[ShyLion]

Принимаем два фул-вью от вышестоящих, анонсим им свою автономку.

Теперь появился первый клиент, который хочет через нас анонсить свою автономку.

Подскажите новичку, какие подводные камни могут быть?, как лучше настроить фильтры? Что нужно предпринять помимо настройки железяки?

Железо - Cisco ASR-1002X.

 

Пока план такой:

1. поправить/добавить import/export в записи автономки, уведомить клиента о том-же

2. уведомить апстримов

3. Повесить фильтр на роуты от клиента с as-path ^ЕГО_АВТОНОМКА$

neighbor x.x.x.x route-map RM_CLIENT_900_IN in
...
route-map RM_CLIENT_900_IN permit 10
match as-path 900
!
route-map RM_CLIENT_900_IN deny 20
!
ip as-path access-list 900 permit ^ASCLIENT900$
!

[ShyLion]

Я правильно понимаю, что если в нашей автономке было поле:

 

export:          to ASВЫШЕСТОЯЩИ announce ASНАША

 

то я должен поменять на:

 

export:          to ASВЫШЕСТОЯЩИ announce ASНАША ASCLIENT

?

[zhenya`]

route-map RM_CLIENT_900_IN deny 20 не нужно.

 

ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити.

 

 

 

добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему.

 

export: to ASupstream announce имя-ас-сет

 

export: to clientas announce ANY

[ShyLion]

ну и практичнее промаркировать анонсы клиента community, а потом в out route-mapах в сторону апстримов пропускать сети с этим коммунити.

 

На входящем роутмапе set community ? Номера с потолка можно брать? Можно кратенький пример?

Изменено 16 декабря, 2016 пользователем ShyLion

[dmvy]

клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет.

[MrNv]

еще на апстримов фильт поставте, а то может случиться так, что вы станите транзитом между двумя вашими аптримами, для автономки клиента

[ShyLion]

клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет.

У клиента микротик. Он сможет? Вообще от него запроса на такую гибкость не было, думаю пока не стоит усложнять все на столько.

 

транзитом между двумя вашими аптримами, для автономки клиента

 

Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$

Изменено 16 декабря, 2016 пользователем ShyLion

[MrNv]

Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$

этот роут-мап на апстрим?

[ShyLion]

Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$

этот роут-мап на апстрим?

Да, на out.

[MrNv]

ShyLion

тогда это и имелось ввиду, просто вы в первом сообщении это не указали.

[ShyLion]

добавьте клиента в свой AS-SET и скажите апстримам фильтры строить по нему.

 

export: to ASupstream announce имя-ас-сет

 

export: to clientas announce ANY

 

Спасибо, так и сделал.

 

ShyLion

тогда это и имелось ввиду, просто вы в первом сообщении это не указали.

Ок, спасибо.

[zi_rus]

клиента фильтруйте по сетям, а не по aspath. И желательно дать клиенту управляющие community, чтобы он мог сам управлять анонсами. Т.е. маркируйте разных пиров разными community, сделайте community, чтобы клиент мог выбирать куда анонсироваться, а куда нет.

не стоит оно того с двумя аплинками, ну вообще не стоит.

[zi_rus]

Это как так? В исходящих рутмапах только ^$ и ^ASCLIENT$

 

мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити. дальше все будет работать автоматически, просто включаешь нового клиента и вешаешь на него нужный комьюнити, он автоматически вылетит согласно политике.

вариант с ручными листами префиксов или as-path - гиблое дело, с ростом числа просто начнутся косяки. если масштабируемость не нужна и какой-либо рост не предполагается то вообще пофигу как делать, разницы не будет от слова совсем

[ShyLion]

мой бестпрактис (а может и всеобщий) - метить все входящие префиксы номерами комьюнити и выпускать из сети тоже только по комьюнити.

 

Можно примерчик простецкий?

Во входящем роутмапе делать set extcommunity?

asr-1002x-624(config-route-map)#set extcommunity ?
 cost               Cost extended community
 rt                 Route Target extended community
 soo                Site-of-Origin extended community
 vpn-distinguisher  VPN Distinguisher

Чего тут выбрать? Номера комьюнити как выбирать и распределять? Как матчить на исходящем роутмапе?

На роутере ничего кроме бгп с аплинками нет, никаких ВПН и прочих МПЛС.

Изменено 16 декабря, 2016 пользователем ShyLion

[zi_rus]

не ext, обычный комьюнити

[ShyLion]

не ext, обычный комьюнити

Номер от балды? у меня ASN 32-хбитный

[zi_rus]

и с 32битными можно если оборудование поддерживает

если нет, то срезать свой левак на выходе

 

whois AS3216 (ну или любая другая)

remarks:        Internal comminuties are assigned only internally.
remarks:        They are in range 3216:0000-3216:4999 and 3216:6000-3216:65535
remarks:        and are always deleted from incoming updates at the border
remarks:        routers.
remarks:        They may be used by peers to filter some prefixes.
remarks:        Community Meaning

Так делают большие дяди

Номера любые, номера определяются исключительно внутренней политикой (про rfc на эту тему я не слышал)

[ShyLion]

и с 32битными можно если оборудование поддерживает

 

Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный?

[zhenya`]

ip bgp-community new-format

после этого community будут human readable

[zi_rus]

Оборудование поддерживает. Просто я не очень понимаю, 32битный ASN плюс свои номера комьюнити, это extcommunity или обычный?

 

Посыпаю голову пеплом, действительно обычные номера комьюнити имеют всю длину 32 бита, для них я видел такое решение, но пруфов найти не могу, просто отложилось в голове:

Например есть АС 111111, ее надо перевести в asdot формат, будет 1.45575, берем вторую половину и используем, получается 45575:1000. Конечно возможны пересечения с АС у которых эти номера будут совпадать (0.45575, 1.45575, 2.45575 и тд), но что тут поделать, только срезать их на входе в сеть

[ShyLion]

Короче я понял основную идею. Надо будет на виртуалке попробовать.

В энтерпрайзе я вовсю тегами пользуюсь, тут похожая идея.

[zi_rus]

Еще есть вот такая тема в драфте

https://tools.ietf.org/search/draft-ietf-idr-large-community-11

Большие комьюнити, вендоры ее не умеют, обещают запилить в ближайших релизах, но непонятно когда эта фича перейдет в стабильные релизы, а потом эти релизы будут залиты на оборудование, поэтому сильно радоваться не стоит, хорошо уже то что кто-то пытается решать проблему.

Будем ждать следующего кризиса,. когда ipv6 адреса закончатся, 32битные автономки и large bgp community