Перейти к содержимому
Local
xaoc_nsk

2 Бордера, BGP

Рекомендованные сообщения

11 минут назад, ikoctya сказал:

Вот тут засада. По сути никак, А разве он не должен возвращать траффик обратно первому?

Что значит "возвращать"? У роутера логика простая: пришел пакет - его надо передать по подходящему маршруту; нет маршрута - нет смысла жизни.

"По сути никак" - неправда. Именно для этого придумали такое явление, как IGP-протоколы. Самый простой, как полено, вариант - сделать на обоих бордерах redistribute connected и отдавать их второму бордеру (не аплинку).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, ikoctya сказал:

По сути никак, А разве он не должен возвращать траффик обратно первому?

Итак. Абон подключился к БГП1, получил реалку допустим 91,1,1,1. Пакет Вышел в мир через БГП1, вернулся через БГП2. Пакет Попал в свою АС. Как пакету с БГП2 попасть на ип 91,1,1,1? БГП2 что знает о этой сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
16 часов назад, tkapluk сказал:

Просто отличное резервирование. 😀

 

Вы не поняли. С каждого роутера анонсировать свою подсеть /24 обоим провайдером. В итоге 4 BGP сессии получится. Договориться с провайдерами, чтобы каждый принимал по 2 сессии от Вас.

Что не так? У нас нормально схема работает, разделяем нагрузку тоже на 2 БЖП бордера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
23 часа назад, masters сказал:

анонсируйте с обоих бордеров разные подсети.

У парня 2 по /22

Вы предлагаете побить по /24 и всандалить 4 /24 одному бордеру, 4 /24 другому, при этом убрать ибгп. Отлично. Отпал один Бордер. Остались 4 /24. Что делать остальным?

Изменено пользователем Dimkers

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, Dimkers сказал:

У парня 2 по /22

Вы предлагаете побить по /24 и всандалить 4 /24 одному бордеру, 4 /24 другому, при этом убрать ибгп. Отлично. Отпал один Бордер. Остались 4 /24. Что делать остальным?

Судя по задаче, резервировать нужно каналы а не Бордер. На бордерах распределяет нагрузку.

Если один упадёт, а второй такую нагрузку не выдержит - то тоже толку мало в таком резервировании.

Бить на 24 не надо, просто непонятно сколько у него сетей. 22 это вроде клиентские. 

 

Второй вопрос, как сейчас распределяются клиенты на 2 бордера? А то по схеме не понятно, что за л2 свичем? Ibgp/ospf? 

Можно точно так же, при падении одного бордера, анонсировать все подсети через другой. 

Изменено пользователем masters

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хоспаде, какой же ужос я тут читаю :(

7 часов назад, Dimkers сказал:

У парня 2 по /22

Вы предлагаете побить по /24 и всандалить 4 /24 одному бордеру, 4 /24 другому, при этом убрать ибгп. Отлично. Отпал один Бордер. Остались 4 /24. Что делать остальным?

я думаю он имел в виду мор специфики

если есть два аплинка и, скажем, абстрактно, одна \22
анонсы идут: isp 1 \22 + \23 первая. isp 2: \22 + \23 вторая

типичный быдлокейс по раздуванию глобальной таблицы  бюджетный кейс по балансировке

7 часов назад, masters сказал:

А то по схеме не понятно, что за л2 свичем? Ibgp/ospf? 

как за л2 свичем может быть роутинг? кмк там нет дальше железа с роутингом, всё на бордеры идет

если конечно л2+ железка с базовым роутингом, но нужно быть камикадзе что б так делать

он явно делает какую-то дичь

точнее цели ясны и понятны, но реализация... и фактический результат "у всех всё пропало"

Изменено пользователем l1ght

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
25 минут назад, l1ght сказал:

анонсы идут: isp 1 \22 + \23 первая. isp 2: \22 + \23 вторая

Это работать не будет

Отдача по вкусу, возвратка:

isp 1: с большим приоритетом \23 первая + с малым приоритетом \23 вторая

isp 2: с большим приоритетом \23 вторая + с малым приоритетом \23 первая

30 минут назад, l1ght сказал:

типичный быдлокейс по раздуванию глобальной таблицы  бюджетный кейс по балансировке

И в списке глобальных префиксов, Украина не выглядит прям как капец полный, поэтому можно считать как "стандартный" вариант решения.

А что есть что то еще за бюджетные бабки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, pavlabor сказал:

Это работать не будет

Отдача по вкусу, возвратка:

isp 1: с большим приоритетом \23 первая + с малым приоритетом \23 вторая

isp 2: с большим приоритетом \23 вторая + с малым приоритетом \23 первая

будет работать

создаешь нужные роут обжекты и будет

Цитата

А что есть что то еще за бюджетные бабки?

Вот ты нарисовал про приоритеты. В их роли тут по сути будут препенды

Изменено пользователем l1ght

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, l1ght сказал:

создаешь нужные роут обжекты и будет

Это уже заумно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, pavlabor сказал:

Это уже заумно.

Зато бюджетно 🤔

И не нужно препендов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, Dimkers сказал:

БГП2 что знает о этой сети?

