Irka-kefirka Опубликовано 6 марта, 2017 (изменено) · Жалоба Вообщем хочу настроить ZapretService bgpd.conf ! hostname zapret password access log file /var/log/quagga/bgp.log ! router bgp 65000 bgp router-id 10.0.0.3 redistribute kernel route-map bgp network 10.0.0.0/8 neighbor 10.0.0.2 remote-as 65000 neighbor 10.0.0.2 next-hop-self ! ip prefix-list bgp seq 99 deny 0.0.0.0/0 le 8 ip prefix-list bgp seq 100 permit 0.0.0.0/0 le 32 ! route-map bgp permit 1 match ip address prefix-list bgp ! line vty ! Настройки BGP на кутеке router bgp 65000 bgp router-id 10.0.0.2 network 10.0.0.0/8 neighbor 10.0.0.3 remote-as 65000 neighbor 10.0.0.3 next-hop-self ! мне спецы с ZapretService сказали что этого будет достаточно для получения маршрутов В дебаге кутека постоянно вот такая вещь которая меня смущает. не совсем пойму о чем речь %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [DECODE] NLRI: Invalid Unicast NLRI(0.0.0.0/32) %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [FSM] State: Established Event: 28 %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [ENCODE] Msg-Hdr: Type 3 %Jan 03 07:22:53 2006 BGP: %BGP-3-NOTIFICATION: sending to 10.0.0.3 3/10 (UPDATE Message Error/Invalid Network Field.) 0 data-bytes %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [FSM] State Change: Established(6)->Idle(1) полный дебаг bgp-сессии с кутека в аттаче. Ваши предложения, спецы? debug.txt Изменено 6 марта, 2017 пользователем Irka-kefirka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 6 марта, 2017 · Жалоба у этого свича в спецификации указано 13к маршрутов http://www.qtech.ru/catalog/archcorporate/196/chars.htm а в реестре сейчас почти 40к ипов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 6 марта, 2017 · Жалоба >[DECODE] NLRI: Invalid Unicast NLRI(0.0.0.0/32) сделайте .pcap дамп, там в самом деле такое анонсится или это qtech тупит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irka-kefirka Опубликовано 6 марта, 2017 · Жалоба у этого свича в спецификации указано 13к маршрутов http://www.qtech.ru/catalog/archcorporate/196/chars.htm а в реестре сейчас почти 40к ипов Спасибо. вариант с ZapretService отпадает сам собой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 6 марта, 2017 · Жалоба Я бы сказал что проблема в кутеке. А не в запретсервисе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 марта, 2017 · Жалоба у этого свича в спецификации указано 13к маршрутов http://www.qtech.ru/catalog/archcorporate/196/chars.htm а в реестре сейчас почти 40к ипов Спасибо. вариант с ZapretService отпадает сам собой Может кутечь отпадает ? Если вы хотите по бгп оправлять запретные IP на сервер фильтрации, резолвя сами или по ip из реестра, это вредный путь. Попадёте в ревизоре - если что, я и так и так самописно пробовал, в доревизорной эпохе. Единственная разумная схема - на всём пути трафика, сквозь. Схемы на зеркале - порочны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 6 марта, 2017 · Жалоба да вообще схема с bgp нынче недадёжная. некоторые сервисы регулярно меняют IP (особенно когда у хостера CDN и куча фронтендов) и есть шанс нарваться на штраф, если ревизор успеет раньше, чем ваш резолвер зайти на сайт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
