.196.176.0/22 На сервер заходит два провайдра 3 канала: 2основных и 1 резервный Провайдер1 выделил 2 VLAN и 2 пары ip Провайдер 2 выделил 1 VLAN 1 пару ip # ISP1 auto eth0.1365 iface eth0.1365 inet static address 194.44.239.74 netmask 255.255.255.252 network 194.44.239.72 dns-nameservers 8.8.8.8 # ISP1-backup channel auto eth0.1368 iface eth0.1368 inet static address 194.44.6.66 netmask 255.255.255.252 network 194.44.6.64 dns-nameservers 8.8.8.8 # ISP2 auto eth1.510 iface eth1.510 inet static address 46.164.145.18 network 46.164.145.16 netmask 255.255.255.252 broadcast 46.164.145.19 dns-nameservers 8.8.8.8 поднято BGP: 3 сессии 2 от одного провайдра и 1 от другого, принимаю FULL VIEW router bgp 43175 bgp router-id 91.196.179.254 bgp log-neighbor-changes bgp default local-preference 200 network 91.196.176.0/22 network 91.196.176.0/24 network 91.196.177.0/24 network 91.196.178.0/24 network 91.196.179.0/24 neighbor 194.44.239.73 remote-as 3255 neighbor 194.44.239.73 description ISP1 neighbor 194.44.239.73 weight 300 neighbor 194.44.239.73 next-hop-self neighbor 194.44.239.73 soft-reconfiguration inbound neighbor 194.44.239.73 prefix-list DEFAULT_ONLY in neighbor 194.44.239.73 route-map ISP1-out out neighbor 194.44.6.65 remote-as 3255 neighbor 194.44.6.65 description ISP1-backup channel neighbor 194.44.6.65 weight 200 neighbor 194.44.6.65 next-hop-self neighbor 194.44.6.65 soft-reconfiguration inbound neighbor 194.44.6.65 prefix-list DEFAULT_ONLY in neighbor 194.44.6.65 route-map ISP1-out out neighbor 46.164.145.17 remote-as 21219 neighbor 46.164.145.17 description ISP2 neighbor 46.164.145.17 next-hop-self neighbor 46.164.145.17 soft-reconfiguration inbound neighbor 46.164.145.17 prefix-list DEFAULT_ONLY in neighbor 46.164.145.17 route-map ISP2-out out ! access-list vty-acl permit 127.0.0.1/32 ! route-map ISP1-out permit 10 match ip address prefix-list ISP1-prefixes ! route-map ISP2-out permit 20 match ip address prefix-list ISP2-prefixes ! ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP1-prefixes seq 20 permit 91.196.177.0/24 ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/24 ! ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP2-prefixes seq 20 permit 91.196.176.0/24 ip prefix-list ISP2-prefixes seq 30 permit 91.196.179.0/24 ! line vty access-class vty-acl ! Взаимодействия между автономными системами провайдров нет. Поэтому застрял и не могу понять что и как дальше В Ripe прописано: import: from AS21219 accept ANY import: from AS3255 accept ANY export: to AS21219 announce AS43175 export: to AS3255 announce AS43175 RIPE PREFIX и сюда AS3255 и сюда AS21219 одинаковые префиксы (что нужно менять в ripe ?) 91.196.176.0/22 91.196.176.0/24 Если анонсировать 91.196.176.0/22 и туда и туда, то валится маршрутизация, как это решать ? Что мне нужно: реализовать нихерасибесхему 1. Что бы сеть автономной системы 91.196.176.0/22 анонсировалась и в ISP1 и в ISP2 и одновременно работала (если возможно такое) 2. При падении ISP2 весь анонс уходил на ISP1, при поднятии возвращался обратно. Відредаговано 2016-02-09 14:51:28 electro_ Ссылка на сообщение Поделиться на других сайтах
