Jump to content
Калькуляторы

Недоступность некоторых адресов через BGP

Имеется Cisco 2851 подключенная к двум провайдерам, выдающим Full-fiew. При работоспособных двух операторах остаются недоступны некоторые маршруты.

 

Опишу подробнее:

Интерфейс f0/0/0 через vlan2 смотрит в ISP1.

Интерфейс f0/0/1 через vlan3 смотрит в ISP2.

Интерфейс g0/0 имеет пару своих внешних IP-адресов и смотрит внутрь локальной сети с другим оборудованием.

 

Анонсируем подсеть /23 разбитую на два куска по /24. Один кусок /24 отдается половине абонентов, другой кусок /24 - другой половине. Сделано для того, чтобы одновременно использовалось два провайдера. Все это описано в ANNOUNCE_ISP1 и ANNOUNCE_ISP2 в конфиге.

 

Привожу выдержку из конфига:

 

interface GigabitEthernet0/0
description -= Ext IPs =-
ip address 185.57.231.2 255.255.255.0 secondary
ip address 185.57.230.2 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0/0
description -= Port to ISP1 =-
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet0/0/1
description -= Port to ISP2 =-
switchport access vlan 3
no ip address
no cdp enable
!
interface Vlan2
description -= Vlan to ISP1 =-
ip address 31.28.19.162 255.255.255.0
ip access-group Infrastructure-ACL-Policy in
!
interface Vlan3
description -= Vlan to ISP2 =-
ip address 212.24.37.188 255.255.255.248
ip access-group Infrastructure-ACL-Policy in
!
router bgp 60672
no bgp enforce-first-as
bgp log-neighbor-changes
network 185.57.230.0 mask 255.255.254.0
network 185.57.230.0 mask 255.255.255.0
network 185.57.231.0 mask 255.255.255.0
neighbor 31.28.19.1 remote-as 29076
neighbor 31.28.19.1 description -= BGP transit to ISP1 =-
neighbor 31.28.19.1 version 4
neighbor 31.28.19.1 soft-reconfiguration inbound
neighbor 31.28.19.1 prefix-list BOGONS in
neighbor 31.28.19.1 prefix-list ANNOUNCE_ISP1 out
neighbor 212.24.37.185 remote-as 15756
neighbor 212.24.37.185 description -= BGP transit to ISP2 =-
neighbor 212.24.37.185 version 4
neighbor 212.24.37.185 soft-reconfiguration inbound
neighbor 212.24.37.185 prefix-list BOGONS in
neighbor 212.24.37.185 prefix-list ANNOUNCE_ISP2 out
!
ip route 185.57.230.0 255.255.254.0 Null0 200
ip route 185.57.230.0 255.255.255.0 Null0 200
ip route 185.57.231.0 255.255.255.0 Null0 200
!
ip access-list extended Infrastructure-ACL-Policy
permit tcp host 31.28.19.1 host 31.28.19.162 eq bgp
permit tcp host 31.28.19.1 eq bgp host 31.28.19.162
permit tcp host 212.24.37.185 host 212.24.37.188 eq bgp
permit tcp host 212.24.37.185 eq bgp host 212.24.37.188
deny   tcp any any eq bgp
deny   tcp any eq bgp any
permit ip any any
permit udp any eq snmp any
!
!
ip prefix-list ANNOUNCE_ISP1 description -= ISP1 announce Netblocks =-
ip prefix-list ANNOUNCE_ISP1 seq 20 permit 185.57.230.0/24
ip prefix-list ANNOUNCE_ISP1 seq 30 permit 185.57.230.0/23
!
ip prefix-list ANNOUNCE_ISP2 description -= ISP2 announce Netblocks =-
ip prefix-list ANNOUNCE_ISP2 seq 20 permit 185.57.231.0/24
ip prefix-list ANNOUNCE_ISP2 seq 30 permit 185.57.230.0/23
!
ip prefix-list BOGONS description -= Bad Routes to Block In =-
ip prefix-list BOGONS seq 10 deny 0.0.0.0/8 le 32
ip prefix-list BOGONS seq 15 deny 10.0.0.0/8 le 32
ip prefix-list BOGONS seq 20 deny 127.0.0.0/8 le 32
ip prefix-list BOGONS seq 25 deny 169.254.0.0/16 le 32
ip prefix-list BOGONS seq 30 deny 172.16.0.0/12 le 32
ip prefix-list BOGONS seq 35 deny 192.0.2.0/24 le 32
ip prefix-list BOGONS seq 40 deny 192.168.0.0/16 le 32
ip prefix-list BOGONS seq 45 deny 224.0.0.0/3 le 32
ip prefix-list BOGONS seq 1000 deny 185.57.230.0/23 le 32
ip prefix-list BOGONS seq 9999 permit 0.0.0.0/0 le 24
!

