[sem86]

Добрый день!

Что имеем: Есть центральный маршрутизатор, есть N-ое количество (очень много) удаленных маршрутизаторов (клиенты). Топология звезда, клиентам не нужно знать друг о друге. У каждого клиента и центрального маршрутизатора есть по два up-links (провайдер А, провайдер B) и соответственно свои подсети. Все оборудование используется в корпоративной сети.

 

Задача: Из подсети центрального маршрутизатора обеспечить доступ к подсетям клиентов, обеспечить шифрование и не зависеть от провайдеров.

 

Решение: Использовать динамическую маршрутизацию BGP с ипользованием приватных AS, VPN L2TP (интерфейсы в качестве peers), IPSEC. Центральный маршрутизатор в одной приватной AS, а все клиенты в другой. OSPF не рассматриваю.

 

В процессе конфигурирования Mikrotik возникли вопросы, ответы на которые не мог найти или понять )):

1. Назначение настройки client-to-client-reflection=yes/no. Для чего это нужно. Настраивать на стороне ЦМ или клиентов?

2. В случае необходимости выбора лучшего маршрута для конкретного клиента например для провайдера B, посоветуйте? Был пример на сайте http://isp-servis.ru/config_mikrotik.html. Можно ли его использовать, корректно ли все в нем, а именно применение set-bgp-prepend и set-bgp-local-preferens? При этом, как выставить ignore-as-path-len в настройке bgp Instance?

3. Ситуация следующая: падает провайдер А, туннель уходит в down. Через 30 сек как был настроен Hold-Time траффик идет через провайдера B, в принципе все отработало. Но подымается провайдер A, туннель переходит в Up через 10-15 сек, проходит еще 40-45 сек, после чего активным маршрутом bgp становится провайдера А. Вопрос - почему так долго? Где те самые 30 сек. указанные в Hold-Time. Почему так происходит?

4. Дополнительно, что значит TTL в bgp peer и на что он влияет? Что делать в моём случае default или установить значение, то какое?

[Saab95]

То, что вы написали, работать не будет. Единственная нормальная реализация это с помощью OSPF и BFD, тогда при падении/восстановлении линков переключения будут происходить мгновенно. Но обычно делают на основном провайдере 1 сек, а на резервном по дефолту, что бы в случае постоянных кратковременных обрывов интернета проблем не получить. Если клиентам не нужно знать друг о друге, тогда фильтрами блокируете все маршруты, кроме центрального, и клиенты удаленных маршрутизаторов ничего о них знать не будут. Так же нужно понимать, что шифрование потребует в удаленных офисах мощных железок, обычные с 600мгц процессором не пропустят много трафика, без шифрования они легко 100 и более передают.

[sem86]

Saab95 вообще то всё, что я писал про реализацию работает. BFD и на BGP включается, но не использую по некоторым причинам. Лучше бы на вопросы мои ответили )))

[Saab95]

У каждого свои познания и привычки при работе с сетями. Задачу нужно решать таким способом, что бы не возникало проблем - значит самым простым способом с применением большого количества оборудования, которое решает свою простую задачу. Поэтому BGP, предназначенный для глобального обмена маршрутами тут совершенно не применим, ведь возникли вопросы в реализации, не так ли?

[pppoetest]

БГП неприменим на мокротиках, потому что у саабжа дохнет проц при флапах. Поэтому сааб и не советует пользовать стандартный протокол динамической маршрутизации )))

[Saab95]

БГП неприменим на мокротиках, потому что у саабжа дохнет проц при флапах. Поэтому сааб и не советует пользовать стандартный протокол динамической маршрутизации )))

 

Почему же тогда на OSPF не загружается процессор на все сто?

[myth]

Вопрос к программистам, вестимо