[alibek]

Что-то я застрял на ровном месте.

 

Есть автономная система и три блока IP-адресов: A, B, C.

Блоки B и C используются исключительно под пул динамических адресов PPPoE.

Блок A поделен на четыре подсети /24: A1, A2, A3, A4.

A4 тоже используется под PPPoE, но тут адреса уже выделенные.

A2 и A3 используется под статику IPoE (выделенные линии /30).

A1 поделен на несколько подсетей размером меньше /24: A1a (подсеть для серверов, DNS, почта, сайты), A1b (некоторые дополнительные сервисы, NAT для хотспотов и бесплатного интернета), A1c (линковые адреса для транспортного L3 на своей сети), A1d (линковые адреса под пиринг).

 

Есть основной аплинк ISP1, его принимает Extreme X670 (по BGP, принимаю дефолт).

Есть второй линк ISP2, он исключительно резервный (то есть никакой балансировки и агрегации не нужно, он используется только при падении основного линка), его принимает Cisco 7201.

Динамические протоколы (BGP) используются только на аплинках, внутри сейчас только статическая маршрутизация.

В штатном режиме весь трафик ходит через ISP1, ISP2 не используется (и он ни в коем случае не должен принимать трафик, он просто ляжет).

В случае аварии на ISP1 задействуется резервный линк ISP2.

Пока вроде бы стандартно. Вроде бы как мне надо поднять eBGP на аплинках и iBGP между Extreme X670 и Cisco 7201.

 

Теперь нюансы, с которыми я застрял.

Во-первых, я принимаю только дефолт, а не Full-View. Правда мне и балансировка трафика не требуется. Можно ли это разрулить через BGP или лучше скрипты и IP SLA?

Подсеть A1a используется для основных публичных сервисов, таких как NS-сервера зон, DNS-ресолверы для клиентов, почтовые сервера, сайты (личный кабинет). На схеме они терминируются на Cisco 7201, однако в настоящий момент их терминирует Extreme X670, поскольку на паре серверов может генерироваться большой трафик, который Cisco 7201 обработать не сможет. Скорее всего я буду терминировать эту подсеть на обоих бордерах, просто для этой пары серверов шлюзом укажу Extreme X670, а для остальных серверов шлюзом будет Cisco 7201. Не будет ли тут проблем?

Подсеть A1b используется для всяких вспомогательных сервисов (в основном через нее NAT-ится интернет-доступ), его резервировать не нужно.

Подсеть A1c используется для L3-транспорта внутри сети. Терминирует ее Extreme X670, по этому транспорту ходит трафик между Extreme X670 и остальными узлами (BRAS1, BRAS2, Cisco 7201). Меня смущает, не польется ли клиентский трафик с BRAS-ов через эти линки, поскольку A1 будет анонсироваться через ISP2.

Подсеть A1d используется для пиринга, ее резервировать не нужно. Но опять же, поскольку A1 анонсируется через ISP2, то не польется ли через него этот трафик?

 

Резервироваться должны A2, A3, возможно A4 (чтобы была возможность оперативно как разрешить, так и выключить резервирование), A1a.

[NiTr0]

Поднимаете iBGP, на резерве - тыкаете штук 5 препендов на исход, на вход - localpref 1. Если брасы таки включены через какой-то л2 свич, соединенный с экстримом и циско, а не напрямую в экстрим - лучше в довесок настроить какой-то OSPF, или iBGP с каждым из бордеров (на случай смерти одного из бордеров посреди ночи).

[alibek]

лучше в довесок настроить какой-то OSPF, или iBGP с каждым из бордеров

А с какой целью? Если для переключения на ISP2, то лучше не надо — линк на ISP2 на два порядка меньше, чем основной, лучше пусть на брасах вообще интернета не будет, чем такой.

 

тыкаете штук 5 препендов

Меня смущает то, что если ISP1 умрет, то сколько бы я препендов не ставил на ISP2, трафик все-равно пойдет через него (другого то нет).

Cisco 7201 не анонсирует подсети B и C (на которых основной трафик), но анонсирует A1c, в которых живет транспорт между Extreme X670 и брасами.

[NiTr0]

А с какой целью? Если для переключения на ISP2, то лучше не надо — линк на ISP2 на два порядка меньше, чем основной, лучше пусть на брасах вообще интернета не будет, чем такой.

Ну если вам ненадо резервирование инетов на брасах - то да, не надо.

 

Меня смущает то, что если ISP1 умрет, то сколько бы я препендов не ставил на ISP2, трафик все-равно пойдет через него (другого то нет).

Cisco 7201 не анонсирует подсети B и C (на которых основной трафик), но анонсирует A1c, в которых живет транспорт между Extreme X670 и брасами.

И что? Брасы с этих ип в интернет ходят сами собой без спроса? К слову, не понимаю вообще смысл использования белых ип для интерконнектов в локалке. Разве что - чтобы сервера в интернет ходили без ната...

[alibek]

К слову, не понимаю вообще смысл использования белых ип для интерконнектов в локалке.

Ну так исторически сложилось.

Кроме того, это человеческие трассировки позволяет иметь.

[alibek]

Брасы с этих ип в интернет ходят сами собой без спроса?

С исходящим трафиком понятно - он пойдет на шлюз (Extreme X670) и там сгинет.

А со входящим есть вопросы. Cisco 7201 через резервный линк анонсирует подсеть A1, в которой находятся и линковые адреса брасов A1c. Прямого входящего трафика на них не должно быть, но косвенного (трассировки, кривая настройка BGP) может и набраться.

[NiTr0]

А со входящим есть вопросы. Cisco 7201 через резервный линк анонсирует подсеть A1, в которой находятся и линковые адреса брасов A1c. Прямого входящего трафика на них не должно быть, но косвенного (трассировки, кривая настройка BGP) может и набраться.

И что?

Ничего вы с этим не сделаете. В принципе. BGP не оперирует объектами менее /24. Ну разве что очень-очень сильно попросите аплинка, чтобы он пошел вам на уступки и зарезал трафик на данный диапазон до шейпера. Но, думаю, вероятность этого околонулевая - никто не будет заморачиваться ради десятка-другого килобит паразитного трафика (и то если они будут).

[dsk]

Без взаимодействия с ISP2, все будет слишком криво. Тут вариант или вам MED выставлять на бэкапе, либо договариваться о понижении localpref на вас там же.

Теоретически, можно поиграться с bgp allowas-in и принимать от ISP2 помимо дефолта еще и свои же префиксы, на базе этого можно контролить состояние ISP1. Если пропали, то начинать анонсить их в ISP2. На практике это неизвестно как заработает .