Jump to content
Калькуляторы

Проблема с BGP, глюки с одной из подсетей На Cisco

Приветствую.

Имею IPv4 сеть с маской /19 и свой номер автономной системы, сеть порублена на подсети с маской /24.

Четные и нечётные подсети /24 анонсируется по BGP через два разных аплинка от двух разных провайдеров верхнего уровня.

 

Одна из подсетей /24 ранее была отдана филиалу моей организации и отдавалась в мир с тем же номером AS через маршрутизатор этого филиала. Затем сетка вернулась назад в центральный офис в дополнение к остальным.

У клиентов этой ранее выделенной в филиал подсети не ходит трассировка и пинг до одного корейского сайта. Другие подсети работают нормально.

 

В чём может быть затык?

Edited by Korvet_068

Share this post


Link to post
Share on other sites

не ходит трассировка и пинг до одного корейского сайта

Где трасса обрывается - в сети вашего провайдера или чуть не доходит до корейского сайта?

Трассы на другие сайты в мир ходят нормально?

Share this post


Link to post
Share on other sites

роутобьекты соответствуют реальности ?

 

Как это лучше проверить?

Вообще я припоминаю, что вот эта назначенная ранее в филиал сеть /24 прописана в райпе как-то отдельно...

 

Где трасса обрывается - в сети вашего провайдера или чуть не доходит до корейского сайта?

Трассы на другие сайты в мир ходят нормально?

 

Трасса рвётся где-то зарубежом, на другие сайты из этой подсети всё ходит нормально.

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Трасса рвётся где-то зарубежом, на другие сайты из этой подсети всё ходит нормально.

Запустите traceroute с нормально работающей сети которая анонсируется аналогично проблемной, выясните на каком хопе прерывается traceroute у проблемной сети, выясните кому принадлежат адреса (в смысле адреса хопа где у проблемной сети рисуются "звездочки" а у нормальной сети запросы проходят) и пишите им на e-mail указанные в RIPE о проблеме с примерами traceroute.

Транзитные операторы редко блокируют или фильтруют сети, чаще это делают хостеры либо апстримы хостеров. И проблемы с доступом решаются в течении дня-двух после письма.

Share this post


Link to post
Share on other sites

Korvet_068, доброго Вам времени суток.

 

 

Убедитесь в том (используя публичный Looking Glass), что сеть анонсируется только действующим маршрутизатором.

Возможно, для этого придётся кратковременно прервать анонс сети. Маловероятно, но региональный оператор, мог

произвести настройку таким образом, что сеть продолжает анонсироваться от него.

 

На маршрутизаторе анонсирующим сеть, командой «sh ip bgp neighbors IP_оператора advertised-routes» сравните

параметры «проблемного» и «успешно рабочего» блока /24.

 

Проверьте отсутствие объектов связанности с предыдущим (региональным) оператором в БД (базе данных) RIPE.

И как советовали выше, сравните объект «route» с аналогично работающим (из соседнего блока).

 

Попробуйте переключить анонс «проблемной» сети на второго вышестоящего оператора.

 

Если ничего не помогает, есть вероятность того, что весь блок /24 находится в "Blacklist" у оператора сайта

или его магистрального оператора. Тогда поможет только обращение в службу поддержки данного ресурса.

Share this post


Link to post
Share on other sites

Кстати, кто подскажет как теперь в райп заходить, у меня есть логин и пароль от учётки, а теперь на сайте надо в качестве логина почту указывать...

Share this post


Link to post
Share on other sites

Мня, а действительно, как мне к себе туда попадать ?

remarks: MD5 passwords older than November 2011 were removed

Почта моя, я тоже обьектом фигурирую, правильным...

 

Захожу как юзер - нету такого, зарегился по новой. Я там как персона аж три раза был, ничего не понимаю. Майнтайнер - моя контора, я её персона, что мне им еще надо показать, чтобы получить возможности управлять своими обьектами ? Чесслово, ни рассылок оттуда, ни каких предупреждений не было... Спонсорский контракт платим через чехов.