Да, знает. Он тоже находится во всех анонсируемых сетях. т.е., например, у первого bgp1 адреса внутрь a.a.a.1, b.b.b.1, у второго bgp2 a.a.a.2, b.b.b.2

 

За L2 свитчем сеть с агрегаторами и коммутаторами доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18 минут назад, ikoctya сказал:

Да, знает. Он тоже находится во всех анонсируемых сетях. т.е., например, у первого bgp1 адреса внутрь a.a.a.1, b.b.b.1, у второго bgp2 a.a.a.2, b.b.b.2

Ну и что показывают трейсы на ип второго bgp2 a.a.a.2, b.b.b.2 с http://lg.ua-ix.net.ua/

Что показывают трейсы исхода bgp2 от a.a.a.2, b.b.b.2 на http://lg.ua-ix.net.ua/

 

 

Изменено пользователем pavlabor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, pavlabor сказал:

Ну и что показывают трейсы на ип второго bgp2 a.a.a.2, b.b.b.2 с http://lg.ua-ix.net.ua/

Что-то мне подсказывает что там проблема не внешней связности а попытки балансировать юзеров (не аплинки) между брасами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, l1ght сказал:

Что-то мне подсказывает что там проблема не внешней связности а попытки балансировать юзеров (не аплинки) между брасами.

Так трейсы это и покажут.

У нас так заточено, все работает без проблем.

Хотя нужно учитывать приоритеты у прова на внешних линках.

Если аплинка два, но пров один, оно может по дефаулту всеравно лится на первый аплинк.

Та же ботва если два аплинка, два прова, но они сидят на одном магистрале, все может лится на первый аплинк и разбиратся нужно с магистралом.

Изменено пользователем pavlabor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, pavlabor сказал:

Так трейсы это и покажут

Трейсы покажут что его бордеры откуда-то доступны.

Лучше уже смотреть по его ASке анонсы фактические. Вот и понятно будет.

А вообще товарищу либо разбираться как это всё работает. Либо нанять профпригодного.

Странно что ещё никто не заявил типичное "наймите админа" или я где-то упустил?

4 минуты назад, pavlabor сказал:

Если аплинка два, но пров один, оно может по дефаулту всеравно лится на первый аплинк.

Та же ботва если два аплинка, два прова, но они сидят на одном магистрале, все может лится на первый аплинк и разбиратся нужно с магистралом.

Обычно там приколы с балансировкой. Хуже когда фильтры ручками забиты и кроме как по ним, без запроса на изменение может чего-то не пролезть.. А у него нихера не работает.

Изменено пользователем l1ght

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, l1ght сказал:

Трейсы покажут что его бордеры откуда-то доступны.

Не бордеры а анонсируемые блоки.

Доступность бордеоа покажет трейс на ип выданый вышестоящим провом для связки и понятно он будет доступен, потому как это внутренняя маршрутизация внешнего прова.

А a.a.a.2, b.b.b.2, могут быть зарулены шаловливыми ручками как у топикастера, провов аплинков, магистралом, на точке обмена.

Особые горбыли это паритетники между крупными провами.

 

Кстати некоторые операторы требуют прописывать анонсы в РАЙПЕ, без них блок уходит в бан.

 

 

 

Изменено пользователем pavlabor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, pavlabor сказал:

Не бордеры а анонсируемые блоки.

Доступность бордеоа покажет трейс на ип выданый вышестоящим провом для связки и понятно он будет доступен, потому как это внутренняя маршрутизация внешнего прова.

А a.a.a.2, b.b.b.2, могут быть зарулины шаловливыми ручками как у топикастера, провов аплинков, магистралом, на точке обмена.

Особые горбыли это паритетники между крупными провами.

Мы с тобой одно и тоже называем разными словами и выходит спор ни о чем.

Пока здесь не будет:
1) фильтры что ТС шлет аплинкам
2) номер АСки что б увидеть роут обжекты (а нормальные люди фильтруют по as-set внутри которых префиксы, либо напрямую по роут обжектам принадлежащей АСке)

3) посмотреть хотя бы на bgp.he.net чего там в действительности разлетелось по анонсам

4) если картина не сошлась с реальностью - тогда уже трейсим вперед и взад (со стороны сети и со стороны лугинг гласов)

- все остальное треп не о чем.

Ну это если говорить про его внешнуюю связность, а то гадание на кофейной гуще - крайне бесполезное занатие с уровнем знаний ТСа.

 

И да, доступность бордера нихера не значит что блок за ним будет работать.

Изменено пользователем l1ght

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы рекомендовал сначала построится на препендах, а потом городить фильтра

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Позже проверю трейсы. Сейчас все вернул на старую схему: 1 бордер, 2 аплинка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, pavlabor сказал:

Я бы рекомендовал сначала построится на препендах, а потом городить фильтра

Мы говорим про акл в роутмапе (если уж у него квагга) которые не даст мусору выхода в сторону аплинка.

Ибо хороший тон. Ровно то что он сделал. 

А на ин у него фильтры только по RFC1918 и "серым" АСкам.

