Добрый день.
Прошу совета, как правильно и эффективно реализовать задачу.
Исходные данные (схема во вложении):
Cisco ASR9000, имеет BGP линки до:
- ISP-1 (принимаем full view, анонсируем x.x.x.x/18, y.y.y.y/24)
- ISP-2 (принимаем full view, анонсируем x.x.x.x/18, y.y.y.y/24)
- DC (принимаем сеть z.z.z.z/24, анонсируем сеть x.x.x.x/18). У DC на интерфейсе стоит access-list разрешать траффик только между z.z.z.z и x.x.x.x
- Client (принимаем y.y.y.y/24, анонсируем full view)
Все это крутится в одном дефолтном vrf. Проблема в том, что траффик client-а с сети y.y.y.y на z.z.z.z идёт через пиринг до DC, и на интерфейсе DC дропается аксесс листом. Задача что бы трафик от y.y.y.y до z.z.z.z проходил через ISP.
Как я это видел изначально:
1.Создаем 2 VRF - Peering и Internet.
2.В vrf peering помещаем линк до DC. В vrf INTERNET помещаем линки до ISP-1, ISP-2, Client. Внутренние сети (x.x.x.x) остаются в vrf default.
3.В vrf Peering делаем import/export из/в глобальную таблицу маршрутизации. Так мы достигаем доступности между z.z.z.z и x.x.x.x через peering стык.
4.в vrf Internet делаем import/export из/в глобальную таблицу маршрутизации. Так мы достигаем доступность между x.x.x.x и y.y.y.y, y.y.y.y и z.z.z.z через ISP.
Но, я не учел загрузку по cef увеличивается в два раза, т.к. full view появляется в vrf deafult и vrf Internet. fv всего 700к маршрутов, а fib линейной карты 1m, поэтому она ругается и висит.
На данный момент я вижу решение это pbr c проверкой доступности на интерфейс в сторону клиента - if src y.y.y.y and dest z.z.z.z then next-hop isp-1 or isp 2. Но мне это решение не кажется красивым и не знаю насколько ASR отрабтает PBR на 2Gbps траффика, и как это скажется на произодительности.
Кто как видит решение, может я чего-то упускаю из виду.
Спасибо!