rdntw Опубликовано 29 июня, 2015 · Жалоба Добрый день! Понемногу обрастаем аплинками, даунлинками и прочими стыками. Думаю всё это дело как-то грамотно упорядочить тк сейчас стоят тупо фильтры по префикс-листам на вход/выход. Допустим бывает ситуация когда даунлинк гасит сессию с нами, а мы принимаем его префикс через тот же MSK-IX и анонсим уже нашим аплниками. Мне кажется это не есть хорошо. Хочется написать такой универсальный route-map в котором будет сразу навешиваться community, local-pref и тп. Вот хочу спросить у вас как выглядить типовая полиси на ebgp-клиента и что полезного можно там еще проставить :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 29 июня, 2015 (изменено) · Жалоба на клиента. route-map XXX-MAP-IN permit 10 match ip address prefix-list XXX-PREFIX set local-preference 550 set community 34145:666 additive ! а потом уже роутмапа на аплинк, где пропускается все 34145:666. Изменено 29 июня, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 29 июня, 2015 · Жалоба ну т.е. помимо local-pref и community проставлять особо нечего :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 29 июня, 2015 · Жалоба neighbor a.b.c.d remote-as 123 address-family ipv4 unicast route-policy customer_filter(123) in route-policy default out default-originate ! route-policy customer_filter($ASNUM) if destination in $ASNUM then if community is-empty set local-preference 250 set community ... pass endif if community matches-every ... set .... pass endif end-policy ! prefix-set 123 192.168.0.0/24 end-set prefix-set генерирует irrtoolset например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 29 июня, 2015 · Жалоба prefix-set генерирует irrtoolset вот за это отдельное спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 30 июня, 2015 · Жалоба ну т.е. помимо local-pref и community проставлять особо нечего :) Еще входящие фильтры на: 1) серые сети 2) серые AS 3) чужие сети 4) лимит сетей И blackhole community Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 1 июля, 2015 · Жалоба Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 1 июля, 2015 · Жалоба Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. вот сейчас займусь внедрением community :) а на L3-интерфейс вешаете фильтры RFC1918, multicast? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 1 июля, 2015 · Жалоба prefix-set генерирует irrtoolset вот за это отдельное спасибо Вот только поставить его на дебиане оказалось адово не тривиально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 1 июля, 2015 · Жалоба Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. вот сейчас займусь внедрением community :) а на L3-интерфейс вешаете фильтры RFC1918, multicast? У нас таких клиентов было всего два. Мы их терминировали на линукс-серверах с квагой. На них у нас довольно навороченные файрволы. Мультикаст не фильтруем. Он ещё на коммутаторах по пути умирает. А RFC1918 отфильтровывается файрволом в рамках других правил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 1 июля, 2015 · Жалоба Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 1 июля, 2015 · Жалоба Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то. на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать? Мы метили всех клиентов одним коммьюнити, которое и означало, что это наш клиент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 июля, 2015 · Жалоба rdntw Всё просто. Делаете whois на несколько крупных AS, изучаете как делают люди - кому где и какие community навешиваются и какие комьюнити как обрабатываются. И делаете по аналогии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 4 июля, 2015 · Жалоба http://gul-tech.livejournal.com/3349.html ох как здорово Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 4 июля, 2015 · Жалоба s.lobanov Зацените гугловские политики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 5 июля, 2015 · Жалоба uxcr а чё, гугл массово занимается ip-транзитом чужого трафика? (as-path'ы смотреть лень, сами скажите) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 5 июля, 2015 · Жалоба as50384 посмотрите, у них транзита валом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 5 июля, 2015 · Жалоба ix всё-таки имеют специфику. я был лучше посмотрел на какой-нибудь 31133 или 20485 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 6 июля, 2015 · Жалоба http://gul-tech.livejournal.com/3349.html ох как здорово Кстати, заметили ли вы там эту ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 6 июля, 2015 · Жалоба да, но во-первых это для циски, а во вторых мне была интересна сама логика политик, например навешивать community для последующего матчинга:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...