Рано ему эту хрень балансировать. Пускай хоть как-то работать заставит, ну?

 

image.png.4db42a086b7117217a4fb51cbb9ac386.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На одном бгп с подобными же настройка работает просто на ура и очень хорошо все балансируется/резервируется по аплинкам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, l1ght сказал:

я думаю он имел в виду мор специфики

А ядумаю, что врядли.

1 час назад, ikoctya сказал:

Да, знает. Он тоже находится во всех анонсируемых сетях. т.е., например, у первого bgp1 адреса внутрь a.a.a.1, b.b.b.1, у второго bgp2 a.a.a.2, b.b.b.2

Точно? А при чем тут внутренние а.а.а.1 и b.b.b.1, если я говорю про внешний, пакет с кот. ушел с бгп1, в пришел на бгп2?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, ikoctya сказал:

На одном бгп с подобными же настройка работает просто на ура и очень хорошо все балансируется/резервируется по аплинкам.

Правильно я понял?

На одном роутере:

- работаешь на одном аплинке все работает,

- подключаешь второй аплинк, все работает, более того трафик распределяется по аплинкам,

- отключаешь первый аплинк, все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, pavlabor сказал:

Правильно я понял?

На одном роутере:

- работаешь на одном аплинке все работает,

- подключаешь второй аплинк, все работает, более того трафик распределяется по аплинкам,

- отключаешь первый аплинк, все работает.

ДА

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
14 минут назад, ikoctya сказал:
18 минут назад, pavlabor сказал:

Правильно я понял?

На одном роутере:

- работаешь на одном аплинке все работает,

- подключаешь второй аплинк, все работает, более того трафик распределяется по аплинкам,

- отключаешь первый аплинк, все работает.

ДА

В таком случае с маршрутами, банами РАЙПА, горбылями с магистралами  все в порядке.

Что осталось?

Правильно - внутренняя маршрутизация.

Мне например непонятно почему трафик со второго роутера должен проходить через первый.

У тебя все должно маршрутизироватся как будто два разных прова.

Выбрасывай в сеть ип и трейсуй его с юа-х.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: bot
      Сервис BGPMon зафиксировал попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится созданный компанией Cloudflare общедоступный DNS-сервер с поддержкой "DNS over TLS". Трафик был направлен в автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).

      Судя по сведениям одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.

      Некоторые участники обсуждения не верят подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола".
       
      Источник: opennet
    • Автор: Minotaur
      Приветствую!
      Кто-то сталкивался с тем, что Extreme Networks упорно не принимает серые сети по iBGP ?
      Например, есть policy, в котором в явном виде указана сеть, которую необходимо принять:
      entry gray { if match any { nlri 10.0.10.0/24; } then { permit; } } Но она реджектится, свитч рапортует, что она - unfeasible:
       
      * x480.61 # show bgp routes network 10.0.10.0/24 Feasible Routes --------------- Destination Peer Next-Hop LPref Weight MED AS-Path Unfeasible Routes ----------------- Destination Peer Next-Hop LPref Weight MED AS-Path i10.0.10.0/24 x.x.x.17 x.x.x.17 100 Flags: (*) Preferred BGP route, (>) Active, (d) Suppressed, (h) History (s) Stale, (m) Multipath Origin: (?) Incomplete, (e) EGP, (i) IGP BGP Route Statistics Total Rxed Routes : 428512 Feasible Routes : 428502 Unfeasible Routes : 10 Active Routes : 137601 Route Statistics on Session Type Routes from Int Peer: 19 Routes from Ext Peer: 428483 BGP Route Statistics Matching the Display Criteria Feasible Routes : 0 Active Routes : 0 Unfeasible Routes : 1 Что не так?
    • Автор: Garik
      Продам коммутаторы Cisco Catalyst WS-C3560E-48TD, L3, 48 портов Ethernet 10/100/1000 Мбит/сек, 2 X2 10G Ethernet uplinks
       

       
      Документация: data_sheet_3560-E.pdf
       
      $350
    • Автор: Vsevolod
      Добрый день!
       
      Имеется mikrotik ССR 1036, заведено 3 провайдера, один из которых (isp2) отдает по bgp n-ое количество префиксов.
       
      Также есть 2 абонентские сети ( 172.18.0.0/22, 10.0.0.0/22).
      Нужно чтоб первая сеть (172.18.0.0/22) ходила через isp2, если маршрут приходит по bgp, если же не приходит то уходила в isp1, и также со второй (10.0.0.0/22) - чтоб уходила в isp2, если маршрут приходит по bgp, если же не приходит то уходила в isp3.
       
      Подскажите, пожалуйста, реализацию.

    • Автор: Garik
      Продам L3 10G коммутаторы Brocade TurboIron 24x,  24 порта 1/10GE (SFP+), 4 порта 1000Base-T.
      BGP, OSPF, QinQ, 2БП, Cisco like CLI.
      Уши для крепления в стойку в комплекте.
      1000 у.е. с 1 БП
      1200 у.е. с 2 БП
      turboiron-24x-ds.pdf
      TurboIron24X_07400_ConfigGuide.pdf



×