Jump to content
Калькуляторы

Концепция ebgp-стыков политики на downlink, peering

Добрый день!

 

Понемногу обрастаем аплинками, даунлинками и прочими стыками. Думаю всё это дело как-то грамотно упорядочить тк сейчас стоят тупо фильтры по префикс-листам на вход/выход. Допустим бывает ситуация когда даунлинк гасит сессию с нами, а мы принимаем его префикс через тот же MSK-IX и анонсим уже нашим аплниками. Мне кажется это не есть хорошо.

Хочется написать такой универсальный route-map в котором будет сразу навешиваться community, local-pref и тп.

 

Вот хочу спросить у вас как выглядить типовая полиси на ebgp-клиента и что полезного можно там еще проставить :)

Share this post


Link to post
Share on other sites

на клиента.

route-map XXX-MAP-IN permit 10

match ip address prefix-list XXX-PREFIX

set local-preference 550

set community 34145:666 additive

!

а потом уже роутмапа на аплинк, где пропускается все 34145:666.

Edited by zhenya`

Share this post


Link to post
Share on other sites

ну т.е. помимо local-pref и community проставлять особо нечего :)

Share this post


Link to post
Share on other sites

 neighbor a.b.c.d
 remote-as 123
 address-family ipv4 unicast
  route-policy customer_filter(123) in
  route-policy default out
  default-originate
 !

route-policy customer_filter($ASNUM)
 if destination in $ASNUM then
  if community is-empty
   set local-preference 250
   set community ...
   pass
  endif
  if community matches-every ...
   set ....
   pass
 endif
end-policy
!

prefix-set 123
 192.168.0.0/24
end-set

 

prefix-set генерирует irrtoolset например.

Share this post


Link to post
Share on other sites

prefix-set генерирует irrtoolset

вот за это отдельное спасибо

Share this post


Link to post
Share on other sites

ну т.е. помимо local-pref и community проставлять особо нечего :)

 

Еще входящие фильтры на:

1) серые сети

2) серые AS

3) чужие сети

4) лимит сетей

 

И blackhole community

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

вот сейчас займусь внедрением community :)

а на L3-интерфейс вешаете фильтры RFC1918, multicast?

Share this post


Link to post
Share on other sites

prefix-set генерирует irrtoolset

вот за это отдельное спасибо

Вот только поставить его на дебиане оказалось адово не тривиально.

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

вот сейчас займусь внедрением community :)

а на L3-интерфейс вешаете фильтры RFC1918, multicast?

 

У нас таких клиентов было всего два. Мы их терминировали на линукс-серверах с квагой. На них у нас довольно навороченные файрволы. Мультикаст не фильтруем. Он ещё на коммутаторах по пути умирает. А RFC1918 отфильтровывается файрволом в рамках других правил.

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать?

Share this post


Link to post
Share on other sites

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать?

 

Мы метили всех клиентов одним коммьюнити, которое и означало, что это наш клиент.

Share this post


Link to post
Share on other sites

rdntw

 

Всё просто. Делаете whois на несколько крупных AS, изучаете как делают люди - кому где и какие community навешиваются и какие комьюнити как обрабатываются. И делаете по аналогии

Share this post


Link to post
Share on other sites

s.lobanov

Зацените гугловские политики.

Share this post


Link to post
Share on other sites

uxcr

а чё, гугл массово занимается ip-транзитом чужого трафика? (as-path'ы смотреть лень, сами скажите)

Share this post


Link to post
Share on other sites

as50384 посмотрите, у них транзита валом

Share this post


Link to post
Share on other sites

ix всё-таки имеют специфику. я был лучше посмотрел на какой-нибудь 31133 или 20485

Share this post


Link to post
Share on other sites

да, но во-первых это для циски, а во вторых мне была интересна сама логика политик, например навешивать community для последующего матчинга:)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this