Перейти к содержимому
Калькуляторы

bgp quagga странности debian soft router

2 часа назад, vurd сказал:

Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа.

Так проще, потому что ты не думаешь каждый раз во время написания префикс листа.

У меня ж так и есть:

ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32

 и потом

route-map TT-in deny 110
 match ip address prefix-list bogons

 

2 часа назад, vurd сказал:

не помню за неявный deny в конце, работает ли он в квагге?

Вот тоже не знаю.

 

1 час назад, disappointed сказал:

@Andrei 

Цитата


ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24
ip prefix-list reduced seq 20 deny any

Выделенное тоже убрать, оно не нужно будет.

Почему?

2 часа назад, disappointed сказал:
Цитата


!
route-map TT-in deny 115
 match ip address prefix-list reduced
!

permit нужно сделать

Почему? Я ж не хочу принимать перечисленное в префикс-лист reduced. Почему тут permit-то надо?

 

43 минуты назад, disappointed сказал:

У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала.

Честно скажу - мне это ни о чем не говорит. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

51 минуту назад, disappointed сказал:

@vurd 

 

Оффтоп.

У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала.

Да, прихожу на работу, работаю :)

Они даже используются, так-то не зря.

 

7 минут назад, Andrei сказал:

Почему? Я ж не хочу принимать перечисленное в префикс-лист reduced. Почему тут permit-то надо?

Потому что если политика в deny, то префикс лист надо делать обратным 0.0.0.0/0 ge 25

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, vurd сказал:

Потому что если политика в deny, то префикс лист надо делать обратным 0.0.0.0/0 ge 25

Это вы про префикс-лист для FV? Остальное-то нормально?

Получается, что надо вот так:

ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25

Это убрать:

ip prefix-list reduced seq 20 deny any

И тогда роутмап остается прежним

route-map TT-in deny 115
 match ip address prefix-list reduced


Все так? Еще что-то по конфигу есть кривое?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Andrei сказал:

Все так? Еще что-то по конфигу есть кривое?

Вам совет или консультацию?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Andrei сказал:

Все так? Еще что-то по конфигу есть кривое?

В роут-мапах политика по умолчанию запрет,

поэтому последний route-map TT-in deny 115 можно убирать в обоих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, vurd сказал:

Вам совет или консультацию?)

Вопрос терминологии :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, Andrei сказал:
1 час назад, disappointed сказал:
Цитата



ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24
ip prefix-list reduced seq 20 deny any

Выделенное тоже убрать, оно не нужно будет.

Почему?

Потому что для роутмапа с match ip address prefix-list префикс лист это список используется только с пермит - это список поиска совпадений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, disappointed сказал:

В роут-мапах политика по умолчанию запрет,

поэтому последний route-map TT-in deny 115 можно убирать в обоих.

Не понял. Это ж полезный роутмап:

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, Andrei сказал:

Не понял. Это ж полезный роутмап:

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Не нужно последним рулсом deny, он в роут-мапе по умолчанию deny.

Я перепутал, Я про route-map........ 200

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, disappointed сказал:

Не нужно последним рулсом deny, он в роут-мапе по умолчанию deny.

Так он не последний в TT-in. Потом еще

route-map TT-in deny 120
 match ip address prefix-list our-CIDR-blocks
!
route-map TT-in permit 200

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Откуда route-map TT-in permit 200. Убрать его вообще.

После того как пропустили то что нужно, остальное отбросится.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, disappointed сказал:

Откуда route-map TT-in permit 200. Убрать его вообще.

После того как пропустили то что нужно, остальное отбросится.

Хм... До этого правила в роутмап-е TT-in были с deny, т.е. запрещали то, что не хотим принимать. Последнее правило - разрешить принять остальное. Не логично?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, Andrei сказал:

Хм... До этого правила в роутмап-е TT-in были с deny, т.е. запрещали то, что не хотим принимать. Последнее правило - разрешить принять остальное. Не логично?

Выше уже несколько раз написали, нужно сделать роут-мапы вида

deny bogons

deny ourCIDR

permit то что короче /24

permit по вкусу

permit по вкусу

(последний deny не нужен, он будет по умолчанию)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, disappointed сказал:

Выше уже несколько раз написали, нужно сделать роут-мапы вида

permit 

permit

permit

(последний deny не нужен, он будет по умолчанию)

Неа. Писали прямо противоположное. Процитирую vurd - https://forum.nag.ru/index.php?/topic/125349-bgp-quagga-strannosti/&do=findComment&comment=1634208

Цитата

Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа.

