[electro_]

$

Edited February 29, 2016 by electro_

[bos9]

Если про исхоящий трафик, то в данном случае это PBR.

По входящему трафику докиньте анонс 91.196.176.0/22 к обоим (у вас же предусмотрено полноценное резервирование?)

[electro_]

Если про исхоящий трафик, то в данном случае это PBR.

По входящему трафику докиньте анонс 91.196.176.0/22 к обоим (у вас же предусмотрено полноценное резервирование?)

 

резервирование есть только на ISP1, второй канал работает без резевра

 

И мне нужно что бы трафик с подсетей 91.196.177.0/24, 91.196.178.0/24 шел только через ISP1 и ISP1-backup

 

А с этих подсетей 91.196.176.0/24, 91.196.179.0/24 шел только через ISP2, и не попадал в AS3255 (меня смущает что длина AS короче)

[vlad11]

И мне нужно что бы трафик с подсетей 91.196.177.0/24, 91.196.178.0/24 шел только через ISP1 и ISP1-backup

 

А с этих подсетей 91.196.176.0/24, 91.196.179.0/24 шел только через ISP2, и не попадал в AS3255 (меня смущает что длина AS короче)

 

PBR и коммюнити-препенды, чтоб симметрично возвращался.

[electro_]

И мне нужно что бы трафик с подсетей 91.196.177.0/24, 91.196.178.0/24 шел только через ISP1 и ISP1-backup

 

А с этих подсетей 91.196.176.0/24, 91.196.179.0/24 шел только через ISP2, и не попадал в AS3255 (меня смущает что длина AS короче)

 

PBR и коммюнити-препенды, чтоб симметрично возвращался.

 

 

тоесть мне нужно анонсировать в ISP1 и ISP1-backup

91.196.176.0/22

91.196.177.0/24

91.196.178.0/24

 

а в в ISP2

91.196.176.0/22

91.196.176.0/24

91.196.179.0/24

 

 

PBR и коммюнити-препенды, чтоб симметрично возвращался - ничего не понятно увы... Можете разжевать или ткнуть пальцем..

[bos9]

Препенды и комьюнити не нужны. Входящий у вас и так разрулится (если анонсировать как вы написали в посту выше).

PBR - гуглите policy based routing или sourse routing. Приминительно к вашей оси.

[electro_]

Препенды и комьюнити не нужны. Входящий у вас и так разрулится (если анонсировать как вы написали в посту выше).

PBR - гуглите policy based routing или sourse routing. Приминительно к вашей оси.

 

ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0

ip prefix-list ISP1-prefixes seq 20 permit 91.196.177.0/24

ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/24

!

ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0

ip prefix-list ISP2-prefixes seq 20 permit 91.196.176.0/24

ip prefix-list ISP2-prefixes seq 30 permit 91.196.179.0/24

 

 

Нужно ли анонсировать 91.196.176.0/22 и в IPS1 и в ISP2 - это обязательно ?

[bos9]

Представьте ситуацию когда у вас падает ISP2. В ISP1 вы анонсируете только 91.196.177.0/24,91.196.178.0/24. В таком случае сети 91.196.176.0/24,91.196.179.0/24 останутся без связи. Симметричная ситуация при падении ISP1. Дополнительный анонс 91.196.176.0/22 в оба ISP позволит избежать этой ситуации, при этом в штатном режиме все будет распределяться так как вы задумали.

[electro_]

Представьте ситуацию когда у вас падает ISP2. В ISP1 вы анонсируете только 91.196.177.0/24,91.196.178.0/24. В таком случае сети 91.196.176.0/24,91.196.179.0/24 останутся без связи. Симметричная ситуация при падении ISP1. Дополнительный анонс 91.196.176.0/22 в оба ISP позволит избежать этой ситуации, при этом в штатном режиме все будет распределяться так как вы задумали.

 

Чуть изменилась задача. Вот конфиг БГП

 

При таком конфиге:

 

При падении ISP1 весь трафик будет уходить в ISP1-backup, при падении ISP1 и ISP1-backup весть трафик уйдет через ISP2. Наилучший путь выберается по wtight

 

Все верно ? Такая схема дает тройное резервирование ? У меня сеть рабочая, на стенде нет возможности проверить

 

 

