Jump to content

Концепция ebgp-стыков политики на downlink, peering

Добрый день!

 

Понемногу обрастаем аплинками, даунлинками и прочими стыками. Думаю всё это дело как-то грамотно упорядочить тк сейчас стоят тупо фильтры по префикс-листам на вход/выход. Допустим бывает ситуация когда даунлинк гасит сессию с нами, а мы принимаем его префикс через тот же MSK-IX и анонсим уже нашим аплниками. Мне кажется это не есть хорошо.

Хочется написать такой универсальный route-map в котором будет сразу навешиваться community, local-pref и тп.

 

Вот хочу спросить у вас как выглядить типовая полиси на ebgp-клиента и что полезного можно там еще проставить :)

Share this post


Link to post
Share on other sites

на клиента.

route-map XXX-MAP-IN permit 10

match ip address prefix-list XXX-PREFIX

set local-preference 550

set community 34145:666 additive

!

а потом уже роутмапа на аплинк, где пропускается все 34145:666.

Edited by zhenya`

Share this post


Link to post
Share on other sites

 neighbor a.b.c.d
 remote-as 123
 address-family ipv4 unicast
  route-policy customer_filter(123) in
  route-policy default out
  default-originate
 !

route-policy customer_filter($ASNUM)
 if destination in $ASNUM then
  if community is-empty
   set local-preference 250
   set community ...
   pass
  endif
  if community matches-every ...
   set ....
   pass
 endif
end-policy
!

prefix-set 123
 192.168.0.0/24
end-set

 

prefix-set генерирует irrtoolset например.

Share this post


Link to post
Share on other sites

ну т.е. помимо local-pref и community проставлять особо нечего :)

 

Еще входящие фильтры на:

1) серые сети

2) серые AS

3) чужие сети

4) лимит сетей

 

И blackhole community

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

вот сейчас займусь внедрением community :)

а на L3-интерфейс вешаете фильтры RFC1918, multicast?

Share this post


Link to post
Share on other sites

prefix-set генерирует irrtoolset

вот за это отдельное спасибо

Вот только поставить его на дебиане оказалось адово не тривиально.

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

вот сейчас займусь внедрением community :)

а на L3-интерфейс вешаете фильтры RFC1918, multicast?

 

У нас таких клиентов было всего два. Мы их терминировали на линукс-серверах с квагой. На них у нас довольно навороченные файрволы. Мультикаст не фильтруем. Он ещё на коммутаторах по пути умирает. А RFC1918 отфильтровывается файрволом в рамках других правил.

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать?

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать?

 

Мы метили всех клиентов одним коммьюнити, которое и означало, что это наш клиент.

Share this post


Link to post
Share on other sites

rdntw

 

Всё просто. Делаете whois на несколько крупных AS, изучаете как делают люди - кому где и какие community навешиваются и какие комьюнити как обрабатываются. И делаете по аналогии

Share this post


Link to post
Share on other sites

да, но во-первых это для циски, а во вторых мне была интересна сама логика политик, например навешивать community для последующего матчинга:)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.