Так проще, потому что ты не думаешь каждый раз во время написания префикс листа.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так. Ещё раз.

В префикс-листах для матчинга всегда ставится permit он ни на что не влияет.

Это список для поиска совпадений.

В роут-мапах ставится само действие, при нахождении совпадения.

 

И да, можно отбросить всё что длинее /24 а можно пропустить всё что короче.

Надо определится с подходом, каких правил будет больше,  запрещающих или разрешающих.

 

Тут писали про оба варианта и запутали этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, disappointed сказал:

В префикс-листах для матчинга всегда ставится permit он ни на что не влияет.

Это просто список для поиска совпадений.

В роут-мапах ставится само действие, при нахождении совпадения.

Согласен полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообщем - ставить статический 0.0.0.0/0 в одну ногу, чтобы при косяках не падало ничего, и экспериментировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, disappointed сказал:

И да, можно отбросить всё что длинее /24 а можно пропустить всё что короче.

Надо определится с подходом

ip prefix-list reduced seq 10 permit 0.0.0.0/0  ge 25

 

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Отматчили сетки меньше /24 и запретили их прием. Все так?

 

7 минут назад, disappointed сказал:

Тут писали про оба варианта и запутали этим.

Я и чуствую, что где-то тут в теме каша. И она из темы просачивается в мою голову :)

Поэтому логику выбрал как у vurd (да и у вас она такая же): в префикс-листах только permit (чтобы отматчить что-то), а в роутмапе принимаем или запрещает отматченное.

 

1 минуту назад, disappointed сказал:

ставить статический 0.0.0.0/0 в одну ногу

в /etc/network/interfaces прописал

auto vlan150
iface vlan150 inet static
        vlan_raw_device eth2
        address 89.237.47.74
        netmask 255.255.255.252
        network 89.237.47.72
        broadcast 89.237.47.75
        gateway 89.237.47.73

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Andrei сказал:

ip prefix-list reduced seq 10 permit 0.0.0.0/0  ge 25

 

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Отматчили сетки меньше /24 и запретили их прием. Все так?

Да. Отбросит всё длинее /24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, disappointed сказал:

Отбросит всё длинее /24

Уточню терминологию на счет длиннее/короче. С житейской точки зрения чем меньше в сетке адресов, тем она короче: /25 - 128 адресов, /24 - 256 адресов

В связистской терминологии с точностью до наоборот?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Andrei сказал:

Уточню терминологию на счет длиннее/короче. С житейской точки зрения чем меньше в сетке адресов, тем она короче. В связистской терминологии с точностью до наоборот?

Длина маски, она в еденичках -битах. Самая длинная в ipv4 32 бита. Самая короткая 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, disappointed сказал:

Отбросит всё длинее /24

Т.е. обросит /25, /26 ... /32 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, Andrei сказал:

Т.е. обросит /25, /26 ... /32 ?

Да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, disappointed сказал:

Откуда route-map TT-in permit 200. Убрать его вообще.

После того как пропустили то что нужно, остальное отбросится.

Перечитал еще раз топик.

ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32
ip prefix-list default seq 10 permit 0.0.0.0/0
ip prefix-list fullview seq 5 permit any
ip prefix-list our-CIDR-blocks seq 5 permit 188.130.171.0/24 le 32
ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 
ip prefix-list upstream-out seq 10 permit 188.130.171.0/24
ip as-path access-list PRIV permit _6451[2-9]_
ip as-path access-list PRIV permit _645[2-9][0-9]_
ip as-path access-list PRIV permit _64[6-9][0-9][0-9]_
ip as-path access-list PRIV permit _65[0-9][0-9][0-9]_
!
route-map TT-in deny 100
 match as-path PRIV
!
route-map TT-in deny 110
 match ip address prefix-list bogons
!
route-map TT-in deny 115
 match ip address prefix-list reduced
!
route-map TT-in deny 120
 match ip address prefix-list our-CIDR-blocks
!
route-map TT-in permit 200
!
route-map TT-out permit 100
 match ip address prefix-list upstream-out
!
route-map TT-out deny 200

Получается, что "route-map TT-in permit 200" нужен, т.к. иначе неявно последним будет "deny все остальное". А по логике-то надо как раз все остальное разрешить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 минут назад, Andrei сказал:

Получается, что "route-map TT-in permit 200" нужен, т.к. иначе неявно последним будет "deny все остальное". А по логике-то надо как раз все остальное разрешить.

Да, если по принципу пропустить всё, что не запрещено явно то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.