 

Теперь проверяем доступность.

 

Работают оба провайдера:

#show ip bgp summ
<skip>

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
31.28.19.1      4        29076  279529    1093  9425569    0    0 16:29:37   538065
212.24.37.185   4        15756  157656    3221  9425569    0    0 16:30:47   538272

#show ip route
Gateway of last resort is 31.28.19.100 to network 0.0.0.0

B*    0.0.0.0/0 [20/0] via 31.28.19.100, 09:07:19
     1.0.0.0/8 is variably subnetted, 2307 subnets, 14 masks
...
B        1.0.6.0/24 [20/0] via 31.28.19.100, 16:29:43
B        1.0.7.0/24 [20/0] via 31.28.19.100, 16:29:38
B        1.0.64.0/18 [20/0] via 212.24.37.185, 16:30:59
...

 

Пингуем адреса 1.0.6.1 и 1.0.64.1. По таблице маршрутизации они доступны через разных провайдеров.

#ping 1.0.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 352/354/356 ms

#ping 1.0.64.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.64.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 192/194/196 ms

 

Пингуются оба. Если же пинговать с интерфейса G0/0 - то адрес 1.0.64.1 оказывается недоступен:

 

#ping 1.0.6.1 source g0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.6.1, timeout is 2 seconds:
Packet sent with a source address of 185.57.230.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 340/358/428 ms

#ping 1.0.64.1 source g0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.64.1, timeout is 2 seconds:
Packet sent with a source address of 185.57.230.2
.....
Success rate is 0 percent (0/5)

 

Отключаем провайдера ISP1. Все маршруты идут через ISP2.

 

#show ip bgp summ

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
31.28.19.1      4        29076       0       0        1    0    0 00:00:26 Idle
212.24.37.185   4        15756   93149      11  9485583   48    0 00:02:20   538308

#sh ip route
Gateway of last resort is 212.24.37.185 to network 0.0.0.0

B*    0.0.0.0/0 [20/0] via 212.24.37.185, 00:00:37
     1.0.0.0/8 is variably subnetted, 2307 subnets, 14 masks
...
B        1.0.6.0/24 [20/0] via 212.24.37.185, 00:00:37
B        1.0.7.0/24 [20/0] via 212.24.37.185, 00:00:37
B        1.0.64.0/18 [20/0] via 212.24.37.185, 00:02:17
...

 

Пинг с интерфейса G0/0 вообще никуда не уходит:

ping 1.0.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 404/417/464 ms

#ping 1.0.64.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.64.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 192/194/196 ms

#ping 1.0.6.1 source g0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.6.1, timeout is 2 seconds:
Packet sent with a source address of 185.57.230.2
.....
Success rate is 0 percent (0/5)

#ping 1.0.64.1 source g0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.64.1, timeout is 2 seconds:
Packet sent with a source address of 185.57.230.2
.....
Success rate is 0 percent (0/5)

 

Отключаем провайдера ISP2:

