SergKz Posted February 11, 2017 Posted February 11, 2017 (edited) Вопрос в следующем: тестируем CCR-1036-8G-2S+ в качестве пограничного роутера. Функции - BGP (два FullView и несколько пирингов), NAT, шейпер. Суммарный трафик по внешкам - пока что гигабита 2-2.5 максимум. Первое включение принесло глюк - один FullView грузится минуты за три, второй начинает загружаться и где-то на 400 тыщ префиксов отпадает в idle. Один раз загрузил целиком и отпал минут через пять. Сначала думал, что ограничение по количеству префиксов, вписал каждому пиру с запасом - не помогло. Если, как пишут на родине микротика, BGP у них работает на одном ядре - поможет ли делу, если не в один BGP instance все peer вписывать, а каждого "соседа" создавать в отдельном инстансе? И стоит ли вообще этим заниматься? Edited February 11, 2017 by SergKz Вставить ник Quote
sheft Posted February 11, 2017 Posted February 11, 2017 роутерос как то странно работает с bgp независимо от вида железа, что на x86 косяки, что на PPC и Tile Вставить ник Quote
Saab95 Posted February 12, 2017 Posted February 12, 2017 Нужно уточнить что за оборудование у провайдера, т.к. давно замечено, что разное оборудование по разному отдает маршруты. У одних провайдеров они загружаются за полторы минуты, у других 3-4-5. То есть те, кто их быстро отдает, не создают проблем в работе и ядра у микротика в 100 не загружаются часто. Вставить ник Quote
NiTr0 Posted February 12, 2017 Posted February 12, 2017 Если, как пишут на родине микротика, BGP у них работает на одном ядре - поможет ли делу не поможет - процесс один. и да, 3-5 минут - это оптимистичненько, холодный старт. а когда линк флапает (т.е. роуты начинают удаляться, и при этом начинают новые роуты приниматься) - 2 фулвью ваш микротик будет по-новой принимать минут 20. Вставить ник Quote
Saab95 Posted February 13, 2017 Posted February 13, 2017 и да, 3-5 минут - это оптимистичненько, холодный старт. а когда линк флапает (т.е. роуты начинают удаляться, и при этом начинают новые роуты приниматься) - 2 фулвью ваш микротик будет по-новой принимать минут 20. У вас может и будет, а у нас, даже RB1100, принимает полные маршруты за 2 минуты, если провайдер успевает их отдавать. Бывают провайдеры, которые чуть ли не по 10 минут маршруты выдают. Вставить ник Quote
Dump Posted February 15, 2017 Posted February 15, 2017 Доброго здоровья коллеги. Вопрос следующего содержания: В наличии имеется CCR1036-12G-4S с прошивкой 6.35.2 видимо прошивку надо бы обновить, блок IP адресов /22 , подключение к двум провайдерам по bgp Конфиг bgp таков: /routing bgp network add network=моя сеть/22 synchronize=no /routing bgp peer add in-filter=KTC-bgp-in name=KazTel out-filter=KTC-bgp-out remote-address=88.204.178.217 remote-as=64713 add in-filter=TTC-bgp-in name=TransTel out-filter=TTC-bgp-out remote-address=91.185.23.129 remote-as=41798 /routing filter add action=accept chain=KTC-bgp-out prefix=91.222.88.0/22 set-bgp-prepend=3 add action=discard chain=KTC-bgp-out add action=discard chain=KTC-bgp-in add action=discard chain=KTC-bgp-in prefix=10.0.0.0/8 add action=discard chain=KTC-bgp-in prefix=169.254.0.0/16 add action=discard chain=KTC-bgp-in prefix=192.168.0.0/16 add action=discard chain=KTC-bgp-in prefix=172.16.0.0/12 add action=discard chain=KTC-bgp-in prefix=224.0.0.0/4 add action=discard chain=KTC-bgp-in prefix=240.0.0.0/4 add action=discard chain=KTC-bgp-in prefix=127.0.0.0/8 add action=discard chain=KTC-bgp-in prefix=моя сеть/22 add action=accept chain=TTC-bgp-out prefix=моя сеть/22 add action=discard chain=TTC-bgp-out add action=discard chain=TTC-bgp-in prefix=10.0.0.0/8 add action=discard chain=TTC-bgp-in prefix=169.254.0.0/16 add action=discard chain=TTC-bgp-in prefix=192.168.0.0/16 add action=discard chain=TTC-bgp-in prefix=172.16.0.0/12 add action=discard chain=TTC-bgp-in prefix=224.0.0.0/4 add action=discard chain=TTC-bgp-in prefix=240.0.0.0/4 add action=discard chain=TTC-bgp-in prefix=127.0.0.0/8 add action=discard chain=TTC-bgp-in prefix=моя сеть/22 add action=accept chain=TTC-bgp-in set-bgp-local-pref=200 Проблема в следующем, судя по статьям в интернете, при такой конфигурации, один из провайдеров - основной, второй резервный в моём случае резервный провайдер - KazTel . Но в реальности получается, что часть трафика всё таки идёт через резервного оператора, как можно устранить эту досадную неприятность ? :) Может кто-то направит на путь истинный ! ) Вставить ник Quote
NiTr0 Posted February 15, 2017 Posted February 15, 2017 У вас может и будет, а у нас, даже RB1100, принимает полные маршруты за 2 минуты, если провайдер успевает их отдавать. Бывают провайдеры, которые чуть ли не по 10 минут маршруты выдают. бред же. все остальное, кроме микротика, получает маршруты за пару десятков секунд. а ццр - мало того что при рестарте его бгп сервиса 20 минут тупит с получением маршрутов, так еще и потом одно ядро постоянно на 100% этим самым бгп занято. ну и да, в 1100 ядра эдак раза в 304 мощнее ядрышек CCR... Вставить ник Quote
