Andrei Опубликовано 15 марта, 2021 · Жалоба В 13.03.2021 в 00:03, st_re сказал: sysctl -w net.ipv4.conf.all.rp_filter=0 sysctl -w net.ipv4.conf.__имя_ext_интерфейса____.rp_filter=2 В чем разница между 0 и 2 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 15 марта, 2021 · Жалоба 53 минуты назад, Andrei сказал: В чем разница между 0 и 2 ? Это для приоритезации в дереве ключей. Ставьте в ноль тупо всё. Configuring a value of 2 in the rp_filter key will only necessitate the configuration with in the all subtree. It is the highest value that will be effective and 2 is higher than the interface specific key. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 марта, 2021 · Жалоба 1 час назад, Andrei сказал: В чем разница между 0 и 2 ? 0 - пускает все. 1. пускает только то что рутится обратно в этот же интерфейс, 2 рутит все что рутится обратно в любой интрефейс.. если есть дефолтный маршрут 2 от 0 отличаться не должно.. 1 на внутреннем я бы не убирал, нефиг в интернет срать мусором с поддельных адресов. для all если там 1 или 2 то на каждом интерфе сесмотрится на то что стоит на самом интерфесе и в all и берется макс из обоих. тоесть если на all поставить 1 то 0 на самом интерфесе не прокатит.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 15 марта, 2021 · Жалоба А как понять - получаю я FV от оператора или нет? show ip bgp neighbors 89.237.47.73 received-routes или show ip bgp neighbors 89.237.47.73 routes или как-то иначе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 15 марта, 2021 · Жалоба show ip bgp summary смотрим кол-во маршрутов, их должно быть около 850 тысяч. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 8 часов назад, vurd сказал: около 850 тысяч. AS206538# show ip bgp summary BGP router identifier 188.130.171.1, local AS number 206538 RIB entries 1534130, using 164 MiB of memory Peers 4, using 18 KiB of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 62.141.99.89 4 3216 615563 5003 0 0 0 3d11h20m 25846 77.95.132.140 4 65002 0 0 0 0 0 never Active 89.237.47.73 4 28745 532565 5005 0 0 0 3d11h20m 25836 188.130.171.2 4 65001 5023 16386 0 0 0 3d11h20m 3683 Total number of neighbors 4 Получается 2 FV - от 62.141.99.89 и от 89.237.47.73. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 марта, 2021 · Жалоба Это очень мало, это не фул. У вас с каждого по 25 тысяч всего маршрутов. Вы их там случайно не фильтруете? Покажите конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 16 марта, 2021 · Жалоба 4 часа назад, Andrei сказал: AS206538# show ip bgp summary BGP router identifier 188.130.171.1, local AS number 206538 RIB entries 1534130, using 164 MiB of memory Peers 4, using 18 KiB of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 62.141.99.89 4 3216 615563 5003 0 0 0 3d11h20m 25846 77.95.132.140 4 65002 0 0 0 0 0 never Active 89.237.47.73 4 28745 532565 5005 0 0 0 3d11h20m 25836 188.130.171.2 4 65001 5023 16386 0 0 0 3d11h20m 3683 Total number of neighbors 4 Получается 2 FV - от 62.141.99.89 и от 89.237.47.73. последняя колонка, количество принятых маршрутов. (отправленных апстримом и прошедщих in филтр в вашем конфиге) да, как замечено, 25к у обоих, очень похоже на ваш же фильтр. а 4 колонка, это сообщения пришедшие от апстрима.. оно постоянно растёт. пропал маршрут +1, появился маршрут +1 итд Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 1 час назад, vurd сказал: Вы их там случайно не фильтруете? Покажите конфиг. Current configuration: ! hostname AS206538 password xxxxxxxxxxxxxxxxxxxxxxxx log file /var/log/quagga/bgpd.log log stdout ! router bgp 206538 bgp router-id 188.130.171.1 bgp log-neighbor-changes network 188.130.171.0/24 redistribute static neighbor 62.141.99.89 remote-as 3216 neighbor 62.141.99.89 description Bee neighbor 62.141.99.89 update-source 62.141.99.90 neighbor 62.141.99.89 weight 1000 neighbor 62.141.99.89 soft-reconfiguration inbound neighbor 62.141.99.89 route-map Bee-in in neighbor 62.141.99.89 route-map Bee-out out neighbor 77.95.132.140 remote-as 65002 neighbor 77.95.132.140 description RKN neighbor 77.95.132.140 ebgp-multihop 255 neighbor 77.95.132.140 update-source 188.130.171.1 neighbor 77.95.132.140 soft-reconfiguration inbound neighbor 77.95.132.140 prefix-list DENY-ANY-PREFIXES in neighbor 77.95.132.140 filter-list 1 in neighbor 89.237.47.73 remote-as 28745 neighbor 89.237.47.73 description TTK