veca16 1 Опубліковано: 2016-02-08 15:47:50 Share Опубліковано: 2016-02-08 15:47:50 Я конечно не гуру в этих вопросах но на сколько знаю это все рулится по BGP и маршруты по умолчанию отдельно не прописываются, а их вы получаете по BGP, а ip который ставите шлюзом будет ваш сосед по BGP(neighbor). Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубліковано: 2016-02-08 16:49:18 Share Опубліковано: 2016-02-08 16:49:18 Наверное, ТС, хочет пускать одних абонентов только через INET1, а других только через INET2. В этом случае, надо еще сооружать два NAT'a и делать самописный скрипт для определения "живучести" шлюза и переключения на живой. Про BGP veca16 правильно написал. Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-08 17:05:27 Автор Share Опубліковано: 2016-02-08 17:05:27 Наверное, ТС, хочет пускать одних абонентов только через INET1, а других только через INET2. В этом случае, надо еще сооружать два NAT'a и делать самописный скрипт для определения "живучести" шлюза и переключения на живой. Про BGP veca16 правильно написал. я понял, конфиг бгп живой, что нужно еще прописать или изменить что бы при падении линка 1 весь трафик уходил в линк 2. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-02-08 17:59:57 Share Опубліковано: 2016-02-08 17:59:57 (відредаговано) я понял, конфиг бгп живой, что нужно еще прописать или изменить что бы при падении линка 1 весь трафик уходил в линк 2.Для этого нужно посносить к херам всю условную маршуртизацию прописанную вначале, использовать стандартную таблицу маршрутизации и возможности BGP. Вы ж сами руками жестко прописали 2 дефолта, и пытаетесь их же принять по bgp что б что-то там переключалось. В ip rule у вас вообще жесть какая-то, несовместимая с реальностью. p.s. на НАГе вам примерно так же ответили, используйте возможности BGP а не кривые костыли. Відредаговано 2016-02-08 18:06:20 KaYot Ссылка на сообщение Поделиться на других сайтах
S_ergey 21 Опубліковано: 2016-02-08 18:07:02 Share Опубліковано: 2016-02-08 18:07:02 Добавьте weight neighbor 194.44.239.73 weight 300 neighbor 194.44.6.65 weight 400 Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-08 18:09:59 Автор Share Опубліковано: 2016-02-08 18:09:59 я понял, конфиг бгп живой, что нужно еще прописать или изменить что бы при падении линка 1 весь трафик уходил в линк 2.Для этого нужно посносить к херам всю условную маршуртизацию прописанную вначале, использовать стандартную таблицу маршрутизации и возможности BGP.Вы ж сами руками жестко прописали 2 дефолта, и пытаетесь их же принять по bgp что б что-то там переключалось.В ip rule у вас вообще жесть какая-то, несовместимая с реальностью.p.s. на НАГе вам примерно так же ответили, используйте возможности BGP а не кривые костыли. Уберу, а дальше то что? В бгп такого не делал, все в инете искал... Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-08 18:11:17 Автор Share Опубліковано: 2016-02-08 18:11:17 Добавьте weight neighbor 194.44.239.73 weight 300 neighbor 194.44.6.65 weight 400 И все? Дефолты значит будет сам бгп принимать от провайдера ? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-02-08 18:31:18 Share Опубліковано: 2016-02-08 18:31:18 (відредаговано) BGP у вас так и настроен, принимать дефолты с 2 источников. Он ведь для этого и нужен. Поставьте основному больший weight, что б он по умолчанию использовался и будет все работать. Відредаговано 2016-02-08 18:31:52 KaYot Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-08 18:52:16 Автор Share Опубліковано: 2016-02-08 18:52:16 BGP у вас так и настроен, принимать дефолты с 2 источников. Он ведь для этого и нужен.Поставьте основному больший weight, что б он по умолчанию использовался и будет все работать. Ок. Спс, если не заработает буду к вам обращаться, если да отблагодарю Ссылка на сообщение Поделиться на других сайтах
