ShyLion Опубликовано 16 декабря, 2016 · Жалоба Принимаем два фул-вью от вышестоящих, анонсим им свою автономку. Теперь появился первый клиент, который хочет через нас анонсить свою автономку. Подскажите новичку, какие подводные камни могут быть?, как лучше настроить фильтры? Что нужно предпринять помимо настройки железяки? Железо - Cisco ASR-1002X. Пока план такой: 1. поправить/добавить import/export в записи автономки, уведомить клиента о том-же 2. уведомить апстримов 3. Повесить фильтр на роуты от клиента с as-path ^ЕГО_АВТОНОМКА$ neighbor x.x.x.x route-map RM_CLIENT_900_IN in ... route-map RM_CLIENT_900_IN permit 10 match as-path 900 ! route-map RM_CLIENT_900_IN deny 20 ! ip as-path access-list 900 permit ^ASCLIENT900$ ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 · Жалоба Я правильно понимаю, что если в нашей автономке было поле: export: to ASВЫШЕСТОЯЩИ announce ASНАША то я должен поменять на: export: to ASВЫШЕСТОЯЩИ announce ASНАША ASCLIENT ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 декабря, 2016 · Жалоба route-map RM_CLIENT_900_IN deny 20 не нужно. ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити. добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему. export: to ASupstream announce имя-ас-сет export: to clientas announce ANY Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 (изменено) · Жалоба ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити. На входящем роутмапе set community ? Номера с потолка можно брать? Можно кратенький пример? Изменено 16 декабря, 2016 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 16 декабря, 2016 · Жалоба клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 16 декабря, 2016 · Жалоба еще на апстримов фильт поставте, а то может случиться так, что вы станите транзитом между двумя вашими аптримами, для автономки клиента Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 (изменено) · Жалоба клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет. У клиента микротик. Он сможет? Вообще от него запроса на такую гибкость не было, думаю пока не стоит усложнять все на столько. транзитом между двумя вашими аптримами, для автономки клиента Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ Изменено 16 декабря, 2016 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 16 декабря, 2016 · Жалоба Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ этот роут-мап на апстрим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 · Жалоба Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ этот роут-мап на апстрим? Да, на out. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 16 декабря, 2016 · Жалоба ShyLion тогда это и имелось ввиду, просто вы в первом сообщении это не указали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 · Жалоба добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему. export: to ASupstream announce имя-ас-сет export: to clientas announce ANY Спасибо, так и сделал. ShyLion тогда это и имелось ввиду, просто вы в первом сообщении это не указали. Ок, спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 16 декабря, 2016 · Жалоба клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет. не стоит оно того с двумя аплинками, ну вообще не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 16 декабря, 2016 · Жалоба Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$ мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити. дальше все будет работать автоматически, просто включаешь нового клиента и вешаешь на него нужный комьюнити, он автоматически вылетит согласно политике. вариант с ручными листами префиксов или as-path - гиблое дело, с ростом числа просто начнутся косяки. если масштабируемость не нужна и какой-либо рост не предполагается то вообще пофигу как делать, разницы не будет от слова совсем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 (изменено) · Жалоба мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити. Можно примерчик простецкий? Во входящем роутмапе делать set extcommunity? asr-1002x-624(config-route-map)#set extcommunity ? cost Cost extended community rt Route Target extended community soo Site-of-Origin extended community vpn-distinguisher VPN Distinguisher Чего тут выбрать? Номера комьюнити как выбирать и распределять? Как матчить на исходящем роутмапе? На роутере ничего кроме бгп с аплинками нет, никаких ВПН и прочих МПЛС. Изменено 16 декабря, 2016 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 16 декабря, 2016 · Жалоба не ext, обычный комьюнити Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 декабря, 2016 · Жалоба не ext, обычный комьюнити Номер от балды? у меня ASN 32-хбитный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 16 декабря, 2016 · Жалоба и с 32битными можно если оборудование поддерживает если нет, то срезать свой левак на выходе whois AS3216 (ну или любая другая) remarks: Internal comminuties are assigned only internally. remarks: They are in range 3216:0000-3216:4999 and 3216:6000-3216:65535 remarks: and are always deleted from incoming updates at the border remarks: routers. remarks: They may be used by peers to filter some prefixes. remarks: Community Meaning Так делают большие дяди Номера любые, номера определяются исключительно внутренней политикой (про rfc на эту тему я не слышал) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 декабря, 2016 · Жалоба и с 32битными можно если оборудование поддерживает Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 декабря, 2016 · Жалоба ip bgp-community new-format после этого community будут human readable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 19 декабря, 2016 · Жалоба Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный? Посыпаю голову пеплом, действительно обычные номера комьюнити имеют всю длину 32 бита, для них я видел такое решение, но пруфов найти не могу, просто отложилось в голове: Например есть АС 111111, ее надо перевести в asdot формат, будет 1.45575, берем вторую половину и используем, получается 45575:1000. Конечно возможны пересечения с АС у которых эти номера будут совпадать (0.45575, 1.45575, 2.45575 и тд), но что тут поделать, только срезать их на входе в сеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 декабря, 2016 · Жалоба Короче я понял основную идею. Надо будет на виртуалке попробовать. В энтерпрайзе я вовсю тегами пользуюсь, тут похожая идея. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 20 декабря, 2016 · Жалоба Еще есть вот такая тема в драфте https://tools.ietf.org/search/draft-ietf-idr-large-community-11 Большие комьюнити, вендоры ее не умеют, обещают запилить в ближайших релизах, но непонятно когда эта фича перейдет в стабильные релизы, а потом эти релизы будут залиты на оборудование, поэтому сильно радоваться не стоит, хорошо уже то что кто-то пытается решать проблему. Будем ждать следующего кризиса,. когда ipv6 адреса закончатся, 32битные автономки и large bgp community Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...