neighbor 89.237.47.73 update-source 89.237.47.74 neighbor 89.237.47.73 weight 2000 neighbor 89.237.47.73 route-map TT-in in neighbor 89.237.47.73 route-map TT-out out neighbor 188.130.171.2 remote-as 65001 neighbor 188.130.171.2 description CarbonReductor neighbor 188.130.171.2 ebgp-multihop 8 neighbor 188.130.171.2 soft-reconfiguration inbound neighbor 188.130.171.2 route-map BLACKHOLE in ! access-list TERMINAL permit 127.0.0.1/32 access-list TERMINAL deny any ! ip prefix-list ANY seq 5 permit any ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32 ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32 ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32 ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32 ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32 ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32 ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32 ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32 ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32 ip prefix-list default seq 10 permit 0.0.0.0/0 ip prefix-list fullview seq 5 permit any ip prefix-list our-CIDR-blocks seq 5 permit 188.130.171.0/24 le 32 ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 18 ip prefix-list reduced seq 20 deny any ip prefix-list upstream-out seq 10 permit 188.130.171.0/24 ! ip as-path access-list 1 deny .* ip as-path access-list PRIV permit _6451[2-9]_ ip as-path access-list PRIV permit _645[2-9][0-9]_ ip as-path access-list PRIV permit _64[6-9][0-9][0-9]_ ip as-path access-list PRIV permit _65[0-9][0-9][0-9]_ ! route-map TT-in deny 100 match as-path PRIV ! route-map TT-in deny 110 match ip address prefix-list bogons ! route-map TT-in deny 115 match ip address prefix-list reduced ! route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map TT-in permit 200 ! route-map TT-out permit 100 match ip address prefix-list upstream-out ! route-map TT-out deny 200 ! route-map BLACKHOLE permit 10 match ip address prefix-list ANY set ip next-hop 192.168.254.254 set local-preference 10 set community 9930:666 additive ! route-map Bee-out deny 200 ! route-map Bee-in deny 100 match as-path PRIV ! route-map Bee-in deny 110 match ip address prefix-list bogons ! route-map Bee-in deny 115 match ip address prefix-list reduced ! route-map Bee-in deny 116 match ip address prefix-list default ! route-map Bee-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map Bee-in permit 200 ! line vty access-class TERMINAL ! end Нейбору 62.141.99.89 пока свою сетку не аносим, т.к. когда включаю анонсирование ему своей сетки пропадает инет у pppoe-клиентов, терминирующихся на толстой циске с НАТами, оба НАТа смотрят на сервак с quagga. Пока не понял почему. rp_filter на интефейсе к этому нейбору выключил как советовали выше. default от него фильтрую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 марта, 2021 · Жалоба Ну вы их сами режете походу где-то тут. ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 18 ip prefix-list reduced seq 20 deny any Режьте до le 24 permit 0.0.0.0/0 le 24 и норм И по поводу soft-reconfiguration, вы как-то одинаково делайте что-ли. На одном есть, на втором нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 29 минут назад, vurd сказал: Режьте до le 24 permit 0.0.0.0/0 le 24 и норм И по поводу soft-reconfiguration, вы как-то одинаково делайте что-ли. На одном есть, на втором нет. Поправил и то, и другое. Стало вот так show ip bgp summary BGP router identifier 188.130.171.1, local AS number 206538 RIB entries 1558305, using 166 MiB of memory Peers 4, using 18 KiB of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 62.141.99.89 4 3216 656619 5360 0 0 0 3d17h17m 25855 77.95.132.140 4 65002 0 0 0 0 0 never Active 89.237.47.73 4 28745 692928 5363 0 0 0 3d17h17m 834 188.130.171.2 4 65001 5383 22826 0 0 0 3d17h17m 3679 Total number of neighbors 4 И инет у pppoe-абонентов сразу пропал. Пришлось откатить конфиг обратно. Повторно сделал по-шагово те же действия: инет пропадает после включения всем нейборам soft-reconfiguration Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба ! route-map TT-in deny 115 match ip address prefix-list reduced ! route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! ! route-map Bee-in deny 115 match ip address prefix-list reduced ! route-map Bee-in deny 120 match ip address prefix-list our-CIDR-blocks ! Лишнее. После изменений - clear ip bgp * soft in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 4 минуты назад, disappointed сказал: Лишнее. Не согласен. Почитал best practice, так и надо делать. 