Share this post


Link to post
Share on other sites

Проснулся =) Нужно восстановление пароля сделать, там же будет перерегистрация. Потребуется доступ к почте, которая у вас указана, как какая-то там.

 

Для того, чтобы показать route object не нужно быть мейнтейнером вообще-то.

Share this post


Link to post
Share on other sites

Проснулся =) Нужно восстановление пароля сделать, там же будет перерегистрация. Потребуется доступ к почте, которая у вас указана, как какая-то там.

 

Для того, чтобы показать route object не нужно быть мейнтейнером вообще-то.

Да всё, попал :) Роутобьекты можно просто посмотреть, но вдруг понадобится поправить - там без мантайнера не обойтись.

Share this post


Link to post
Share on other sites

Коллеги, а вот вопрос такой:

я анонсирую через один аплинк сети (условно) 63.149.2.0/24 и 63.149.4.0/24

Через второй аплинк идут анонсы 63.149.3.0/24 и 63.149.5.0/24

Оба аплинка находятся в одном маршрутизаторе.

 

Если сеть (точнее, префикс) анонсирована через какой-то аплинк, то качать трафик из интернета клиенты в этой сети будут только через этот аплинк? Или через второй аплинк тоже в эту сеть трафик пойдёт?

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Вы будете показыват роут объекты или нет?

 

По второму вопросу. Трафик пойдет только через аплинки, в которые сети проанонсированны, по крайней мере входящий. Вообще так делать нельзя. Смысл от двух аплинков пропадает, нужно анонсить в оба, но с препендами.

 

Да и вообще бить /19 на дофига /24 правила плохого тона.

Share this post


Link to post
Share on other sites

Так побито потому что несколько подсетей /24 отданы в филиалы и они не используются для раздачи адресов клиентам.

Хотя сама идея такого разбиения не моя.

 

Проблема с корейским сайтом ушла, он стал снова работать, я полагаю, что-то в корейском сегменте произошло, был массовый сбой по Корее и её сайтам у моих клиентов.

 

С роут объектами ещё разбираюсь.. не разбираюсь в этом вообще )))

Share this post


Link to post
Share on other sites

С роут объектами ещё разбираюсь.. не разбираюсь в этом вообще )))

 

1. Заходишь на сайт https://www.ripe.net/

2. Справа вверху в поле "Search IP address or ASN" вводишь свой префикс. Дада, в CIDR формате.

3. Нажимаешь "Enter", на клавиатуре.

4. Открывается страница, где много текста. Текст не читай @ сразу в конец листай. Там будет строчка "route:".

5. Выделяешь мышкой текст, нажимаешь правую кнопку...

Share this post


Link to post
Share on other sites

Спасибо большое.

Значит так, для всех моих подсетей /24 route в райпе указан как XX.XXX.0.0/19

 

А вот для той подсети где была проблема (xx.xxx.16.0/24) - route так и указан: xx.xxx.16.0/24

Схема была такая: чётные подсети /24 у меня анонсируются через Вымпелком, сетка xx.xxx.16.0/24 ушла в филиал, там тоже был Вымпелком, и она анонсировалась через вымпелком тоже. Потом сетку из филиала забрали, а прописана в райпе осталась как xx.xxx.16.0/24

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Так вот. Покажи уже записи, а? Всем насрать какие у тебя там "цифорки" стоят, вообще, реально. Всем.

Анонс от какой AS там и там? От одной и той же? В поле "origin" что? И почему у вас роут объектов нет на все /24?

Share this post


Link to post
Share on other sites

роутобьекты соответствуют реальности ?

так ведь косяк в Корее, не у апстрима. Роут объекты нужны только для автоматизированного построения фильтров при подключении апстримом клиента.

Edited by rover-lt

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.