Перейти к содержимому
Калькуляторы

Mitya

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    26

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Mitya

  1. Опубликовано · Жалоба на ответ

    2 часа назад, catalist сказал:

    Продолжаю ковыряние.

    Подскажите плиз почему при отсутствии фильтров с двух сторон с первого роутера я получаю фулл в сторону второго, а со второго только локальный префикс?

    Выглядит это так:
    на первой цыске: 

    
C7609S-I#sh ip bgp vpnv4 vrf INET neighbors 172.16.50.234 received-routes
BGP table version is 171198752, local router ID is 10.10.1.34
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 43031:1 (default for vrf INET)
 * i 0.0.0.0          172.16.50.234            0    100      0 i
 * i 85.202.0.0/20    172.16.50.234            0    100      0 i

Total number of prefixes 2

    на второй цыске: 

    
C7606S-II#sh ip bgp vpnv4 vrf INET neighbor 172.16.50.134 received-routes
BGP table version is 5516953, local router ID is 192.168.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 43031:1 (default for vrf INET)
 * i 1.0.0.0/24       172.16.50.134            0    100      0 3216 2914 13335 i
 * i 1.0.4.0/24       172.16.50.134            0    100      0 3216 6939 4826 38803 56203 i
 * i 1.0.4.0/22       172.16.50.134            0    100      0 3216 6939 4826 38803 56203 i
 * i 1.0.5.0/24       172.16.50.134            0    100      0 3216 6939 4826 38803 56203 i
 * i 1.0.6.0/24       172.16.50.134            0    100      0 3216 6939 4826 38803 56203 i
 * i 1.0.7.0/24       172.16.50.134            0    100      0 3216 6939 4826 38803 56203 i
 * i 1.0.16.0/24      172.16.50.134            0    100      0 3216 1273 2497 2519 i

    При этом на обоих цысках разные аплинки и загружен полный фул.

    По идее я на первой должен видеть фулл от второй? разве нет?

    вот если что конфиги пиров:
     

     

     

    хм, частично ответ есть, нет анонсов в сторону первой цыски, но почему?

    ведь таблица полная и тут свой отдельный аплинк со своими бестами.....

    А можете показать show ip bgp 80.255.80.0/20 с core2? Поглядеть какой он best.

  2. Опубликовано · Жалоба на ответ

    Настроил OSPF, завел ip интерфейс на влане, затем пока не указал в ручную принадлежность интерфейса области оспф эта сеть не анонсировалась

    После cisco где просто указываешь глобально сети которые анонсируются и больше ОСПФ не трогаешь, перспектива заводить каждый интерфейс в оспф откровенно напрягает

     

    У вас базовое непонимание принципа работы ospf.

    Если включать на всех интерфейсах, то и на всех интерфейсах протокол будет ожидать соседей, это ни разу не безопасно.

     

    В вашем случае, как и на cisco, так и на juniper (как я понял из текста) нужно просто сделать редистрибьюцию connected маршрутов. В частности на cisco правильно будет сделать так:

    !
int vlan 200
ip 10.10.10.1 255.255.255.0
!
router ospf
redistribute connected subnets
passive-interface default
network 10.10.10.1 0.0.0.255 area 0
!

     

    На юнипере смотрите в мануалах. Ключевая часть redistibute.

    Можно даже без redistribute connected subnets, network 10.10.10.1 0.0.0.255 area 0 обеспечит ему type intra area, в таблице маршрутизации.

    Можно более точно указать только данный интерфейс network 10.10.10.1 0.0.0.0 area 0

  3. Опубликовано · Жалоба на ответ

    Впервые настраиваю juniper ex3300

    Настроил OSPF, завел ip интерфейс на влане, затем пока не указал в ручную принадлежность интерфейса области оспф эта сеть не анонсировалась

    После cisco где просто указываешь глобально сети которые анонсируются и больше ОСПФ не трогаешь, перспектива заводить каждый интерфейс в оспф откровенно напрягает

    Чую что должен быть аналогичный cisco способ облегчить жизнь, чтоб она просто все что к ней подключено анонсировала по дефолту, но во всех мануалах прописывают каждый интерфейс.

    Может кто подскажет где копать?

     

    ЗЫ. вообще конечно некоторые моменты после киски в ступор вводят...

    пол дня пытался понять что же не правильно настроил в виртуальном шасси, поскольку в конфиге интерфейсы второго свича не показывались, пока не узнал что их в ручную прописывать нужно.

    Логику наличия unit 0 на каждом интерфейсе вообще не понимаю, на агрегированных линках сходу и не догадаешься что его удалить нужно.

     

     

    Вы заблуждаетесь, в конфигурации процесса OSPF мы не прописываем никаких сетей.

    конфиг вида

     

    network 192.213.0.0 0.0.255.255 area 0.0.0.0

     

    говорит нам не о том, что оглашаем сеть 192.213.0.0, а о том, что все интерфейсы, которые попали под данную сеть будут работать в области 0.0.0.0, а следовательно пытаться установить связь.

     

    включать OSPF на клиентский интерфейсах как минимум не красиво.