4 минуты назад, disappointed сказал: После изменений - clear ip bgp * soft in Ну в разгар рабочего дня что-то не хочется больше экспериментов. :) Юзерки сразу начинают пищать о неработающем интернете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 6 минут назад, Andrei сказал: Не согласен. Почитал best practice, так и надо делать. Ну в разгар рабочего дня что-то не хочется больше экспериментов. :) Юзерки сразу начинают пищать о неработающем интернете. У вас /24, специфики не могут быть в full-view - смело убирать. А что там режется до 25 тысяч? Кусок sh ip bg nei 89.237.47.73 routes глянуть бы. Цитата Ну в разгар рабочего дня Просто перельёт заново роуты, через роутмары ни на что не повлияет кроме исходящего. Ну статикой дефолт для верности можно воткнуть временно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 16 марта, 2021 · Жалоба 1 час назад, vurd сказал: Ну вы их сами режете походу где-то тут. ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 18 ip prefix-list reduced seq 20 deny any Режьте до le 24 permit 0.0.0.0/0 le 24 и норм У него логика в фильтре инвертная, дропать все короче /18 После смены на le 24 стало дропать все)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 марта, 2021 · Жалоба Только что, kayot сказал: У него логика в фильтре инвертная, дропать все короче /18 После смены на le 24 стало дропать все)) oops! ну переделать на прямую логику значит еще неплохо бы) И не забудьте отправить в РКН сообщение об инциденте!!! )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 16 марта, 2021 · Жалоба 20 минут назад, Andrei сказал: Почитал best practice, так и надо делать. Тогда сделайте ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 Дергать soft in можно смело, ничего не сломается и обрыва не будет. А лучше сделайте с прямой логикой, так проще понимать что происходит Принимать все длиннее или равно /24, дропать остальное ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24 ip prefix-list reduced seq 20 deny any route-map TT-in deny 100 match as-path PRIV ! route-map TT-in deny 110 match ip address prefix-list bogons ! route-map TT-in permit 115 match ip address prefix-list reduced ! route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map TT-in deny 200 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 45 минут назад, disappointed сказал: Кусок sh ip bg nei 89.237.47.73 routes глянуть бы. Вот начало AS206538# sh ip bg nei 89.237.47.73 routes BGP table version is 0, local router ID is 188.130.171.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 0.0.0.0 89.237.47.73 2000 28745 i *> 1.0.128.0/17 89.237.47.73 2000 28745 20485 38040 23969 i *> 1.1.128.0/17 89.237.47.73 2000 28745 20485 38040 23969 i *> 1.2.128.0/17 89.237.47.73 2000 28745 20485 38040 23969 i *> 1.4.128.0/17 89.237.47.73 2000 28745 20485 38040 23969 i *> 1.5.0.0/16 89.237.47.73 2000 28745 20485 17676 4725 i *> 1.9.0.0/16 89.237.47.73 2000 28745 20485 6939 4788 i *> 1.10.128.0/17 89.237.47.73 2000 28745 20485 38040 23969 i *> 1.11.128.0/17 89.237.47.73 2000 28745 20485 3356 3786 38091 17839 i *> 1.12.0.0/14 89.237.47.73 2000 28745 20485 4134 58466 45090 i *> 1.20.0.0/16 89.237.47.73 2000 28745 20485 38040 23969 i *> 1.21.0.0/16 89.237.47.73 2000 28745 20485 174 2519 i *> 1.24.0.0/13 89.237.47.73 2000 28745 20485 6762 4837 i *> 1.32.0.0/17 89.237.47.73 2000 28745 20485 6939 4788 i *> 1.33.0.0/16 89.237.47.73 2000 28745 20485 2914 2514 2514 i *> 1.34.0.0/15 89.237.47.73 2000 28745 20485 6762 9680 3462 i *> 1.34.0.0/16 89.237.47.73 2000 28745 20485 9680 3462 i *> 1.35.0.0/16 89.237.47.73 2000 28745 20485 3356 9680 3462 i *> 1.36.0.0/16 89.237.47.73 2000 28745 20485 3491 4760 4760 4760 4760 i *> 1.37.0.0/16 89.237.47.73 2000 28745 20485 4775 i *> 1.38.0.0/17 89.237.47.73 2000 28745 20485 1299 1273 55410 38266 i *> 1.40.0.0/14 89.237.47.73 2000 28745 20485 1299 7473 4804 4804 i *> 1.40.0.0/16 89.237.47.73 2000 28745 20485 1299 7473 4804 4804 i *> 1.41.0.0/16 89.237.47.73 2000 28745 20485 1299 7473 4804 4804 i *> 1.42.0.0/16 89.237.47.73 2000 28745 20485 1299 7473 4804 4804 i *> 1.43.0.0/16 89.237.47.73 2000 28745 20485 1299 7473 4804 4804 i *> 1.44.0.0/16 89.237.47.73 