Saab95 Posted February 15, 2017 Posted February 15, 2017 Может кто-то направит на путь истинный ! ) А какой трафик идет входящий или исходящий? Входящим можно управлять, навешав больше препендов, а исходящий фильтрами маршрутов в Routing. Только после настроек перезагрузите микротик. Кроме всего, можно просто весь трафик направить в сторону нужного провайдера на его IP шлюза, но автоматически, в случае проблемы, переключения не произойдет. бред же. все остальное, кроме микротика, получает маршруты за пару десятков секунд. а ццр - мало того что при рестарте его бгп сервиса 20 минут тупит с получением маршрутов, так еще и потом одно ядро постоянно на 100% этим самым бгп занято. То что вы пишите, полная ерунда. Получить маршруты за пару десятков секунд нельзя, это какое оборудование их так быстро отдает? Даже циска и роутеры на линуксах поднимают маршруты 2-3 минуты. Вставить ник Quote
Dump Posted February 16, 2017 Posted February 16, 2017 А какой трафик идет входящий или исходящий? Входящим можно управлять, навешав больше препендов, а исходящий фильтрами маршрутов в Routing. Только после настроек перезагрузите микротик. Кроме всего, можно просто весь трафик направить в сторону нужного провайдера на его IP шлюза, но автоматически, в случае проблемы, переключения не произойдет. Трафик идёт входящий, значение препенда пробовал установить равным 5, но ничего не изменилось, но вот микротик я не перезагружал, он так сказать в бою стоит, поэтому шибко не поиграешься. Зато спустя два часа, как я установил препенд=5 у меня отвалился основной провайдер, в статусе bgp все было ОК, при попытке пинга 8.8.8.8 отвечал "no route to host" , переключился вручную на резервный канал, та же самая история...Пришлось перезагрузить микротик и всё пошло. В попыхах не успел просмотреть логи Вставить ник Quote
Saab95 Posted February 16, 2017 Posted February 16, 2017 На микротике не все параметры BGP применяются без перезагрузки. Вставить ник Quote
Mystray Posted February 16, 2017 Posted February 16, 2017 значение препенда пробовал установить равным 5, но ничего не изменилось Если где-то у аплинков или выше навешен localpref, то ваши препенды ему неинтересны. Более-менее рабочий метод - разбить сеть на две /23 и и анонсировать все эти префиксы с основного канала, а с бекапного только общий префикс. Но опять же, специфики могут куда-то не дойти (например, местный обменник, в который включен только бекапный пров), и вообще раздувать фулвью вредит карме. На микротике не все параметры BGP применяются без перезагрузки. стыдоба же Вставить ник Quote
Dump Posted February 16, 2017 Posted February 16, 2017 Мда ... Не совсем ясно почему так, стояла сиська 3800 всё было ОК, просто она с трафиком не справлялась. Хорошо, я так понимаю, можно наверняка создать скрипт на микротике, который будет активировать соединение с резервным оператором в случае отвала основного ????? Вставить ник Quote
myth Posted February 16, 2017 Posted February 16, 2017 который будет активировать соединение с резервным оператором в случае отвала основного по каким критериям проверять? Вставить ник Quote
NiTr0 Posted February 16, 2017 Posted February 16, 2017 Получить маршруты за пару десятков секунд нельзя, это какое оборудование их так быстро отдает? xeon x3430. 2fv роут рефлектор отдает быстро и без особого напряга. миллион маршрутов, да. Даже циска и роутеры на линуксах поднимают маршруты 2-3 минуты. бред же. с бгп дико тупит только микротик. ну и ископаемые циски типа 6500, да, могут 2-3 минуты кушать бгп роутеры из-за чахлого ЦП. Вставить ник Quote
Saab95 Posted February 16, 2017 Posted February 16, 2017 стояла сиська 3800 всё было ОК, просто она с трафиком не справлялась. NiTr0 - как так? Вставить ник Quote
Dump Posted February 17, 2017 Posted February 17, 2017 как так? Да там всё в порядке. Просто 10-ти летняя железка , всё что было заявлено , всё это она вытянула, отработала на ура и окупила себя. Микротик взяли из-за безвыходного положения, брать новую киску бюджет не позволял. В принципе как instant default - вполне даже нормально работает, загрузка проца около 3% при 150Мбит/с, порядка 30 правил ACL . Одна беда, так и не получается нормально настроить резервный канал BGP , лезет входящий трафик с него и всё. Уже и препенды менял, и перезагружал после внесенных изменений, нифига!!! Вставить ник Quote
Saab95 Posted February 17, 2017 Posted February 17, 2017 Тут нужно обратиться к провайдеру, что бы он у себя настройки BGP поправил. Вставить ник Quote
Dump Posted February 17, 2017 Posted February 17, 2017 Тут нужно обратиться к провайдеру, что бы он у себя настройки BGP поправил. А что именно ? Какие параметры ? Вставить ник Quote
Saab95 Posted February 17, 2017 Posted February 17, 2017 А что именно ? Какие параметры ? Увеличил метрику маршрута, а вы со своей стороны увеличите. Вставить ник Quote
NiTr0 Posted February 18, 2017 Posted February 18, 2017 вообще-то препенды прекрасно ограничивают входящий трафик. даже штук 5 для надежности можно добавить. и не надо никаких метрик со стороны апстрима крутить. вот только я не удивлюсь, если на микротиках препенды не работают в принципе. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.