rdntw Posted June 29, 2015 Posted June 29, 2015 Добрый день! Понемногу обрастаем аплинками, даунлинками и прочими стыками. Думаю всё это дело как-то грамотно упорядочить тк сейчас стоят тупо фильтры по префикс-листам на вход/выход. Допустим бывает ситуация когда даунлинк гасит сессию с нами, а мы принимаем его префикс через тот же MSK-IX и анонсим уже нашим аплниками. Мне кажется это не есть хорошо. Хочется написать такой универсальный route-map в котором будет сразу навешиваться community, local-pref и тп. Вот хочу спросить у вас как выглядить типовая полиси на ebgp-клиента и что полезного можно там еще проставить :) Вставить ник Quote
zhenya` Posted June 29, 2015 Posted June 29, 2015 (edited) на клиента. route-map XXX-MAP-IN permit 10 match ip address prefix-list XXX-PREFIX set local-preference 550 set community 34145:666 additive ! а потом уже роутмапа на аплинк, где пропускается все 34145:666. Edited June 29, 2015 by zhenya` Вставить ник Quote
rdntw Posted June 29, 2015 Author Posted June 29, 2015 ну т.е. помимо local-pref и community проставлять особо нечего :) Вставить ник Quote
uxcr Posted June 29, 2015 Posted June 29, 2015 neighbor a.b.c.d remote-as 123 address-family ipv4 unicast route-policy customer_filter(123) in route-policy default out default-originate ! route-policy customer_filter($ASNUM) if destination in $ASNUM then if community is-empty set local-preference 250 set community ... pass endif if community matches-every ... set .... pass endif end-policy ! prefix-set 123 192.168.0.0/24 end-set prefix-set генерирует irrtoolset например. Вставить ник Quote
rdntw Posted June 29, 2015 Author Posted June 29, 2015 prefix-set генерирует irrtoolset вот за это отдельное спасибо Вставить ник Quote
vlad11 Posted June 30, 2015 Posted June 30, 2015 ну т.е. помимо local-pref и community проставлять особо нечего :) Еще входящие фильтры на: 1) серые сети 2) серые AS 3) чужие сети 4) лимит сетей И blackhole community Вставить ник Quote
g3fox Posted July 1, 2015 Posted July 1, 2015 Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. Вставить ник Quote
rdntw Posted July 1, 2015 Author Posted July 1, 2015 Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. вот сейчас займусь внедрением community :) а на L3-интерфейс вешаете фильтры RFC1918, multicast? Вставить ник Quote
myst Posted July 1, 2015 Posted July 1, 2015 prefix-set генерирует irrtoolset вот за это отдельное спасибо Вот только поставить его на дебиане оказалось адово не тривиально. Вставить ник Quote
g3fox Posted July 1, 2015 Posted July 1, 2015 Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. вот сейчас займусь внедрением community :) а на L3-интерфейс вешаете фильтры RFC1918, multicast? У нас таких клиентов было всего два. Мы их терминировали на линукс-серверах с квагой. На них у нас довольно навороченные файрволы. Мультикаст не фильтруем. Он ещё на коммутаторах по пути умирает. А RFC1918 отфильтровывается файрволом в рамках других правил. Вставить ник Quote
rdntw Posted July 1, 2015 Author Posted July 1, 2015 Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать? Вставить ник Quote
g3fox Posted July 1, 2015 Posted July 1, 2015 Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать? Мы метили всех клиентов одним коммьюнити, которое и означало, что это наш клиент. Вставить ник Quote
s.lobanov Posted July 1, 2015 Posted July 1, 2015 rdntw Всё просто. Делаете whois на несколько крупных AS, изучаете как делают люди - кому где и какие community навешиваются и какие комьюнити как обрабатываются. И делаете по аналогии Вставить ник Quote
rdntw Posted July 4, 2015 Author Posted July 4, 2015 http://gul-tech.livejournal.com/3349.html ох как здорово Вставить ник Quote
uxcr Posted July 4, 2015 Posted July 4, 2015 s.lobanov Зацените гугловские политики. Вставить ник Quote
s.lobanov Posted July 5, 2015 Posted July 5, 2015 uxcr а чё, гугл массово занимается ip-транзитом чужого трафика? (as-path'ы смотреть лень, сами скажите) Вставить ник Quote
Butch3r Posted July 5, 2015 Posted July 5, 2015 as50384 посмотрите, у них транзита валом Вставить ник Quote
s.lobanov Posted July 5, 2015 Posted July 5, 2015 ix всё-таки имеют специфику. я был лучше посмотрел на какой-нибудь 31133 или 20485 Вставить ник Quote
g3fox Posted July 6, 2015 Posted July 6, 2015 http://gul-tech.livejournal.com/3349.html ох как здорово Кстати, заметили ли вы там эту ? Вставить ник Quote
rdntw Posted July 6, 2015 Author Posted July 6, 2015 да, но во-первых это для циски, а во вторых мне была интересна сама логика политик, например навешивать community для последующего матчинга:) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.