#show ip bgp summ
Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
31.28.19.1      4        29076  280342    1097  9428432    0    0 16:33:50   538084
212.24.37.185   4        15756       0       0        1    0    0 00:00:31 Idle

#show ip route
Gateway of last resort is 31.28.19.100 to network 0.0.0.0

B*    0.0.0.0/0 [20/0] via 31.28.19.100, 09:11:01
     1.0.0.0/8 is variably subnetted, 2307 subnets, 14 masks
...
B        1.0.6.0/24 [20/0] via 31.28.19.100, 16:33:25
B        1.0.7.0/24 [20/0] via 31.28.19.100, 16:33:20
B        1.0.64.0/18 [20/0] via 31.28.19.100, 00:00:40
...

 

При таком варианте пингуется все и отовсюду.

#ping 1.0.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 352/355/360 ms

#ping 1.0.64.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.64.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 316/316/316 ms

#ping 1.0.6.1 source g0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.6.1, timeout is 2 seconds:
Packet sent with a source address of 185.57.230.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 340/341/344 ms

#ping 1.0.64.1 source g0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.64.1, timeout is 2 seconds:
Packet sent with a source address of 185.57.230.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 308/309/312 ms

 

Подскажите, пожалуйста, куда копать и как поправить чтобы все сети работали? Часть сетей оказывается недоступной для абонентов при подключенных двух операторах.

Share this post


Link to post
Share on other sites

Prefix list bogons svoi videli? Permit0.0.0.0/0 nado bez length

Share this post


Link to post
Share on other sites

Prefix list bogons svoi videli? Permit0.0.0.0/0 nado bez length

 

Если заменить на

ip prefix-list BOGONS seq 9999 permit 0.0.0.0/0

это же обрежет входящий full-fiew до приема default.

 

Вот что получилось с таблицей марштуризации при двух провайдерах:

#sh ip route
Gateway of last resort is 31.28.19.100 to network 0.0.0.0

B*    0.0.0.0/0 [20/0] via 31.28.19.100, 01:02:23
     31.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        31.28.19.0/24 is directly connected, Vlan2
L        31.28.19.162/32 is directly connected, Vlan2
     185.57.0.0/16 is variably subnetted, 5 subnets, 3 masks
S        185.57.230.0/23 is directly connected, Null0
C        185.57.230.0/24 is directly connected, GigabitEthernet0/0
L        185.57.230.2/32 is directly connected, GigabitEthernet0/0
C        185.57.231.0/24 is directly connected, GigabitEthernet0/0
L        185.57.231.2/32 is directly connected, GigabitEthernet0/0
     212.24.37.0/24 is variably subnetted, 2 subnets, 2 masks
C        212.24.37.184/29 is directly connected, Vlan3
L        212.24.37.188/32 is directly connected, Vlan3

 

Но пинги работают везде и ото всюду.

 

Есть возможность сохранить прием full-fiew и иметь доступность сетей? Вопрос "зачем тебе fullfiew, бери default?" оставим за пределами этого топика, пожалуйста.

Share this post


Link to post
Share on other sites

это же обрежет входящий full-fiew до приема default.

не обрежет, маршрут с меньшей маской буду работать. Нам оператор отдает fullview+default, но мы ничего не фильтруем. Дефолт етсь для того, что если что-то случится с FV'шной железкой, то мы сможем принять на любом л3 свиче

Share this post


Link to post
Share on other sites

это же обрежет входящий full-fiew до приема default.

не обрежет, маршрут с меньшей маской буду работать. Нам оператор отдает fullview+default, но мы ничего не фильтруем. Дефолт етсь для того, что если что-то случится с FV'шной железкой, то мы сможем принять на любом л3 свиче

 

Но всех маршрутов то нету при

ip prefix-list BOGONS seq 9999 permit 0.0.0.0/0

 

 

#sh ip route summary
IP routing table name is default (0x0)
IP routing table maximum-paths is 32
Route Source    Networks    Subnets     Replicates  Overhead    Memory (bytes)
connected       0           8           0           480         1408
static          0           1           0           60          176
bgp 60672       1           0           0           60          176
 External: 1 Internal: 0 Local: 0
internal        3                                               1564
Total           4           9           0           600         3324
#

Share this post


Link to post
Share on other sites

причем тут дефолт?

