Jump to content
Калькуляторы

Первый BGP абонент

Принимаем два фул-вью от вышестоящих, анонсим им свою автономку.

Теперь появился первый клиент, который хочет через нас анонсить свою автономку.

Подскажите новичку, какие подводные камни могут быть?, как лучше настроить фильтры? Что нужно предпринять помимо настройки железяки?

Железо - Cisco ASR-1002X.

 

Пока план такой:

1. поправить/добавить import/export в записи автономки, уведомить клиента о том-же

2. уведомить апстримов

3. Повесить фильтр на роуты от клиента с as-path ^ЕГО_АВТОНОМКА$

neighbor x.x.x.x route-map RM_CLIENT_900_IN in
...
route-map RM_CLIENT_900_IN permit 10
match as-path 900
!
route-map RM_CLIENT_900_IN deny 20
!
ip as-path access-list 900 permit ^ASCLIENT900$
!

Share this post


Link to post
Share on other sites

Я правильно понимаю, что если в нашей автономке было поле:

 

export:          to ASВЫШЕСТОЯЩИ announce ASНАША

 

то я должен поменять на:

 

export:          to ASВЫШЕСТОЯЩИ announce ASНАША ASCLIENT

?

Share this post


Link to post
Share on other sites

route-map RM_CLIENT_900_IN deny 20 не нужно.

 

ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити.

 

 

 

добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему.

 

export: to ASupstream announce имя-ас-сет

 

export: to clientas announce ANY

Share this post


Link to post
Share on other sites

ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити.

 

На входящем роутмапе set community ? Номера с потолка можно брать? Можно кратенький пример?

Edited by ShyLion

Share this post


Link to post
Share on other sites

клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет.

Share this post


Link to post
Share on other sites

еще на апстримов фильт поставте, а то может случиться так, что вы станите транзитом между двумя вашими аптримами, для автономки клиента

Share this post


Link to post
Share on other sites

клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет.

У клиента микротик. Он сможет? Вообще от него запроса на такую гибкость не было, думаю пока не стоит усложнять все на столько.

 

транзитом между двумя вашими аптримами, для автономки клиента

 

Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$

Edited by ShyLion

Share this post


Link to post
Share on other sites

добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему.

 

export: to ASupstream announce имя-ас-сет

 

export: to clientas announce ANY

 

Спасибо, так и сделал.

 

ShyLion

тогда это и имелось ввиду, просто вы в первом сообщении это не указали.

Ок, спасибо.

Share this post


Link to post
Share on other sites

клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет.

не стоит оно того с двумя аплинками, ну вообще не стоит.

Share this post


Link to post
Share on other sites

Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$

 

мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити. дальше все будет работать автоматически, просто включаешь нового клиента и вешаешь на него нужный комьюнити, он автоматически вылетит согласно политике.

вариант с ручными листами префиксов или as-path - гиблое дело, с ростом числа просто начнутся косяки. если масштабируемость не нужна и какой-либо рост не предполагается то вообще пофигу как делать, разницы не будет от слова совсем

Share this post


Link to post
Share on other sites

мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити.

 

Можно примерчик простецкий?

Во входящем роутмапе делать set extcommunity?

asr-1002x-624(config-route-map)#set extcommunity ?
 cost               Cost extended community
 rt                 Route Target extended community
 soo                Site-of-Origin extended community
 vpn-distinguisher  VPN Distinguisher

Чего тут выбрать? Номера комьюнити как выбирать и распределять? Как матчить на исходящем роутмапе?

На роутере ничего кроме бгп с аплинками нет, никаких ВПН и прочих МПЛС.

Edited by ShyLion

Share this post


Link to post
Share on other sites

и с 32битными можно если оборудование поддерживает

если нет, то срезать свой левак на выходе

 

whois AS3216 (ну или любая другая)

remarks:        Internal comminuties are assigned only internally.
remarks:        They are in range 3216:0000-3216:4999 and 3216:6000-3216:65535
remarks:        and are always deleted from incoming updates at the border
remarks:        routers.
remarks:        They may be used by peers to filter some prefixes.
remarks:        Community Meaning

Так делают большие дяди

Номера любые, номера определяются исключительно внутренней политикой (про rfc на эту тему я не слышал)

Share this post


Link to post
Share on other sites

и с 32битными можно если оборудование поддерживает

 

Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный?

Share this post


Link to post
Share on other sites

Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный?

 

Посыпаю голову пеплом, действительно обычные номера комьюнити имеют всю длину 32 бита, для них я видел такое решение, но пруфов найти не могу, просто отложилось в голове:

Например есть АС 111111, ее надо перевести в asdot формат, будет 1.45575, берем вторую половину и используем, получается 45575:1000. Конечно возможны пересечения с АС у которых эти номера будут совпадать (0.45575, 1.45575, 2.45575 и тд), но что тут поделать, только срезать их на входе в сеть

Share this post


Link to post
Share on other sites

Короче я понял основную идею. Надо будет на виртуалке попробовать.

В энтерпрайзе я вовсю тегами пользуюсь, тут похожая идея.

Share this post


Link to post
Share on other sites

Еще есть вот такая тема в драфте

https://tools.ietf.org/search/draft-ietf-idr-large-community-11

Большие комьюнити, вендоры ее не умеют, обещают запилить в ближайших релизах, но непонятно когда эта фича перейдет в стабильные релизы, а потом эти релизы будут залиты на оборудование, поэтому сильно радоваться не стоит, хорошо уже то что кто-то пытается решать проблему.

Будем ждать следующего кризиса,. когда ipv6 адреса закончатся, 32битные автономки и large bgp community

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.