2000 28745 20485 1299 7473 7474 i *> 1.45.0.0/16 89.237.47.73 2000 28745 20485 4837 4808 45083 i *> 1.45.0.0/17 89.237.47.73 2000 28745 20485 4837 4808 45083 i *> 1.45.128.0/17 89.237.47.73 2000 28745 20485 4837 4808 45083 i *> 1.46.0.0/16 89.237.47.73 2000 28745 20485 1299 10089 9587 24378 24378 ? *> 1.47.0.0/16 89.237.47.73 2000 28745 20485 1299 10089 9587 24378 24378 ? *> 1.48.0.0/15 89.237.47.73 2000 28745 20485 4134 i *> 1.50.0.0/16 89.237.47.73 2000 28745 20485 4134 i *> 1.51.0.0/16 89.237.47.73 2000 28745 20485 174 4538 4538 4538 4538 i *> 1.52.0.0/14 89.237.47.73 2000 28745 20485 18403 18403 18403 i *> 1.56.0.0/13 89.237.47.73 2000 28745 20485 3356 4837 i *> 1.64.0.0/15 89.237.47.73 2000 28745 20485 3491 4760 4760 4760 4760 i *> 1.64.0.0/16 89.237.47.73 2000 28745 20485 3491 4760 4760 4760 4760 i *> 1.65.0.0/16 89.237.47.73 2000 28745 20485 3491 4760 4760 4760 4760 i *> 1.66.128.0/17 89.237.47.73 2000 28745 20485 9605 i *> 1.67.0.0/17 89.237.47.73 2000 28745 20485 9605 i *> 1.68.0.0/14 89.237.47.73 2000 28745 20485 4134 i *> 1.73.0.0/16 89.237.47.73 2000 28745 20485 9605 i *> 1.77.0.0/16 89.237.47.73 2000 28745 20485 9605 i *> 1.78.128.0/17 89.237.47.73 2000 28745 20485 9605 i *> 1.80.0.0/13 89.237.47.73 2000 28745 20485 4134 i *> 1.88.0.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.88.128.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.89.0.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.89.128.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.90.0.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.90.128.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.91.0.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.91.128.0/17 89.237.47.73 2000 28745 20485 4134 4847 17429 17429 i *> 1.93.0.0/16 89.237.47.73 2000 28745 20485 4134 4847 ? *> 1.94.0.0/17 89.237.47.73 2000 28745 20485 4837 4808 i *> 1.94.128.0/17 89.237.47.73 2000 28745 20485 4837 4808 i *> 1.95.0.0/17 89.237.47.73 2000 28745 20485 4837 4808 i *> 1.95.128.0/17 89.237.47.73 2000 28745 20485 4837 4808 i *> 1.96.0.0/12 89.237.47.73 2000 28745 20485 3356 4766 i 47 минут назад, disappointed сказал: Ну статикой дефолт для верности можно воткнуть временно. route -n | grep "0.0.0.0" 0.0.0.0 89.237.47.73 0.0.0.0 UG 0 0 0 vlan150 Вот что сейчас видно. Статикой он прописан или это через bgp - я точно не скажу. 30 минут назад, vurd сказал: 32 минуты назад, kayot сказал: У него логика в фильтре инвертная, дропать все короче /18 После смены на le 24 стало дропать все)) oops! ну переделать на прямую логику значит еще неплохо бы) Сейчас вот так (по вашему совету) и все работает: ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24 ip prefix-list reduced seq 20 deny any 32 минуты назад, kayot сказал: А лучше сделайте с прямой логикой, так проще понимать что происходит Принимать все длиннее или равно /24, дропать остальное У меня так и сделано: router bgp 206538 bgp router-id 188.130.171.1 bgp log-neighbor-changes network 188.130.171.0/24 redistribute static neighbor 62.141.99.89 remote-as 3216 neighbor 62.141.99.89 description Bee neighbor 62.141.99.89 update-source 62.141.99.90 neighbor 62.141.99.89 weight 1000 neighbor 62.141.99.89 soft-reconfiguration inbound neighbor 62.141.99.89 route-map Bee-in in neighbor 62.141.99.89 route-map Bee-out out neighbor 77.95.132.140 remote-as 65002 neighbor 77.95.132.140 description RKN neighbor 77.95.132.140 ebgp-multihop 255 neighbor 77.95.132.140 update-source 188.130.171.1 neighbor 77.95.132.140 soft-reconfiguration inbound neighbor 77.95.132.140 prefix-list DENY-ANY-PREFIXES in neighbor 77.95.132.140 filter-list 1 in neighbor 89.237.47.73 remote-as 28745 neighbor 89.237.47.73 description TTK neighbor 89.237.47.73 update-source 89.237.47.74 neighbor 89.237.47.73 weight 2000 neighbor 89.237.47.73 route-map TT-in in neighbor 89.237.47.73 route-map TT-out out neighbor 188.130.171.2 remote-as 65001 neighbor 188.130.171.2 description CarbonReductor neighbor 188.130.171.2 ebgp-multihop 8 neighbor 188.130.171.2 soft-reconfiguration inbound neighbor 188.130.171.2 route-map BLACKHOLE in ! access-list TERMINAL permit 127.0.0.1/32 access-list TERMINAL deny any ! ip prefix-list ANY seq 5 permit any ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32 ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32 ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32 ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32 ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32 ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32 ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32 ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32 ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32 ip prefix-list default seq 10 permit 0.0.0.0/0 ip prefix-list fullview seq 5 permit any ip prefix-list our-CIDR-blocks seq 5 permit 188.130.171.0/24 le 32 ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24 ip prefix-list reduced seq 20 deny any ip prefix-list upstream-out seq 10 permit 188.130.171.0/24 ! ip as-path access-list 1 deny .* ip as-path access-list PRIV permit _6451[2-9]_ ip as-path access-list PRIV permit _645[2-9][0-9]_ ip as-path access-list PRIV permit _64[6-9][0-9][0-9]_ ip as-path access-list PRIV permit _65[0-9][0-9][0-9]_ ! route-map TT-in deny 100 match as-path PRIV ! route-map TT-in deny 110 match ip address prefix-list bogons ! route-map TT-in deny 115 match ip address prefix-list reduced ! route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map TT-in permit 200 ! route-map TT-out permit 100 match ip address prefix-list upstream-out ! route-map TT-out deny 200 ! route-map BLACKHOLE permit 10 match ip address prefix-list ANY set community 9930:666 additive set local-preference 200 ! route-map Bee-out deny 200 ! route-map Bee-in deny 100 match as-path PRIV ! route-map Bee-in deny 110 match ip address prefix-list bogons ! route-map Bee-in deny 115 match ip address prefix-list reduced ! route-map Bee-in deny 116 match ip address prefix-list default ! route-map Bee-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map Bee-in permit 200 ! line vty access-class TERMINAL ! end 59 минут назад, disappointed сказал: А что там режется до 25 тысяч? Может есть какое-то ограничение по умолчанию в конфигах на счет 25 тыс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 14 минут назад, Andrei сказал: route -n | grep "0.0.0.0" 0.0.0.0 89.237.47.73 0.0.0.0 UG 0 0 0 vlan150 Вот что сейчас видно. Статикой он прописан или это через bgp - я точно не скажу. Лучше смотреть ip r тогда там будет будет протокол через который получен. 14 минут назад, Andrei сказал: Может есть какое-то ограничение по умолчанию в конфигах на счет 25 тыс? Нет, там же видно в routes, что нет масок длинее /18, clear ip bgp * soft in сделано после изменений роутмапов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 3 минуты назад, disappointed сказал: Лучше смотреть ip r тогда там будет будет протокол через который получен. Вот: ip route | grep "0.0.0.0" 20.0.0.0/11 via 89.237.47.73 dev vlan150 proto zebra 40.0.0.0/10 via 89.237.47.73 dev vlan150 proto zebra 60.0.0.0/13 via 89.237.47.73 dev vlan150 proto zebra 70.0.0.0/17 via 89.237.47.73 dev vlan150 proto zebra 70.0.0.0/13 via 89.237.47.73 dev vlan150 proto zebra 80.0.0.0/15 via 89.237.47.73 dev vlan150 proto zebra 80.0.0.0/13 via 89.237.47.73 dev vlan150 proto zebra 90.0.0.0/17 via 89.237.47.73 dev vlan150 proto zebra 100.0.0.0/16 via 89.237.47.73 dev vlan150 proto zebra 110.0.0.0/15 via 89.237.47.73 dev vlan150 proto zebra 120.0.0.0/12 via 89.237.47.73 dev vlan150 proto zebra 140.0.0.0/16 via 89.237.47.73 dev vlan150 proto zebra 160.0.0.0/17 via 89.237.47.73 dev vlan150 proto zebra 180.0.0.0/10 via 89.237.47.73 dev vlan150 proto zebra 220.0.0.0/16 via 89.237.47.73 dev vlan150 proto zebra 220.0.0.0/10 via 89.237.47.73 dev vlan150 proto zebra раз не kernel, а zebra, то через bgp видимо. 4 минуты назад, disappointed сказал: Нет, там же видно в routes, что нет масок длинее /18, clear ip bgp * soft in сделано после изменений роутмапов? Нет. Сейчас сделал. Стало вот так и инет пропал. sh ip bgp nei 89.237.47.73 routes BGP table version is 0, local router ID is 188.130.171.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 2.57.184.30/32 89.237.47.73 2000 28745 20485 49063 i *> 2.57.184.156/32 89.237.47.73 2000 28745 20485 49063 i *> 2.57.184.193/32 89.237.47.73 2000 28745 20485 49063 i *> 5.196.33.177/32 89.237.47.73 2000 28745 20485 49063 i *> 31.3.23.120/32 89.237.47.73 2000 28745 20485 47989 ? *> 31.15.16.2/32 89.237.47.73 2000 28745 20485 25478 25478 44053 i *> 31.146.83.169/32 89.237.47.73 2000 28745 20485 25478 25478 35805 i *> 31.210.38.236/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.40.22/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.40.181/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.40.182/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.40.184/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.40.188/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.45.119/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.45.120/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.45.121/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.45.122/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.45.126/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.83/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.130/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.132/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.133/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.136/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.137/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.138/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.139/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.140/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.154/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.155/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.156/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.158/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.159/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.173/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.189/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.50.190/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.38/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.40/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.41/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.43/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.44/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.45/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.53/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.60/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.51.252/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.54.63/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 31.210.61.218/32 89.237.47.73 2000 28745 20485 25478 25478 61135 42910 i *> 37.18.75.85/32 89.237.47.73 2000 28745 20485 25478 25478 12722 198770 i *> 37.18.77.22/32 89.237.47.73 2000 28745 20485 25478 25478 12722 198770 i *> 37.18.77.81/32 89.237.47.73 2000 28745 20485 25478 25478 12722 198770 i *> 37.205.48.0/26 89.237.47.73 2000 28745 20485 15774 ? *> 37.205.48.64/26 89.237.47.73 2000 28745 20485 15774 ? *> 37.205.48.128/25 89.237.47.73 2000 28745 20485 15774 ? *> 37.205.54.0/25 89.237.47.73 2000 28745 20485 15774 ? Откатился обратно на ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 18 ip prefix-list reduced seq 20 deny any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 12 минут назад, Andrei сказал: Откатился обратно на Я же писал поставить бекапный дефолт статикой. Роут мапы reduced остались с обратной логикой. Цитата ! route-map TT-in deny 115 match ip address prefix-list reduced ! permit нужно сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 16 марта, 2021 · Жалоба И тут deny route-map TT-in deny 200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 марта, 2021 · Жалоба Вся проблема с пропаданием интернета в том, что ваши роут-мапы написаны от обратного. Наверное так тоже можно, но обычно пишут прямо, т.е. route-map some deny 1000 match ip prefix-list total_deny_bogons ! route-map some permit 2000 match ip prefix-list allowed_in set community AS:1 ! ip prefix-list total_deny_bogons 1000 permit 192.168.0.0/16 le 32 ip prefx-list allowed_in 1000 permit 0.0.0.0/0 le 24 Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа. Так проще, потому что ты не думаешь каждый раз во время написания префикс листа. Вся проблема сейчас, что у вас в префиксе пермит, а в раутмапе дени, вот оно и отбрасывается. (писал по памяти команды) (алсо не помню за неявный deny в конце, работает ли он в квагге?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба @Andrei Цитата ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24 ip prefix-list reduced seq 20 deny any Выделенное тоже убрать, оно не нужно будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба @vurd Оффтоп. У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...