ложите isp1 и делайте трасировку с интерфейса G0/0, затем сдавайте проблему isp2

Share this post


Link to post
Share on other sites

А памяти-то хватает для приёма 2 fv ? У меня в брокаде пришлось кой-какие константы крутить, чтобы всё влезало...

Share this post


Link to post
Share on other sites

А памяти-то хватает для приёма 2 fv ? У меня в брокаде пришлось кой-какие константы крутить, чтобы всё влезало...

 

Памяти хватает вроде.

 

#sh proc memory sort
Processor Pool Total:  908813472 Used:  516565380 Free:  392248092
     I/O Pool Total:   14680064 Used:    6875040 Free:    7805024

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
268   0 2497827228 2679255624  375044700          0          0 BGP Router
191   0  795358516 1457575688   96367884          0          0 IP RIB Update
  0   0   87488176   41799728   41826228          0          0 *Init*
  0   0   57232096   55313496    1094496    1389483          0 *Dead*
 97   0     669632       1484     650148          0          0 USB Startup
  1   0   14267624   13768320     506536          0          0 Chunk Manager
....

Share this post


Link to post
Share on other sites

причем тут дефолт?

ложите isp1 и делайте трасировку с интерфейса G0/0, затем сдавайте проблему isp2

 

В том то и дело, что при отключенном ISP1 обычная трассировка работает, а трассировка с G0/0 вообще никуда не идет.

#traceroute 8.8.8.8
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 212.24.37.186 [AS 15756] 0 msec 0 msec 0 msec
 2 193.232.244.232 [AS 8359] 0 msec 0 msec 4 msec
 3 216.239.47.149 [AS 15169] 0 msec
   216.239.47.151 [AS 15169] 0 msec
   216.239.47.145 [AS 15169] 4 msec
 4 8.8.8.8 [AS 15169] 0 msec 4 msec 0 msec

#traceroute 8.8.8.8 source g0/0
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1  *  *  *
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *

 

Раз без указания источника работает нормально, может это у меня что-то накручено в конфиге, а я к ISP2 предъявлять буду? Что еще посмотреть можно?

 

Кстати, вопрос. В команде

#traceroute 8.8.8.8

источником какой интерфейс является?

Edited by sat

Share this post


Link to post
Share on other sites

 

Памяти хватает вроде.

 

 

У меня не киска,brocade, но ip routing table и еще чего-то пришлось увеличивать, типа

 

system-max ip-cache 655600

system-max ip-route 655600

Share this post


Link to post
Share on other sites

тогда при выключеном isp1

traceroute 8.8.8.8 source 185.57.231.2

traceroute 8.8.8.8 source 185.57.230.2

traceroute 8.8.8.8 source 212.24.37.188

Share this post


Link to post
Share on other sites

тогда при выключеном isp1

traceroute 8.8.8.8 source 185.57.231.2

traceroute 8.8.8.8 source 185.57.230.2

traceroute 8.8.8.8 source 212.24.37.188

 

При выключенном ISP1

#traceroute 8.8.8.8 source 185.57.231.2
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 212.24.37.186 [AS 15756] 4 msec 0 msec 0 msec
 2 193.232.244.232 [AS 8359] 4 msec 0 msec 0 msec
 3 216.239.47.149 [AS 15169] 4 msec 0 msec
   216.239.47.145 [AS 15169] 0 msec
 4 8.8.8.8 [AS 15169] 0 msec 4 msec 0 msec

#traceroute 8.8.8.8 source 185.57.230.2
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1  *  *  *
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *

#traceroute 8.8.8.8 source 212.24.37.188
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 212.24.37.186 [AS 15756] 0 msec 0 msec 4 msec
 2 193.232.244.232 [AS 8359] 0 msec 0 msec 4 msec
 3 216.239.47.145 [AS 15169] 0 msec
   216.239.47.151 [AS 15169] 0 msec 4 msec
 4 8.8.8.8 [AS 15169] 0 msec 4 msec 0 msec

Share this post


Link to post
Share on other sites

добавте

ip prefix-list ANNOUNCE_ISP2 seq 15 permit 185.57.230.0/24

и повторите traceroute 8.8.8.8 source 185.57.230.2

Share this post


Link to post
Share on other sites

добавте

ip prefix-list ANNOUNCE_ISP2 seq 15 permit 185.57.230.0/24

и повторите traceroute 8.8.8.8 source 185.57.230.2

 

Заработало.

#traceroute 8.8.8.8 source 185.57.230.2
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 212.24.37.186 [AS 15756] 28 msec 8 msec 0 msec
 2 193.232.244.232 [AS 8359] 4 msec 0 msec 0 msec
 3 216.239.47.151 [AS 15169] 4 msec
   216.239.47.145 [AS 15169] 0 msec
   216.239.47.147 [AS 15169] 0 msec
 4 8.8.8.8 [AS 15169] 4 msec 0 msec 4 msec

 

Но получается что я делаю анонс двух подсетей /24 и общей /23 провайдеру ISP2. А суть то этих префикс-листов ANNOUNCE_ISPХ в том, чтобы анонсировать ISP1 подсеть 185.57.230.0/24, ISP2 подсеть 185.57.231.0/24. И обоим 185.57.230.0/23. Чтобы все те, кто имеет адреса из первого /24 по-умолчанию ходил через ISP1. и если из второй /24 - ходил через ISP2. В случае падения кого-нибудь из них - все ходили через живого. А сейчас при работающих двух провайдерах они все ломятся через того, у кого маршрут лучше, а не так как я хочу.

 

Для примера. Включены оба ISP. добавлена строчка ip prefix-list ANNOUNCE_ISP2 seq 15 permit 185.57.230.0/24

По BGP маршрут короткий до 1.0.64.1 через провайдера ISP2 (212.24.37.185)

Трасировка:

#traceroute 1.0.64.1 source 185.57.230.2
Type escape sequence to abort.
Tracing the route to 1.0.64.1
VRF info: (vrf in name/id, vrf out name/id)
 1 212.24.37.186 [AS 15756] 128 msec 4 msec 0 msec
 2 195.34.36.141 [AS 8359] 4 msec 0 msec 0 msec
 3 195.34.53.86 [AS 8359] [MPLS: Label 301728 Exp 0] 56 msec *  52 msec
<удалено>
brd-sr101-2851#traceroute 1.0.64.1 source 185.57.231.2
Type escape sequence to abort.
Tracing the route to 1.0.64.1
VRF info: (vrf in name/id, vrf out name/id)
 1 212.24.37.186 [AS 15756] 0 msec 4 msec 0 msec
 2 195.34.36.141 [AS 8359] 0 msec 4 msec 0 msec
 3 195.34.53.86 [AS 8359] [MPLS: Label 301728 Exp 0] 48 msec 52 msec 48 msec
<удалено>

А я пытаюсь добиться, чтобы с адреса 185.57.230.2 маршрут шел на ISP1 (31.28.19.100)

Edited by sat

Share this post


Link to post
Share on other sites

варианта два:

1) либо ISP2 фильтурет префикс /23 от вас, и получает только /24 (185.57.231.0/24)

2) либо IPS2 получает откудато еще /24 ваш (185.57.230.0/24)

оба варианта надо решать с ISP2

Share this post


Link to post
Share on other sites

варианта два:

1) либо ISP2 фильтурет префикс /23 от вас, и получает только /24 (185.57.231.0/24)

2) либо IPS2 получает откудато еще /24 ваш (185.57.230.0/24)

оба варианта надо решать с ISP2

 

Понял. Буду писать ISP2. Посмотрим что они скажут.