Lynx100 90 Опубліковано: 2016-02-09 01:14:17 Share Опубліковано: 2016-02-09 01:14:17 Ну судя по всему у вас провайдер Уарнет он в основном строит 2 BGP сессии для резервирования т.е. следуя из логики слова "резервирования" - должно ходить или через один или через другой "стык/плечо".. Судя из ваших слов вам надо 1. Что бы одновременно на сервере работали 2 дефолтных маршута2. При падении одного из линков, переходило на другой дефолтный маршут3. 2 БГП сессии, которые делаую резервирование канала (в случае падения одн п.1 - "одновременно" оно не совсем правильно .... т.е. дефолт в таблице маршрутизации должен быть или в одну или другую сторону (по bgp понятно принимается 2 с разным приоритетом/весом) п.2 и п 3 - подтверждает то что я написал о п.1 - это решается роутмапами или как вам посоветовали выше weight на соседа Ссылка на сообщение Поделиться на других сайтах
Lambert 5 Опубліковано: 2016-02-09 05:36:27 Share Опубліковано: 2016-02-09 05:36:27 А наскільки складно в подібній ситуації використовувати обидва канали одночасно, з метою збільшення швидкості? Приміром, задати сервіси за замовчуванням, що мають працювати одни або іншим каналом, і у випадку падіння - автоматично перемикати все що є в працюючий канал Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-02-09 09:06:37 Share Опубліковано: 2016-02-09 09:06:37 А наскільки складно в подібній ситуації використовувати обидва канали одночасно, з метою збільшення швидкості? Приміром, задати сервіси за замовчуванням, що мають працювати одни або іншим каналом, і у випадку падіння - автоматично перемикати все що є в працюючий канал У циски элементарно, в конфиге задается параметр multipath N и кошка начинает принимать N одинаковых маршрутов, балансируя по ним трафик. Для *nix вероятно тоже можно подобное запилить, никогда не заморачивался. Ссылка на сообщение Поделиться на других сайтах
Lynx100 90 Опубліковано: 2016-02-09 09:30:41 Share Опубліковано: 2016-02-09 09:30:41 А наскільки складно в подібній ситуації використовувати обидва канали одночасно, з метою збільшення швидкості? Приміром, задати сервіси за замовчуванням, що мають працювати одни або іншим каналом, і у випадку падіння - автоматично перемикати все що є в працюючий канал в випадку ТС - абсолютно нічого не дасть і не допоможе .... так як схема така: є угода на полосу .... цю полосу ви отримуєте або з одного або іншого (який собі зробите резервним ваша справа) стику.... звичайно можна і в 2 напрямки гнати але це не значить що з і сторони провайдера він піде по 2 стикам... ну і більше ніж в угоді теж не буде Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-09 13:46:21 Автор Share Опубліковано: 2016-02-09 13:46:21 (відредаговано) Доброго времени суток, дорогие форумчане и гуру маршрутизации BGP Есть сервер(шлюз) Ubuntu 14.04, XEON 3,2 4C, 8Gb RAM, uname -a 3.19.0-49-generic: Есть моя автономная система AS43175 91.196.176.0/22 На сервер заходит два провайдра 3 канала: 2основных и 1 резервный Провайдер1 выделил 2 VLAN и 2 пары ip Провайдер 2 выделил 1 VLAN 1 пару ip # ISP1 auto eth0.1365 iface eth0.1365 inet static address 194.44.239.74 netmask 255.255.255.252 network 194.44.239.72 dns-nameservers 8.8.8.8 # ISP1-backup channel auto eth0.1368 iface eth0.1368 inet static address 194.44.6.66 netmask 255.255.255.252 network 194.44.6.64 dns-nameservers 8.8.8.8 # ISP2 auto eth1.510 iface eth1.510 inet static address 46.164.145.18 network 46.164.145.16 netmask 255.255.255.252 broadcast 46.164.145.19 dns-nameservers 8.8.8.8 поднято BGP: 3 сессии 2 от одного провайдра и 1 от другого, принимаю FULL VIEW router bgp 43175 bgp router-id 91.196.179.254 bgp log-neighbor-changes bgp default local-preference 200 network 91.196.176.0/22 network 91.196.176.0/24 network 91.196.177.0/24 network 91.196.178.0/24 network 91.196.179.0/24 neighbor 194.44.239.73 remote-as 3255 neighbor 194.44.239.73 description ISP1 neighbor 194.44.239.73 weight 300 neighbor 