Перейти к содержимому
Калькуляторы

Концепция ebgp-стыков политики на downlink, peering

Добрый день!

 

Понемногу обрастаем аплинками, даунлинками и прочими стыками. Думаю всё это дело как-то грамотно упорядочить тк сейчас стоят тупо фильтры по префикс-листам на вход/выход. Допустим бывает ситуация когда даунлинк гасит сессию с нами, а мы принимаем его префикс через тот же MSK-IX и анонсим уже нашим аплниками. Мне кажется это не есть хорошо.

Хочется написать такой универсальный route-map в котором будет сразу навешиваться community, local-pref и тп.

 

Вот хочу спросить у вас как выглядить типовая полиси на ebgp-клиента и что полезного можно там еще проставить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на клиента.

route-map XXX-MAP-IN permit 10

match ip address prefix-list XXX-PREFIX

set local-preference 550

set community 34145:666 additive

!

а потом уже роутмапа на аплинк, где пропускается все 34145:666.

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну т.е. помимо local-pref и community проставлять особо нечего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 neighbor a.b.c.d
 remote-as 123
 address-family ipv4 unicast
  route-policy customer_filter(123) in
  route-policy default out
  default-originate
 !

route-policy customer_filter($ASNUM)
 if destination in $ASNUM then
  if community is-empty
   set local-preference 250
   set community ...
   pass
  endif
  if community matches-every ...
   set ....
   pass
 endif
end-policy
!

prefix-set 123
 192.168.0.0/24
end-set

 

prefix-set генерирует irrtoolset например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

prefix-set генерирует irrtoolset

вот за это отдельное спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну т.е. помимо local-pref и community проставлять особо нечего :)

 

Еще входящие фильтры на:

1) серые сети

2) серые AS

3) чужие сети

4) лимит сетей

 

И blackhole community

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

вот сейчас займусь внедрением community :)

а на L3-интерфейс вешаете фильтры RFC1918, multicast?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

prefix-set генерирует irrtoolset

вот за это отдельное спасибо

Вот только поставить его на дебиане оказалось адово не тривиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

вот сейчас займусь внедрением community :)

а на L3-интерфейс вешаете фильтры RFC1918, multicast?

 

У нас таких клиентов было всего два. Мы их терминировали на линукс-серверах с квагой. На них у нас довольно навороченные файрволы. Мультикаст не фильтруем. Он ещё на коммутаторах по пути умирает. А RFC1918 отфильтровывается файрволом в рамках других правил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы принимая, анонсы от наших даунлинков ставили определённые комьюнити, и по ним потом отдавали префиксы аплинкам. При этом мы могли принимать префиксы на одном роутере, а отдавали аплинку уже на другом. Удобно в общем-то.

на каждого клиента свой community? Или по какому-то признакому можно под один чтоб удобней было на аплинке выпускать?

 

Мы метили всех клиентов одним коммьюнити, которое и означало, что это наш клиент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdntw

 

Всё просто. Делаете whois на несколько крупных AS, изучаете как делают люди - кому где и какие community навешиваются и какие комьюнити как обрабатываются. И делаете по аналогии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://gul-tech.livejournal.com/3349.html

ох как здорово

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

s.lobanov

Зацените гугловские политики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

uxcr

а чё, гугл массово занимается ip-транзитом чужого трафика? (as-path'ы смотреть лень, сами скажите)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

as50384 посмотрите, у них транзита валом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ix всё-таки имеют специфику. я был лучше посмотрел на какой-нибудь 31133 или 20485

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://gul-tech.livejournal.com/3349.html

ох как здорово

Кстати, заметили ли вы там эту ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, но во-первых это для циски, а во вторых мне была интересна сама логика политик, например навешивать community для последующего матчинга:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.