Share this post


Link to post
Share on other sites

варианта два:

1) либо ISP2 фильтурет префикс /23 от вас, и получает только /24 (185.57.231.0/24)

К Каравану приходит только 185.57.231.0/24

 

2) либо IPS2 получает откудато еще /24 ваш (185.57.230.0/24)

оба варианта надо решать с ISP2

185.57.230.0/24 они получают по маршрутам:

25532 29076 60672
8359 29076 60672
15756 29076 60672

 

Ищите LG обоих аплинков и изучайте, что от вас к ним пришло.

Share this post


Link to post
Share on other sites

варианта два:

1) либо ISP2 фильтурет префикс /23 от вас, и получает только /24 (185.57.231.0/24)

К Каравану приходит только 185.57.231.0/24

 

2) либо IPS2 получает откудато еще /24 ваш (185.57.230.0/24)

оба варианта надо решать с ISP2

185.57.230.0/24 они получают по маршрутам:

25532 29076 60672
8359 29076 60672
15756 29076 60672

 

Ищите LG обоих аплинков и изучайте, что от вас к ним пришло.

 

 

Посмотрел LG аплинков. Вроде все корректно они принимают.

ISP1 (Citytelecom, http://lg.citytelecom.ru/) принимает от нас 185.57.230.0/23 и 185.57.230.0/24

185.57.230.0/23    *[bGP/170] 01:10:04, MED 0, localpref 300, from 31.28.19.1
                     AS path: 60672 I
                   > to 31.28.19.162 via ae5.3011
185.57.230.0/24    *[bGP/170] 01:10:04, MED 0, localpref 300, from 31.28.19.1
                     AS path: 60672 I
                   > to 31.28.19.162 via ae5.3011
185.57.231.0/24    *[bGP/170] 01:01:44, localpref 250
                     AS path: 25532 15756 60672 I
                   > to 217.16.19.17 via ae6.3857

 

185.57.231.0/24 от получает от моего второго аплинка (Караван) через Мастерхоста (AS25532).

 

 

ISP2 (Караван, http://noc.caravan.ru/cgi-bin/lg.cgi) принимает от нас 185.57.231.0/24

Executing command = show ip bgp 185.57.231.0/24
BGP routing table entry for 185.57.231.0/24, version 100640535
Paths: (1 available, best #1, table default)
 Advertised to update-groups:
    111        150        161        207        209        210        212       
    215        218        219        226       
 60672
   212.24.37.188 from 212.24.37.188 (212.24.37.188)
     Origin IGP, metric 0, localpref 900, valid, external, best
     Community: 15756:5 15756:10 15756:1300 15756:1302 15756:32000 15756:33000
m9-c6k

 

А также 185.57.230.0/23

Executing command = show ip bgp 185.57.230.0/23
BGP routing table entry for 185.57.230.0/23, version 100640533
Paths: (4 available, best #1, table default)
 Advertised to update-groups:
    111        150        161        207        209        210        212       
    215        218        219        226       
 60672
   212.24.37.188 from 212.24.37.188 (212.24.37.188)
     Origin IGP, metric 0, localpref 900, valid, external, best
     Community: 15756:5 15756:10 15756:1300 15756:1302 15756:32000 15756:33000
 25532 29076 60672
   217.16.17.169 from 217.16.17.169 (217.16.19.131)
     Origin IGP, localpref 500, valid, external
     Community: 15756:10 15756:1300 15756:1304
 8359 29076 60672
   195.34.36.141 from 195.34.36.141 (195.34.52.254)
     Origin IGP, localpref 190, valid, external
     Community: 8359:2070 8359:2090 8359:2100 8359:2120 8359:2140 8359:2150 8359:2170 8359:5500 8359:55277 15756:1200
 15756 29076 60672
   193.232.244.199 from 193.232.244.100 (193.232.244.100)
     Origin IGP, metric 50, localpref 500, valid, external
     Community: 15756:10 15756:1300 15756:1304
m9-c6k

 

Подсеть 185.57.230.0/24 же ему доступна только через других провайдеров.

