ShyLion Posted December 16, 2016 · Report post Принимаем два фул-вью от вышестоящих, анонсим им свою автономку. Теперь появился первый клиент, который хочет через нас анонсить свою автономку. Подскажите новичку, какие подводные камни могут быть?, как лучше настроить фильтры? Что нужно предпринять помимо настройки железяки? Железо - Cisco ASR-1002X. Пока план такой: 1. поправить/добавить import/export в записи автономки, уведомить клиента о том-же 2. уведомить апстримов 3. Повесить фильтр на роуты от клиента с as-path ^ЕГО_АВТОНОМКА$ neighbor x.x.x.x route-map RM_CLIENT_900_IN in ... route-map RM_CLIENT_900_IN permit 10 match as-path 900 ! route-map RM_CLIENT_900_IN deny 20 ! ip as-path access-list 900 permit ^ASCLIENT900$ ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 · Report post Я правильно понимаю, что если в нашей автономке было поле: export: to ASВЫШЕСТОЯЩИ announce ASНАША то я должен поменять на: export: to ASВЫШЕСТОЯЩИ announce ASНАША ASCLIENT ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 16, 2016 · Report post route-map RM_CLIENT_900_IN deny 20 не нужно. ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити. добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему. export: to ASupstream announce имя-ас-сет export: to clientas announce ANY Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 (edited) · Report post ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити. На входящем роутмапе set community ? Номера с потолка можно брать? Можно кратенький пример? Edited December 16, 2016 by ShyLion Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 16, 2016 · Report post клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MrNv Posted December 16, 2016 · Report post еще на апстримов фильт поставте, а то может случиться так, что вы станите транзитом между двумя вашими аптримами, для автономки клиента Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 (edited) · Report post клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет. У клиента микротик. Он сможет? Вообще от него запроса на такую гибкость не было, думаю пока не стоит усложнять все на столько. транзитом между двумя вашими аптримами, для автономки клиента Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ Edited December 16, 2016 by ShyLion Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MrNv Posted December 16, 2016 · Report post Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ этот роут-мап на апстрим? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 · Report post Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ этот роут-мап на апстрим? Да, на out. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MrNv Posted December 16, 2016 · Report post ShyLion тогда это и имелось ввиду, просто вы в первом сообщении это не указали. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 · Report post добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему. export: to ASupstream announce имя-ас-сет export: to clientas announce ANY Спасибо, так и сделал. ShyLion тогда это и имелось ввиду, просто вы в первом сообщении это не указали. Ок, спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 16, 2016 · Report post клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет. не стоит оно того с двумя аплинками, ну вообще не стоит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 16, 2016 · Report post Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити. дальше все будет работать автоматически, просто включаешь нового клиента и вешаешь на него нужный комьюнити, он автоматически вылетит согласно политике. вариант с ручными листами префиксов или as-path - гиблое дело, с ростом числа просто начнутся косяки. если масштабируемость не нужна и какой-либо рост не предполагается то вообще пофигу как делать, разницы не будет от слова совсем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 (edited) · Report post мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити. Можно примерчик простецкий? Во входящем роутмапе делать set extcommunity? asr-1002x-624(config-route-map)#set extcommunity ? cost Cost extended community rt Route Target extended community soo Site-of-Origin extended community vpn-distinguisher VPN Distinguisher Чего тут выбрать? Номера комьюнити как выбирать и распределять? Как матчить на исходящем роутмапе? На роутере ничего кроме бгп с аплинками нет, никаких ВПН и прочих МПЛС. Edited December 16, 2016 by ShyLion Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 16, 2016 · Report post не ext, обычный комьюнити Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 16, 2016 · Report post не ext, обычный комьюнити Номер от балды? у меня ASN 32-хбитный Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 16, 2016 · Report post и с 32битными можно если оборудование поддерживает если нет, то срезать свой левак на выходе whois AS3216 (ну или любая другая) remarks: Internal comminuties are assigned only internally. remarks: They are in range 3216:0000-3216:4999 and 3216:6000-3216:65535 remarks: and are always deleted from incoming updates at the border remarks: routers. remarks: They may be used by peers to filter some prefixes. remarks: Community Meaning Так делают большие дяди Номера любые, номера определяются исключительно внутренней политикой (про rfc на эту тему я не слышал) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 19, 2016 · Report post и с 32битными можно если оборудование поддерживает Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 19, 2016 · Report post ip bgp-community new-format после этого community будут human readable Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 19, 2016 · Report post Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный? Посыпаю голову пеплом, действительно обычные номера комьюнити имеют всю длину 32 бита, для них я видел такое решение, но пруфов найти не могу, просто отложилось в голове: Например есть АС 111111, ее надо перевести в asdot формат, будет 1.45575, берем вторую половину и используем, получается 45575:1000. Конечно возможны пересечения с АС у которых эти номера будут совпадать (0.45575, 1.45575, 2.45575 и тд), но что тут поделать, только срезать их на входе в сеть Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 19, 2016 · Report post Короче я понял основную идею. Надо будет на виртуалке попробовать. В энтерпрайзе я вовсю тегами пользуюсь, тут похожая идея. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 20, 2016 · Report post Еще есть вот такая тема в драфте https://tools.ietf.org/search/draft-ietf-idr-large-community-11 Большие комьюнити, вендоры ее не умеют, обещают запилить в ближайших релизах, но непонятно когда эта фича перейдет в стабильные релизы, а потом эти релизы будут залиты на оборудование, поэтому сильно радоваться не стоит, хорошо уже то что кто-то пытается решать проблему. Будем ждать следующего кризиса,. когда ipv6 адреса закончатся, 32битные автономки и large bgp community Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...