Jump to content

BGP между QTECH 8300 и кваггой

Irka-kefirka
 Share

Recommended Posts

Irka-kefirka

Irka-kefirka

Posted
Posted (edited)

Вообщем хочу настроить ZapretService

 

bgpd.conf

 

!
hostname zapret
password access
log file /var/log/quagga/bgp.log
!
router bgp 65000
bgp router-id 10.0.0.3
redistribute kernel route-map bgp
network 10.0.0.0/8
neighbor 10.0.0.2 remote-as 65000
neighbor 10.0.0.2 next-hop-self
!
ip prefix-list bgp seq 99 deny 0.0.0.0/0 le 8
ip prefix-list bgp seq 100 permit 0.0.0.0/0 le 32
!
route-map bgp permit 1
match ip address prefix-list bgp
!
line vty
!

 

Настройки BGP на кутеке

 

router bgp 65000
bgp router-id 10.0.0.2
network 10.0.0.0/8
neighbor 10.0.0.3 remote-as 65000
neighbor 10.0.0.3 next-hop-self
!

 

мне спецы с ZapretService сказали что этого будет достаточно для получения маршрутов

 

В дебаге кутека постоянно вот такая вещь которая меня смущает. не совсем пойму о чем речь

 

%Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [DECODE] NLRI: Invalid Unicast NLRI(0.0.0.0/32)
%Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [FSM] State: Established Event: 28
%Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [ENCODE] Msg-Hdr: Type 3
%Jan 03 07:22:53 2006 BGP: %BGP-3-NOTIFICATION: sending to 10.0.0.3 3/10 (UPDATE Message Error/Invalid Network Field.) 0 data-bytes
%Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [FSM] State Change: Established(6)->Idle(1)

 

полный дебаг bgp-сессии с кутека в аттаче.

 

Ваши предложения, спецы?

debug.txt

Edited by Irka-kefirka
YuryD

YuryD

Posted
Posted

у этого свича в спецификации указано 13к маршрутов

http://www.qtech.ru/catalog/archcorporate/196/chars.htm

 

а в реестре сейчас почти 40к ипов

 

Спасибо. вариант с ZapretService отпадает сам собой

Может кутечь отпадает ? Если вы хотите по бгп оправлять запретные IP на сервер фильтрации, резолвя сами или по ip из реестра, это вредный путь. Попадёте в ревизоре - если что, я и так и так самописно пробовал, в доревизорной эпохе. Единственная разумная схема - на всём пути трафика, сквозь. Схемы на зеркале - порочны.

s.lobanov

s.lobanov

Posted
Posted

да вообще схема с bgp нынче недадёжная. некоторые сервисы регулярно меняют IP (особенно когда у хостера CDN и куча фронтендов) и есть шанс нарваться на штраф, если ревизор успеет раньше, чем ваш резолвер зайти на сайт

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.