 

Executing command = show ip bgp 185.57.230.0/24
BGP routing table entry for 185.57.230.0/24, version 100647849
Paths: (3 available, best #1, table default)
 Advertised to update-groups:
    111        150        161        209        215       
 25532 29076 60672
   217.16.17.169 from 217.16.17.169 (217.16.19.131)
     Origin IGP, localpref 500, valid, external, best
     Community: 15756:10 15756:1300 15756:1304
 8359 29076 60672
   195.34.36.141 from 195.34.36.141 (195.34.52.254)
     Origin IGP, localpref 190, valid, external
     Community: 8359:2070 8359:2090 8359:2100 8359:2120 8359:2140 8359:2150 8359:2170 8359:5500 8359:55277 15756:1200
 15756 29076 60672
   193.232.244.199 from 193.232.244.100 (193.232.244.100)
     Origin IGP, metric 50, localpref 500, valid, external
     Community: 15756:10 15756:1300 15756:1304
m9-c6k

 

 

Все это соответствует префикс-листам ANNOUNCE_ISP1 и 2 и конфигу, что в первом моем сообщении. Ошибочный вывод LG мог быть когда я игрался с префикс-листами, добавлял-удалял подсети. Но сейчас все с оригинальным конфигом и все-равно проблема остается как в первом сообщении.

 

Получается, что они от меня правильные подсети в анонсах принимают. Почему ж тогда я не вижу часть подсетей через ISP2 (караван)?

Share this post


Link to post
Share on other sites

#sh ip bgp neighbors 1.1.1.1 advertised-routes

покажите что вы ему отдаете

Share this post


Link to post
Share on other sites

#sh ip bgp neighbors 1.1.1.1 advertised-routes

покажите что вы ему отдаете

 

ISP1

#sh ip bgp neighbors 31.28.19.1 advertised-routes
BGP table version is 19977467, local router ID is 212.24.37.188
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
             r RIB-failure, S Stale, m multipath, b backup-path, x best-external, f RT-Filter
Origin codes: i - IGP, e - EGP, ? - incomplete

  Network          Next Hop            Metric LocPrf Weight Path
*> 185.57.230.0/24  0.0.0.0                  0         32768 i
*> 185.57.230.0/23  0.0.0.0                  0         32768 i

Total number of prefixes 2

 

ISP2

#sh ip bgp neighbors 212.24.37.185 advertised-routes
BGP table version is 19977512, local router ID is 212.24.37.188
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
             r RIB-failure, S Stale, m multipath, b backup-path, x best-external, f RT-Filter
Origin codes: i - IGP, e - EGP, ? - incomplete

  Network          Next Hop            Metric LocPrf Weight Path
*> 185.57.230.0/23  0.0.0.0                  0         32768 i
*> 185.57.231.0/24  0.0.0.0                  0         32768 i

Total number of prefixes 2

 

Небольшая закономерность определена.

 

Работают два аплинка. Конфиг как в первом сообщении без изменений. Напомню вводные:

адрес аплинка ISP1 31.28.19.162, ему анонсируется сеть 185.57.230.0/24

адрес аплинка ISP2 212.24.37.188, ему анонсируется сеть 185.57.231.0/24

Обоим анонсируется 185.57.230.0/23 (что мы выяснили по LG в предыдущем сообщении).

Интерфейс G0/0 имеет адреса 185.57.230.2 и 185.57.231.2, что, теоретически, согласно ANNOUNCE_ISP1 и 2, должно выпускать их в мир через двух разных аплинков. (или я не прав здесь?)

