Как принять IX или экономить на BGP роутере

[Shuher 216]

Доброго дня!

Хочу поднять тему о BGP route reflector.

Есть верхний оператор AS100 192.168.0.1/29

Есть AS200 RR(что-нибудь с достаточным кол-вом памяти)192.168.0.2/29

Есть AS200 цыска c3550 192.168.0.3/29

Строим сессию 192.168.0.1 и 192.168.0.2

Получаем кучу префиксов.

Строим сессию 192.168.0.2 и 192.168.0.3

Получаем на цыска кучу префиксов, цыска сходит с ума.

Ложимся сессию на 192.168.0.2 на цыску.

Делаем префикс лист который разрешает только дефолт, все остальное запрещает. Добавляем в in роутмеп.

Просим 192.168.0.1 отдать мне ещё и дефолт.

Поднимаем сессию на цыску. Цыска не виснет, но все как-то глючит - Гугл не пингаеться из какойнить сети в инете половина ip не пингаеться.

Но при этом какой-то трафик всё-таки пошёл.

На RR

show ip bgp neighbors 192.168.0.2 routes

Показывает кучу префиксов включая дефолт с next hop 192.168.0.1

show ip bgp neighbors 192.168.0.2 routes

Показывает анонсируемые префиксы цыской с next hop 192.168.0.3

У верхнего провайдера

show ip bgp neighbors 192.168.0.2 routes

Показывает анонсируемые префиксы с next hop 192.168.0.3

 

Во время всех этих манипуляций цыска принимает 3 дефолта с миром.

 

Может кто-то разжевать как правил но работает такая схема?

Цель - принимать Фул, іх, работать с АС 32 бит.

[skylaer 19]

Проще уговорить аплинка поднять еще 1 сессию с дефолтом для 3550.на  приватную АС.

[ig0r 25]

Возможно сказываются позднее время суток и жара, но описание задачи воспринимается с трудом, а эффект сравним с эффектом от прочтения этого анекдота.
Зачем full view если в итоге циска принимает три дефолта?

[Shuher 216]

  В 03.08.2017 в 21:22, skylaer сказав:

Проще уговорить аплинка поднять еще 1 сессию с дефолтом для 3550.на  приватную АС.

и что єто даст?

[Shuher 216]

  В 03.08.2017 в 21:41, ig0r сказав:

Возможно сказываются позднее время суток и жара, но описание задачи воспринимается с трудом, а эффект сравним с эффектом от прочтения этого анекдота.

Зачем full view если в итоге циска принимает три дефолта?

Затем чтоб рулить трафиком на RR

Затем чтоб прикупить IX дешевле мира.

Відредаговано 2017-08-03 23:55:02 Shuher

[KaYot 3 730]

  В 03.08.2017 в 23:53, Shuher сказав:

 

  В 03.08.2017 в 21:41, ig0r сказав:

Возможно сказываются позднее время суток и жара, но описание задачи воспринимается с трудом, а эффект сравним с эффектом от прочтения этого анекдота.

Зачем full view если в итоге циска принимает три дефолта?

Затем чтоб рулить трафиком на RR

Затем чтоб прикупить IX дешевле мира.

 

И зачем тут нужен FV?

[Shuher 216]

  В 04.08.2017 в 05:05, KaYot сказав:

 

  В 03.08.2017 в 23:53, Shuher сказав:

 

  В 03.08.2017 в 21:41, ig0r сказав:

Возможно сказываются позднее время суток и жара, но описание задачи воспринимается с трудом, а эффект сравним с эффектом от прочтения этого анекдота.

Зачем full view если в итоге циска принимает три дефолта?

Затем чтоб рулить трафиком на RR

Затем чтоб прикупить IX дешевле мира.

 

И зачем тут нужен FV?

 

Ну давайте опустим FV.

Как коректно принять IX. От отдного аплинка и несколько дефолтов от другого.

[Sоrk 48]

 

 

  В 04.08.2017 в 09:07, Shuher сказав:

Как коректно принять IX. От отдного аплинка и несколько дефолтов от другого.

 

для этого нужно иметь минимум сеть /23:

 

Входящий:
- анонсируем во все IX свою сеть /23 + её же, но разбитую на две /24

- анонсируем в мир первому аплинку первую /24 нормально, вторную /24 с препендом + полную /23

- анонсируем в мир второнуму аплинку первую /24 с препендом, вторную /24 нормально + полную /23

 

Исходящий:

- в сторону IX уйдёт нормально, если не влезают все маршруты - не принимаем сети /24 при помощи prefix list

- исходящий в мир пускаем на любого при помощи local preference

[KaYot 3 730]

Смешались люди, кони, бордеры, IXы, специфики и препенды.

[Ромка 567]

  В 04.08.2017 в 09:07, Shuher сказав:

 

  В 04.08.2017 в 05:05, KaYot сказав:

 

  В 03.08.2017 в 23:53, Shuher сказав:

 

  В 03.08.2017 в 21:41, ig0r сказав:

Возможно сказываются позднее время суток и жара, но описание задачи воспринимается с трудом, а эффект сравним с эффектом от прочтения этого анекдота.

Зачем full view если в итоге циска принимает три дефолта?

Затем чтоб рулить трафиком на RR

Затем чтоб прикупить IX дешевле мира.

 

И зачем тут нужен FV?

 

Ну давайте опустим FV.

Как коректно принять IX. От отдного аплинка и несколько дефолтов от другого.

 

IX в цыску влазит? Если да, то примите циской IX, а аплинков зафильтруйте до дефолта. Ну или просите аплинков пусть дефолт вам анонсят. И RR не понадобится.

 

UPD: Сорри, про 32bit AS не досмотрел...

Відредаговано 2017-08-04 11:51:40 Ромка

[Shuher 216]

Треш!

В цыску IX не влазит.

Принимать дефолта и так умею.

Просить никого ничего не нада, аплинка дают как захочешь.

Внимание, повторяю вопрос.

Кто-то делал роут сервер + коммутатор л3 связку чтоб отдельно принимать ix, fv, дефолты. И чтоб трафик не шел через роутер сервер.

[mort1k 13]

каким железякам ты планируеш сливать маршруты с роут сервера? или вся радость ради 32-бит AS?

Схема может взлететь если:

1. одна циска - один аплинк

2. с роут сервера есть кому сливать маршруты.

 

Много не сэкономишь, а головняка привалит.

Відредаговано 2017-08-04 19:33:42 mort1k

[KaYot 3 730]

  В 04.08.2017 в 18:39, Shuher сказав:

В цыску IX не влазит.

Роут-мапы решают, режете принимаемые маршруты до /23 или сколько у вас влезет и нет проблемы. Ну и еще нужно выключить soft reconfiguration, в таком конфиге свич и FV принять может помучавшиcь минут 5

  В 04.08.2017 в 18:39, Shuher сказав:

Внимание, повторяю вопрос. Кто-то делал роут сервер + коммутатор л3 связку чтоб отдельно принимать ix, fv, дефолты. И чтоб трафик не шел через роутер сервер.

Если уж вы принимаете FV на роут-сервере - по крайней мере исход через него должен идти. Иначе просто теряется его смысл.

В качестве "просто прокси" городить такую схему нет смысла.

Ваш ASN32 анонсировать любой самый древний девайс может с помощью фейковых ASN. Ну а у магистрала врядли ASN32 only, я таких пока не встречал.

 

Если роут-сервер на линуске - вероятно ваши проблемы со связностью заключаются в банальном sysctl/rp_filter.

[Kto To 602]

Зачем вы пинаете мертвую лошадь? Если IX не влазит в циску - то накой пес вам RR? Подымайте с аплинком сессии - берите у него отдельно мир отдельно IX (как правило у правильных аплинков это все разнесено в разные vrf) - анонсите в мир с 4 препендами, в IX - без. Получаете себе нормальную схему с дефолтом в мир но возвратом будет идти так как надо. Немного неудобно конечно что дефолт в мир для IX узлов - но тут тогда купить что-то куда влазит IX и будет вам счастье. RR тут вообще ничем не поможет.

[ig0r 25]

 

 

  В 04.08.2017 в 18:39, Shuher сказав:

В цыску IX не влазит. Принимать дефолта и так умею.

Вы хотите соорудить маршрутизатор с full view из коммутатора десятилетней давности, предназначенного для сетей масштаба предприятия, и погремушки на виртуалке. Ничего у вас не получится, т.к. вся схема ограничена возможностями 3550.
Умеете принимать дефолт? Отлично, принимайте. Можете вообще не принимать маршруты из IX, это почти никак не повлияет на входящий трафик оттуда. У серьёзного контент-генератора, которому нужно особенным образом балансировать исходящий трафик должны быть и деньги на маршрутизатор.
Хочется принять десятки тысяч "мусорных" зарубежных маршутов из украинских точек обмена, которые у нормального аплинка в разы оптимальнее? До 1000$ можно купить железку с 256k маршрутами.
Если всё же хочется full view "чтобы было", то соберите софтроутер. Средний сервер с 10Г сетевой прокачает 10G/2Mpps. Упретесь в пакетную производительность и недостаток денег на апгрейд сервера, можно будет городить схему с исходящим трафиком через софтроутер и входящим через вашу циску.


 

[Shuher 216]

Спасибо за ответ!

Будет резать мелкие сети и хурикан.

По ходу здесь халявы не будет

[skylaer 19]

А откуда ей взяться? я вам еще первым ответом все написал

 

И вместо 3550 лучше бы 3750-12S запихать, он при большой загрузке ТСАМ работает сильно стабильнее.
У нас работает похожая схема, только не IX, а просто линк с каталиста.
А отдельно стоит раутер с FV  и другим линком с аплинком.. На коммутатор сделан линк на приватную АС,

И к аплинку оттуда анонсятся сети, которые за коммутатором (физики), плюс они же, но с меньшим приоритетом, анонсятся

с основного раутера.

Между раутером и каталистом тоже БГП.

Все работает уже лет 10 без проблем