     

    По мне так лучше делать редистрибьюцию

     

    Можно делать passive-interface default, а затем no passive-interface xxx для конкретного интерфейса.

  4. Опубликовано · Жалоба на ответ

    Здравствуйте!

    Подскажите работает ли хорошо IPMB с dhcp snooping на DES-3526? У меня блочит валидные связки :(

    Firmware Version : Build 6.20.B18

    Hardware Version : A4

     

    # security_ACL

    config address_binding ip_mac ports 2-22 state enable

    enable address_binding dhcp_snoop

    disable address_binding acl_mode

    disable dhcp_relay

    disable dhcp_local_relay

    config pppoe circuit_id_insertion state disable

    disable address_binding arp_inspection

     

    # IPBIND

    config address_binding ip_mac ports 2-22 allow_zeroip enable

    enable address_binding trap_log

    config address_binding dhcp_snoop max_entry ports 1,23-26 limit 5

    config address_binding dhcp_snoop max_entry ports 2-22 limit 2

  9. Опубликовано · Жалоба на ответ

    если вы трафик на нужные префиксы проматчите в pbr по src ip, то трафик этот уйдет на ip default next-hop, даже если найдеться dst в rib. pbr приоритетьнее dst routing.

    Fail! set ip next-hop не будет смотреть на таблицу роутинг, set ip default next-hop будет.

     

    У нас на 65 циске дефолт смотрит на бордер, однако пакеты с виртуальным src заворачиваются pbrом на страничку "Адрес недоступен локально"

    Да. Согласен.

     

  10. Опубликовано · Изменено пользователем Mitya · Жалоба на ответ

    все так, да не так. из vrf border в vrf vpn "прилетает" full-view, полученный от аплинков. т.е. будут маршруты на все префиксы, имеющиеся в интернете. и тогда set ip default next-hop уже не прокатывает - обязательно найдется маршрут в bgp. а мне надо, чтобы в инет пакеты от определенных ip выходили строго заданным каналом.
    если вы трафик на нужные префиксы проматчите в pbr по src ip, то трафик этот уйдет на ip default next-hop, даже если найдеться dst в rib. pbr приоритетьнее dst routing.

    я так понял у вас есть некая сеть в которой находятся nas. есть также некоторые сети nets которые подключены к бордеру. сеть с nas связаны с сетями nets линками.

    Вам надо пропускать трафик от nas к бордеру и обратно через nets ? Я правильно понял ? Или же нужно обеспечить связь nas и nets через бордер но не через global ?

  11. Опубликовано · Жалоба на ответ

    http://www.cisco.com/en/US/tech/tk436/tk83....shtml#diffvrfs
    The other way of leaking routes between VRFs is to connect together two Ethernet interfaces on the PE-4 router and associate each Ethernet interface with one of the VRFs. You also must configure static ARP entries in the VRF tables for the respective next hop addresses. However, this is not a recommended solution for route leaking between VRFs; the previously described BGP technique is the recommended solution.
    конечно, насторожило "this is not a recommended solution", но решил попробовать...

     

    А почему import через BGP не хотите ?

  13. Опубликовано · Жалоба на ответ

    Жаль только что 6500 не позволяеть для eompls использовать svi на клиентских интерфейсах. Точнее позволяеть только надо sip купить и воткнуть в него core face.
    http://www.cisco.com/en/US/docs/switches/l...ml#wpmkr1408542

    Прикольно.

     

  14. Опубликовано · Жалоба на ответ

    а что использовать тогда?
    <br />Л3 начиная от агрегации, mpls для проброса всего чего нужно (точка-точка). Не так уж и дорого нынче б/у шеститонники стоят. А для функционала а ля vpls есть дешёвая альтернатива в виде выделенной железки с приведением на неё точка-точка mpls l2vpn. Доступ звездой от агрегации.

     

    Как то примерно так:

    Жаль только что 6500 не позволяеть для eompls использовать svi на клиентских интерфейсах. Точнее позволяеть только надо sip купить и воткнуть в него core face.

    А sip штука недешёвая.

  15. Опубликовано · Жалоба на ответ

    Нда рос вставляет палки в колеса :(

     

    У вас правда бюрократия зато развита. Недавно ддосили нашего клиента, icmp запросы на 400 мегабит. Отписали аплинкам где-то в середине дня. Ваш суппорт ответил письмом с вложенным бланком, мол заполните и по факсу. Заполнили, отправили. Время идет, подтверждения нет. Позвонили, суппорт сказал так и не получили факс, шлите еще раз. Только вечером попросили подтвердить блокировку сетки, которую ддосили.

    Поддержка роса перезвонила, попросила подтвердить отправку сетки в нулл. Подтвердили, анонсили проблемную сетку только в рос - все, ддос заглох. Обратный процесс тоже по звонку в суппорт.

     

    12389:6051 навешиваю, через lg полосатых вижу удлинение as-path, 12389:6050 - тишина....и мертвые с косами стоят (с)

    убрали избирательно?

    Почему то работает 12389:6050, глючит наверное. А вот с ттк была как-то проблема с коммунити, региональная компания не пропускала на 20485. висит груша нельзя скушать...