 

router bgp

bgp router-id

bgp log-neighbor-changes

bgp default local-preference 200

network 91.196.-.0/22

network 91.196.-.0/24

neighbor 194.44.-.73 remote-as ----

neighbor 194.44.-.73 description ISP1

neighbor 194.44.-.73 weight 300

neighbor 194.44.--.73 next-hop-self

neighbor 194.44.--.73 soft-reconfiguration inbound

neighbor 194.44.--.73 prefix-list DEFAULT_ONLY in

neighbor 194.44.--.65 remote-as 3255

neighbor 194.44.--.65 description ISP1-backup channel

neighbor 194.44.--.65 weight 200

neighbor 194.44.--.65 next-hop-self

neighbor 194.44--.65 soft-reconfiguration inbound

neighbor 194.44.--.65 prefix-list DEFAULT_ONLY in

neighbor 46.164.--.17 remote-as ----

neighbor 46.164.--.17 description ISP2

neighbor 46.164.--.17 weight 100

neighbor 46.164.--.17 next-hop-self

neighbor 46.164.--.17 soft-reconfiguration inbound

neighbor 46.164.--.17 prefix-list DEFAULT_ONLY in

!

access-list vty-acl permit 127.0.0.1/32

!

ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0

ip prefix-list LUX-1-prefixes seq 20 permit 91.196.--.0/22

ip prefix-list LUX-2-prefixes seq 30 permit 91.196.--.0/24

!

line vty

access-class vty-acl

!

Edited February 29, 2016 by electro_

[kayot]

Одна беда, со своей стороны ты можешь балансировать только исходящий трафик. Входящий при такой конфигурации будет литься параллельно с ISP1 и ISP2

ISP1-backup поставщик надеюсь настроил именно как бекап с минимальным локалпрефом..

[electro_]

Одна беда, со своей стороны ты можешь балансировать только исходящий трафик. Входящий при такой конфигурации будет литься параллельно с ISP1 и ISP2

ISP1-backup поставщик надеюсь настроил именно как бекап с минимальным локалпрефом..

 

ISP1-backup поставщик надеюсь настроил именно как бекап с минимальным локалпрефом - да, бекап работает, все отлично.

 

Входящий при такой конфигурации будет литься параллельно с ISP1 и ISP2 - почему ? Приоритетом является IPS1 , тоесть все должно уходить на ISP1.

 

А канал ISP2 стоит просто для резерва, в случае когда грохнется ISP1 и ISP1-backup

 

В чем тогда проблема ? Мне не нужно что бы вх. трафик лился паралельно с ISP1 и ISP2

[kayot]

electro_

Повторюсь, вы не управляете входящим трафиком. Точнее управлять можно, но это отдельная, достаточно непростая задача.

Все эти веса и приоритеты влияют только на исход.

 

Если работать должен только ISP1, а backup и ISP2 сугубо как резервные - сделайте так как есть, + ISP1 и бекапу анонсируйте более мелкие сети(лучше /23 а не /24), а ISP2 - 1 анонс /22.

Все остальные 'хитрости' банально не нужны.

[bos9]

Если весь трафик должен приходить через ISP1 и только при его падении через ISP2, тогда так:

ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22

ip prefix-list ISP1-prefixes seq 20 permit 91.196.176.0/23

ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/23

 

ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22

[electro_]

electro_

Повторюсь, вы не управляете входящим трафиком. Точнее управлять можно, но это отдельная, достаточно непростая задача.

Все эти веса и приоритеты влияют только на исход.

 

Если работать должен только ISP1, а backup и ISP2 сугубо как резервные - сделайте так как есть, + ISP1 и бекапу анонсируйте более мелкие сети(лучше /23 а не /24), а ISP2 - 1 анонс /22.

Все остальные 'хитрости' банально не нужны.

 

Если у меня вх. Канал ипс1 3,5 Гбит а исп2 700 мбит, как будет загрузка распределяться? Или когда забьется 700 мбит будет полка и все?

[electro_]

Если весь трафик должен приходить через ISP1 и только при его падении через ISP2, тогда так:

ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22

ip prefix-list ISP1-prefixes seq 20 permit 91.196.176.0/23

ip prefix-list ISP1-prefixes seq 30 permit 91.196.178.0/23

 

ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22

 

я понял

 

А если оставить

 

ip prefix-list ISP1-prefixes seq 10 permit 91.196.176.0/22

ip prefix-list ISP1-prefixes seq 20 permit 91.196.176.0/24

 

ip prefix-list ISP2-prefixes seq 10 permit 91.196.176.0/22

 

 

Что измениться ? Такой конфиг тоже имеет право на жизнь ?

[kayot]

electro_

Любой конфиг имеет право на жизнь. Но в вашем варианте 3/4 ваших IP будут бежать через обоих провайдеров, а 1/4 только через ISP1.

При забивании 700мбит ISP2 он уйдет в полку и начнутся тормоза и потери пакетов.

В конфиге кроме объявления profix-list'a его еще и нужно навесить на нужные пиры neighbor 46.164.145.17 prefix-list prefix-list ISP2-prefixes out

А лучше вообще нормальный route-map нарисовать для каждого, пригодится когда-то.