194.44.239.73 next-hop-self neighbor 194.44.239.73 soft-reconfiguration inbound neighbor 194.44.239.73 prefix-list DEFAULT_ONLY in neighbor 194.44.239.73 route-map ISP1-out out neighbor 194.44.6.65 remote-as 3255 neighbor 194.44.6.65 description ISP1-backup channel neighbor 194.44.6.65 weight 200 neighbor 194.44.6.65 next-hop-self neighbor 194.44.6.65 soft-reconfiguration inbound neighbor 194.44.6.65 prefix-list DEFAULT_ONLY in neighbor 194.44.6.65 route-map ISP1-out out neighbor 46.164.145.17 remote-as 21219 neighbor 46.164.145.17 description ISP2 neighbor 46.164.145.17 next-hop-self neighbor 46.164.145.17 soft-reconfiguration inbound neighbor 46.164.145.17 prefix-list DEFAULT_ONLY in neighbor 46.164.145.17 route-map ISP2-out out ! access-list vty-acl permit 127.0.0.1/32 ! route-map ISP1-out permit 10 match ip address prefix-list ISP1-prefixes ! route-map ISP2-out permit 20 match ip address prefix-list ISP2-prefixes ! ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP1-prefixes seq 20 permit 91.196.177.0/24 ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/24 ! ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP2-prefixes seq 20 permit 91.196.176.0/24 ip prefix-list ISP2-prefixes seq 30 permit 91.196.179.0/24 ! line vty access-class vty-acl ! Взаимодействия между автономными системами провайдров нет. Поэтому застрял и не могу понять что и как дальше В Ripe прописано: import: from AS21219 accept ANY import: from AS3255 accept ANY export: to AS21219 announce AS43175 export: to AS3255 announce AS43175 RIPE PREFIX и сюда AS3255 и сюда AS21219 одинаковые префиксы (что нужно менять в ripe ?) 91.196.176.0/22 91.196.176.0/24 Если анонсировать 91.196.176.0/22 и туда и туда, то валится маршрутизация, как это решать ? Что мне нужно: реализовать нихерасибесхему 1. Что бы сеть автономной системы 91.196.176.0/22 анонсировалась и в ISP1 и в ISP2 и одновременно работала (если возможно такое) 2. При падении ISP2 весь анонс уходил на ISP1, при поднятии возвращался обратно. Відредаговано 2016-02-09 14:37:53 electro_ Ссылка на сообщение Поделиться на других сайтах
Lynx100 90 Опубліковано: 2016-02-09 14:49:35 Share Опубліковано: 2016-02-09 14:49:35 (відредаговано) что говорит на sh ip bgp su ? соседи 46.164.145.17 194.44.6.65 194.44.239.73 пингуются фаервол ничего не блокирует? Відредаговано 2016-02-09 14:51:17 Lynx100 Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-09 15:29:43 Автор Share Опубліковано: 2016-02-09 15:29:43 что говорит на sh ip bgp su ? соседи 46.164.145.17 194.44.6.65 194.44.239.73 пингуются фаервол ничего не блокирует? все пингуется, файервола нет. Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 194.44.6.65 4 3255 614261 198 0 0 0 01:35:50 1 194.44.239.73 4 3255 266547 964 0 0 0 01:34:02 1 46.164.145.17 - этого пока не подымал Если анонсировать 91.196.176.0/22 в AS3255 и в AS21219, то валится маршрутизация Ссылка на сообщение Поделиться на других сайтах
S_ergey 21 Опубліковано: 2016-02-09 15:40:23 Share Опубліковано: 2016-02-09 15:40:23 ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP1-prefixes seq 20 permit 91.196.177.0/24 ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/24 ! ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP2-prefixes seq 20 permit 91.196.176.0/24 ip prefix-list ISP2-prefixes seq 30 permit 91.196.179.0/24 убери 91.196.176.0/22 и network 91.196.176.0/22 Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-02-09 15:48:57 Share Опубліковано: 2016-02-09 15:48:57 Что значит взаимодействия нет? Одни и те же блоки и нужно анонсировать всем соседям, входящий трафик должен разливаться автоматически. Проверьте в sysctl параметр rp_filter, он обычно по умолчанию включен и блокирует multi-home трафик.. Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-09 16:46:38 Автор Share Опубліковано: 2016-02-09 16:46:38 Что значит взаимодействия нет? Одни и те же блоки и нужно анонсировать всем соседям, входящий трафик должен разливаться автоматически.Проверьте в sysctl параметр rp_filter, он обычно по умолчанию включен и блокирует multi-home трафик.. Тоесть если я выключю рп фильтр и буду анонсировать 91.196.176.0/22 в AS3255 и в AS21219 трабла с маршутами не будет? И если анонсировпть обеим провайдерам ОДИНАКОВЫЕ сети /24 , то тогда как и через какого провайдера будет ходить трафик? Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-09 16:50:56 Автор Share Опубліковано: 2016-02-09 16:50:56 ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP1-prefixes seq 20 permit 91.196.177.0/24 ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/24 ! ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0 ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22 ip prefix-list ISP2-prefixes seq 20 permit 91.196.176.0/24 ip prefix-list ISP2-prefixes seq 30 permit 91.196.179.0/24 убери 91.196.176.0/22 и network 91.196.176.0/22 И что это дает? В райпе прописан этот анонс... Ссылка на сообщение Поделиться на других сайтах
Lynx100 90 Опубліковано: 2016-02-09 17:09:13 Share Опубліковано: 2016-02-09 17:09:13 И если анонсировпть обеим провайдерам ОДИНАКОВЫЕ сети /24 , то тогда как и через какого провайдера будет ходить трафик?в идеале - по кратчайшему пути в реале - все зависит от договоренностей ваших апстримов с их соседями Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-02-09 17:12:55 Share Опубліковано: 2016-02-09 17:12:55 Тоесть если я выключю рп фильтр и буду анонсировать 91.196.176.0/22 в AS3255 и в AS21219 трабла с маршутами не будет? И если анонсировпть обеим провайдерам ОДИНАКОВЫЕ сети /24 , то тогда как и через какого провайдера будет ходить трафик? Ну да. Входящий трафик пойдет через того провайдера, у которого лучше связность(считай, короче маршрут). Именно для этого BGP и придуман. Исходящий трафик опять же пойдет через того, у кого путь короче раз вы фулл-вью принимаете. Никаких проблем в такой схеме быть не может, она стандартна. 99% что у вас трафик не едет из-за банального rp_filter. Ссылка на сообщение Поделиться на других сайтах
Lynx100 90 Опубліковано: 2016-02-09 17:19:31 Share Опубліковано: 2016-02-09 17:19:31 все пингуется, файервола нет. Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 194.44.6.65 4 3255 614261 198 0 0 0 01:35:50 1 194.44.239.73 4 3255 266547 964 0 0 0 01:34:02 1 а что говорит sh ip bgp neighbors 194.44.6.65 adv sh ip bgp neighbors 194.44.239.73 adv ? Ссылка на сообщение Поделиться на других сайтах
electro_ 0 Опубліковано: 2016-02-09 17:31:08 Автор Share Опубліковано: 2016-02-09 17:31:08 Тоесть если я выключю рп фильтр и буду анонсировать 91.196.176.0/22 в AS3255 и в AS21219 трабла с маршутами не будет?И если анонсировпть обеим провайдерам ОДИНАКОВЫЕ сети /24 , то тогда как и через какого провайдера будет ходить трафик?Ну да.Входящий трафик пойдет через того провайдера, у которого лучше связность(считай, короче маршрут). Именно для этого BGP и придуман.Исходящий трафик опять же пойдет через того, у кого путь короче раз вы фулл-вью принимаете.Никаких проблем в такой схеме быть не может, она стандартна. 99% что у вас трафик не едет из-за банального rp_filter. ПРОБЛЕМА 2 При падении ISP2 весь анонс уходил на ISP1, при поднятии возвращался обратно в бгп тоже такое возможно но как .... Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас