Jump to content
Калькуляторы

bgp quagga странности debian soft router

2 часа назад, vurd сказал:

Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа.

Так проще, потому что ты не думаешь каждый раз во время написания префикс листа.

У меня ж так и есть:

ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32

 и потом

route-map TT-in deny 110
 match ip address prefix-list bogons

 

2 часа назад, vurd сказал:

не помню за неявный deny в конце, работает ли он в квагге?

Вот тоже не знаю.

 

1 час назад, disappointed сказал:

@Andrei 

Цитата


ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24
ip prefix-list reduced seq 20 deny any

Выделенное тоже убрать, оно не нужно будет.

Почему?

2 часа назад, disappointed сказал:
Цитата


!
route-map TT-in deny 115
 match ip address prefix-list reduced
!

permit нужно сделать

Почему? Я ж не хочу принимать перечисленное в префикс-лист reduced. Почему тут permit-то надо?

 

43 минуты назад, disappointed сказал:

У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала.

Честно скажу - мне это ни о чем не говорит. :)

Share this post


Link to post
Share on other sites

51 минуту назад, disappointed сказал:

@vurd 

 

Оффтоп.

У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала.

Да, прихожу на работу, работаю :)

Они даже используются, так-то не зря.

 

7 минут назад, Andrei сказал:

Почему? Я ж не хочу принимать перечисленное в префикс-лист reduced. Почему тут permit-то надо?

Потому что если политика в deny, то префикс лист надо делать обратным 0.0.0.0/0 ge 25

 

Share this post


Link to post
Share on other sites

8 минут назад, vurd сказал:

Потому что если политика в deny, то префикс лист надо делать обратным 0.0.0.0/0 ge 25

Это вы про префикс-лист для FV? Остальное-то нормально?

Получается, что надо вот так:

ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25

Это убрать:

ip prefix-list reduced seq 20 deny any

И тогда роутмап остается прежним

route-map TT-in deny 115
 match ip address prefix-list reduced


Все так? Еще что-то по конфигу есть кривое?

 

Share this post


Link to post
Share on other sites

1 минуту назад, Andrei сказал:

Все так? Еще что-то по конфигу есть кривое?

Вам совет или консультацию?)

Share this post


Link to post
Share on other sites

1 минуту назад, Andrei сказал:

Все так? Еще что-то по конфигу есть кривое?

В роут-мапах политика по умолчанию запрет,

поэтому последний route-map TT-in deny 115 можно убирать в обоих.

Share this post


Link to post
Share on other sites

19 минут назад, Andrei сказал:
1 час назад, disappointed сказал:
Цитата



ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24
ip prefix-list reduced seq 20 deny any

Выделенное тоже убрать, оно не нужно будет.

Почему?

Потому что для роутмапа с match ip address prefix-list префикс лист это список используется только с пермит - это список поиска совпадений.

Share this post


Link to post
Share on other sites

2 минуты назад, disappointed сказал:

В роут-мапах политика по умолчанию запрет,

поэтому последний route-map TT-in deny 115 можно убирать в обоих.

Не понял. Это ж полезный роутмап:

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Share this post


Link to post
Share on other sites

3 минуты назад, Andrei сказал:

Не понял. Это ж полезный роутмап:

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Не нужно последним рулсом deny, он в роут-мапе по умолчанию deny.

Я перепутал, Я про route-map........ 200

Share this post


Link to post
Share on other sites

1 минуту назад, disappointed сказал:

Не нужно последним рулсом deny, он в роут-мапе по умолчанию deny.

Так он не последний в TT-in. Потом еще

route-map TT-in deny 120
 match ip address prefix-list our-CIDR-blocks
!
route-map TT-in permit 200

 

 

Share this post


Link to post
Share on other sites

Откуда route-map TT-in permit 200. Убрать его вообще.

После того как пропустили то что нужно, остальное отбросится.

 

Share this post


Link to post
Share on other sites

2 минуты назад, disappointed сказал:

Откуда route-map TT-in permit 200. Убрать его вообще.

После того как пропустили то что нужно, остальное отбросится.

Хм... До этого правила в роутмап-е TT-in были с deny, т.е. запрещали то, что не хотим принимать. Последнее правило - разрешить принять остальное. Не логично?

Share this post


Link to post
Share on other sites

3 минуты назад, Andrei сказал:

Хм... До этого правила в роутмап-е TT-in были с deny, т.е. запрещали то, что не хотим принимать. Последнее правило - разрешить принять остальное. Не логично?

Выше уже несколько раз написали, нужно сделать роут-мапы вида

deny bogons

deny ourCIDR

permit то что короче /24

permit по вкусу

permit по вкусу

(последний deny не нужен, он будет по умолчанию)

Share this post


Link to post
Share on other sites

5 минут назад, disappointed сказал:

Выше уже несколько раз написали, нужно сделать роут-мапы вида

permit 

permit

permit

(последний deny не нужен, он будет по умолчанию)

Неа. Писали прямо противоположное. Процитирую vurd - https://forum.nag.ru/index.php?/topic/125349-bgp-quagga-strannosti/&do=findComment&comment=1634208

Цитата

Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа.

Так проще, потому что ты не думаешь каждый раз во время написания префикс листа.

 

Share this post


Link to post
Share on other sites

Так. Ещё раз.

В префикс-листах для матчинга всегда ставится permit он ни на что не влияет.

Это список для поиска совпадений.

В роут-мапах ставится само действие, при нахождении совпадения.

 

И да, можно отбросить всё что длинее /24 а можно пропустить всё что короче.

Надо определится с подходом, каких правил будет больше,  запрещающих или разрешающих.

 

Тут писали про оба варианта и запутали этим.

Share this post


Link to post
Share on other sites

1 минуту назад, disappointed сказал:

В префикс-листах для матчинга всегда ставится permit он ни на что не влияет.

Это просто список для поиска совпадений.

В роут-мапах ставится само действие, при нахождении совпадения.

Согласен полностью.

Share this post


Link to post
Share on other sites

Вообщем - ставить статический 0.0.0.0/0 в одну ногу, чтобы при косяках не падало ничего, и экспериментировать.

Share this post


Link to post
Share on other sites

6 минут назад, disappointed сказал:

И да, можно отбросить всё что длинее /24 а можно пропустить всё что короче.

Надо определится с подходом

ip prefix-list reduced seq 10 permit 0.0.0.0/0  ge 25

 

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Отматчили сетки меньше /24 и запретили их прием. Все так?

 

7 минут назад, disappointed сказал:

Тут писали про оба варианта и запутали этим.

Я и чуствую, что где-то тут в теме каша. И она из темы просачивается в мою голову :)

Поэтому логику выбрал как у vurd (да и у вас она такая же): в префикс-листах только permit (чтобы отматчить что-то), а в роутмапе принимаем или запрещает отматченное.

 

1 минуту назад, disappointed сказал:

ставить статический 0.0.0.0/0 в одну ногу

в /etc/network/interfaces прописал

auto vlan150
iface vlan150 inet static
        vlan_raw_device eth2
        address 89.237.47.74
        netmask 255.255.255.252
        network 89.237.47.72
        broadcast 89.237.47.75
        gateway 89.237.47.73

 

Share this post


Link to post
Share on other sites

1 минуту назад, Andrei сказал:

ip prefix-list reduced seq 10 permit 0.0.0.0/0  ge 25

 

route-map TT-in deny 115
 match ip address prefix-list reduced

 

Отматчили сетки меньше /24 и запретили их прием. Все так?

Да. Отбросит всё длинее /24

Share this post


Link to post
Share on other sites

4 минуты назад, disappointed сказал:

Отбросит всё длинее /24

Уточню терминологию на счет длиннее/короче. С житейской точки зрения чем меньше в сетке адресов, тем она короче: /25 - 128 адресов, /24 - 256 адресов

В связистской терминологии с точностью до наоборот?

Share this post


Link to post
Share on other sites

1 минуту назад, Andrei сказал:

Уточню терминологию на счет длиннее/короче. С житейской точки зрения чем меньше в сетке адресов, тем она короче. В связистской терминологии с точностью до наоборот?

Длина маски, она в еденичках -битах. Самая длинная в ipv4 32 бита. Самая короткая 0

Share this post


Link to post
Share on other sites

2 часа назад, disappointed сказал:

Откуда route-map TT-in permit 200. Убрать его вообще.

После того как пропустили то что нужно, остальное отбросится.

Перечитал еще раз топик.

ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32
ip prefix-list default seq 10 permit 0.0.0.0/0
ip prefix-list fullview seq 5 permit any
ip prefix-list our-CIDR-blocks seq 5 permit 188.130.171.0/24 le 32
ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 
ip prefix-list upstream-out seq 10 permit 188.130.171.0/24
ip as-path access-list PRIV permit _6451[2-9]_
ip as-path access-list PRIV permit _645[2-9][0-9]_
ip as-path access-list PRIV permit _64[6-9][0-9][0-9]_
ip as-path access-list PRIV permit _65[0-9][0-9][0-9]_
!
route-map TT-in deny 100
 match as-path PRIV
!
route-map TT-in deny 110
 match ip address prefix-list bogons
!
route-map TT-in deny 115
 match ip address prefix-list reduced
!
route-map TT-in deny 120
 match ip address prefix-list our-CIDR-blocks
!
route-map TT-in permit 200
!
route-map TT-out permit 100
 match ip address prefix-list upstream-out
!
route-map TT-out deny 200

Получается, что "route-map TT-in permit 200" нужен, т.к. иначе неявно последним будет "deny все остальное". А по логике-то надо как раз все остальное разрешить.

Share this post


Link to post
Share on other sites

48 минут назад, Andrei сказал:

Получается, что "route-map TT-in permit 200" нужен, т.к. иначе неявно последним будет "deny все остальное". А по логике-то надо как раз все остальное разрешить.

Да, если по принципу пропустить всё, что не запрещено явно то так.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.