 

Находим адрес, который по таблице BGP имеет более короткий маршрут через первого провайдера. Это 8.8.8.8. И адрес, с коротким маршрутом через второго провайдера 192.172.226.123 (www.caida.org, перестал открываться, потому и тестировал его), 217.23.131.30 (noc.caravan.ru), 185.10.60.252 (www.caravan.ru).

 

Начинаем пинговать 8.8.8.8

ping 8.8.8.8 - УСПЕХ

ping 8.8.8.8 source 31.28.19.162 - УСПЕХ

ping 8.8.8.8 source 212.24.37.188 - УСПЕХ

ping 8.8.8.8 source 185.57.230.2 - УСПЕХ

ping 8.8.8.8 source 185.57.231.2 - УСПЕХ

 

Пингуем 192.172.226.123

ping 192.172.226.123 - УСПЕХ

ping 192.172.226.123 sour 31.28.19.162 - НЕУДАЧА

ping 192.172.226.123 sour 212.24.37.188 - УСПЕХ

ping 192.172.226.123 sour 185.57.230.2 - НЕУДАЧА

ping 192.172.226.123 sour 185.57.231.2 - УСПЕХ

 

На адресе 217.23.131.30 (noc.caravan.ru) такая же картина.

 

Пингуем 185.10.60.252

ping 185.10.60.252 - УСПЕХ

ping 185.10.60.252 sou 31.28.19.162 - НЕУДАЧА

ping 185.10.60.252 sou 212.24.37.188 - УСПЕХ

ping 185.10.60.252 sou 185.57.230.2 - НЕУДАЧА

ping 185.10.60.252 sou 185.57.231.2 - НЕУДАЧА (Тут вообще непонятно почему с моих адресов я не могу достучаться до сайта каравана!)

 

 

Какая картина складывается:

При работающих двух аплинках, а так и должно быть постоянно, если по таблице маршрутизации на основе BGP короткий маршрут пролегает через ISP1 - все отлично пингуется при любых вариантах и с любых интерфейсов. Если короткий маршрут пролегает через ISP2 - то я не могу достучаться до этих адресов через сеть ISP1 (указывая в качестве источника пингов адрес аплинка ISP1 или анонсируемую ему подсеть).

 

Вопрос в том - как мне это исправить? Подскажите куда копать?

 

Никаких дополнительный ACL на маршрутизаторе не стоит, вообще сейчас его задача - только BGP, и конфиг в первом сообщении - практически весь.

Share this post


Link to post
Share on other sites

URPF со стороны магистрала ? попросите чтобы убрали.

Share this post


Link to post
Share on other sites

А если отдать только /23 ?

 

Отдал двум аплинкам /23. Результат:

 

ping 8.8.8.8 - УСПЕХ

ping 8.8.8.8 source 31.28.19.162 - УСПЕХ

ping 8.8.8.8 source 212.24.37.188 - УСПЕХ

ping 8.8.8.8 source 185.57.230.2 - УСПЕХ

ping 8.8.8.8 source 185.57.231.2 - УСПЕХ

 

Пингуем 192.172.226.123

ping 192.172.226.123 - УСПЕХ

ping 192.172.226.123 sour 31.28.19.162 - НЕУДАЧА

ping 192.172.226.123 sour 212.24.37.188 - УСПЕХ

ping 192.172.226.123 sour 185.57.230.2 - УСПЕХ

ping 192.172.226.123 sour 185.57.231.2 - УСПЕХ

 

На адресе 217.23.131.30 такая же картина.

 

Теперь с любых моих адресов можно дойти до любого адреса к любому аплинку. Но анонс только лишь /23 меня не устраивает. Мне /23 то нужен лишь в применении как два куска по /24 с раздачей через разных аплинков.

Share this post


Link to post
Share on other sites

Так отдавайте всем 2 /24

 

Необходимо отдавать именно по 1 /24 каждому аплинку. и /23 всем на случай падения одного из них. Нормальная же схема, неоднократно видел ее в примерах балансировки входящего трафика. Только почему то некорректно у меня работает.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this