[electro_]

electro_

Любой конфиг имеет право на жизнь. Но в вашем варианте 3/4 ваших IP будут бежать через обоих провайдеров, а 1/4 только через ISP1.

При забивании 700мбит ISP2 он уйдет в полку и начнутся тормоза и потери пакетов.

В конфиге кроме объявления profix-list'a его еще и нужно навесить на нужные пиры neighbor 46.164.145.17 prefix-list prefix-list ISP2-prefixes out

А лучше вообще нормальный route-map нарисовать для каждого, пригодится когда-то.

 

 

Добры день. Спасибо, что отозвались и спасибо разжевали и разложили все по полкам.

 

Посмотрите плз своим опытным глазом остаточный конфиг, буду сегодня ночью подымать новую BGP сессию с провайдерами.

 

router bgp 43175

bgp router-id 91.196.179.254

bgp log-neighbor-changes

bgp default local-preference 200

network 91.196.176.0/22

network 91.196.176.0/23

network 91.196.178.0/23

neighbor 194.44.239.73 remote-as 3255

neighbor 194.44.239.73 description UARnet-->KIEV

neighbor 194.44.239.73 weight 300

neighbor 194.44.239.73 timers 5 20

neighbor 194.44.239.73 timers connect 20

neighbor 194.44.239.73 next-hop-self

neighbor 194.44.239.73 soft-reconfiguration inbound

neighbor 194.44.239.73 prefix-list DEFAULT_ONLY in

neighbor 194.44.239.73 route-map LUXnet-->UARnet out

neighbor 194.44.6.65 remote-as 3255

neighbor 194.44.6.65 description UARnet-->LVIV

neighbor 194.44.6.65 weight 200

neighbor 194.44.6.65 next-hop-self

neighbor 194.44.6.65 soft-reconfiguration inbound

neighbor 194.44.6.65 prefix-list DEFAULT_ONLY in

neighbor 194.44.6.65 route-map LUXnet-->UARnet out

neighbor 46.164.145.17 remote-as 21219

neighbor 46.164.145.17 description DATAGROUP-->KIEV

neighbor 46.164.145.17 weight 100

neighbor 46.164.145.17 next-hop-self

neighbor 46.164.145.17 soft-reconfiguration inbound

neighbor 46.164.145.17 prefix-list DEFAULT_ONLY in

neighbor 46.164.145.17 route-map LUXnet-->DATAGROUP out

!

access-list vty-acl permit 127.0.0.1/32

!

ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0

ip prefix-list LUXnet-->UARnet-prefixes seq 10 permit 91.196.176.0/22

ip prefix-list LUXnet-->UARnet-prefixes seq 20 permit 91.196.176.0/23

ip prefix-list LUXnet-->UARnet-prefixes seq 20 permit 91.196.178.0/23

!

ip prefix-list LUXnet-->DATAGROUP-prefixes seq 10 permit 91.196.176.0/22

!

line vty

access-class vty-acl

!

 

На даный момент: Датагрупу анонсируем 91.196.176.0/24 и 91.196.176.0/22 , в ripe 91.196.176.0/24 - more специфик роут. Нужно сообщать датагруп, что планируем анонсировать только 91.196.176.0/22

 

Уарнету нужно сообщить что мы планируем анонсировать

 

91.196.176.0/22

91.196.176.0/23

91.196.178.0/23

 

При подняти нового конфига bgp в ripe автоматически появится 2 специфик роута 91.196.176.0/23 91.196.178.0/23 ? или нужно будет что то прописать в ripe ?

 

Как Вас можно отблагодарить за помощь ?

[kayot]

electro_

Никому ничего сообщать не нужно, все наоборот.

Вы вносите руками нужные сети и описываете что кому анонсируете в ripe, и операторы по этим данным строят свои фильтры(обычно раз в сутки обновляют).

 

Названия вида LUXnet-->DATAGROUP-prefixes скорее всего использовать нельзя

 

Route-map вы так и не сделали, в таком виде конфиг не взлетит. Сделайте как-то так:

 

route-map ISP1-OUT permit 10
match ip address prefix-list SELF-PREFIX
// тут можно добавить препенды или повесить комьюнити
!
route-map ISP1-OUT permit 15
match ip address prefix-list SELF-SPEC-PREFIX
// тут можно добавить препенды или повесить комьюнити
!
route-map ISP1-OUT deny 20

 

Как Вас можно отблагодарить за помощь ?

Ну стандартно, спасибо скажите :)

[electro_]

electro_

Никому ничего сообщать не нужно, все наоборот.

Вы вносите руками нужные сети и описываете что кому анонсируете в ripe, и операторы по этим данным строят свои фильтры(обычно раз в сутки обновляют).

 

Названия вида LUXnet-->DATAGROUP-prefixes скорее всего использовать нельзя

 

Route-map вы так и не сделали, в таком виде конфиг не взлетит. Сделайте как-то так:

 

route-map ISP1-OUT permit 10
match ip address prefix-list SELF-PREFIX
// тут можно добавить препенды или повесить комьюнити
!
route-map ISP1-OUT permit 15
match ip address prefix-list SELF-SPEC-PREFIX
// тут можно добавить препенды или повесить комьюнити
!
route-map ISP1-OUT deny 20

 

Как Вас можно отблагодарить за помощь ?

Ну стандартно, спасибо скажите :)

 

 

СПАСИБИЩЕ! Есть хорошие и добрые люди на свете :)

 

Вы вносите руками нужные сети и описываете что кому анонсируете в ripe, и операторы по этим данным строят свои фильтры(обычно раз в сутки обновляют). - как и куда вносить , не могу нарыть в ripe.... Если я запущу бгп, то в райпе появятся анонсы сами (вся /22 и мор специфик /23 и /23)

 

 

Вот мой конфиг, который должен взлететь

 

router bgp 43175

bgp router-id 91.196.179.254

bgp log-neighbor-changes

bgp default local-preference 200

network 91.196.176.0/22

network 91.196.176.0/23

network 91.196.178.0/23

neighbor 194.44.239.73 remote-as 3255

neighbor 194.44.239.73 description UARnet-->KIEV

neighbor 194.44.239.73 weight 300

neighbor 194.44.239.73 timers 5 20

neighbor 194.44.239.73 timers connect 20

neighbor 194.44.239.73 next-hop-self

neighbor 194.44.239.73 soft-reconfiguration inbound

neighbor 194.44.239.73 prefix-list DEFAULT_ONLY in

neighbor 194.44.239.73 route-map ISP-1 out

neighbor 194.44.6.65 remote-as 3255

neighbor 194.44.6.65 description UARnet-->LVIV

neighbor 194.44.6.65 weight 200

neighbor 194.44.6.65 next-hop-self

neighbor 194.44.6.65 soft-reconfiguration inbound

neighbor 194.44.6.65 prefix-list DEFAULT_ONLY in

neighbor 194.44.6.65 route-map ISP-1 out

neighbor 46.164.145.17 remote-as 21219

neighbor 46.164.145.17 description DATAGROUP-->KIEV

neighbor 46.164.145.17 weight 100

neighbor 46.164.145.17 timers 5 20

neighbor 46.164.145.17 timers connect 20

neighbor 46.164.145.17 next-hop-self

neighbor 46.164.145.17 soft-reconfiguration inbound

neighbor 46.164.145.17 prefix-list DEFAULT_ONLY in

neighbor 46.164.145.17 route-map ISP-2 out

!

access-list vty-acl permit 127.0.0.1/32

!

ip prefix-list DEFAULT_ONLY seq 5 permit 0.0.0.0/0

ip prefix-list ISP-1-prefixes seq 10 permit 91.196.176.0/22

ip prefix-list ISP-1-prefixes seq 20 permit 91.196.176.0/23

ip prefix-list ISP-1-prefixes seq 30 permit 91.196.178.0/23

!

ip prefix-list ISP-2-prefixes seq 10 permit 91.196.176.0/22

!

line vty

access-class vty-acl

!

[kayot]

route map'a как небыло, так и сейчас нет.

Или описывайте его как я выше показал, или используйте 'neighbor xx prefix-list ZZZ out'.

 

В райпе объекты route нужно добавлять ручками, в список ваших сетей. Само оно туда не попадает.

Где-то тут https://apps.db.ripe.net/db-web-ui/#/webupdates/select

Естественно нужны пароли вашей автономки.

У вас там заведены /22 и 4шт /24, по хорошему нужно завести еще пару /23. Но можно и варварски проанонсить все /24..

[electro_]

Ну вы прям гуру маршрутизации, я в восторге! Если я добавлю роуты в райп /23 то остальные 4 по /24 остануться также?

[kayot]

В райпе можно писать что угодно, пусть будут про запас. А вот анонсировать их в данный момент смысла нет.

[electro_]

В райпе можно писать что угодно, пусть будут про запас. А вот анонсировать их в данный момент смысла нет.

 

web-poster@ukr.net - пришли мне плз свою аську или скайп, будем дружить. Фрилансерством занимаешься ?

 

В райпе можно писать что угодно, пусть будут про запас. А вот анонсировать их в данный момент смысла нет.

 

А в чем разница, что анонсировать 4 по /24 или 2 по /23 . на что это влияет ? не могу нарыть инфо в нете

[kayot]

Это влияет на 2 лишних префикса анонсируемые в мировую таблицу маршрутизации. Нехорошо это(для других).

[electro_]

Я понял, это влияет на размер фул вью ))