[bllack]

Прочитала все темы не форуме, связанные с IBGP, ничего подобного не нашла..  документацию конечно тоже читала много-много раз

Конфигурировал ли кто-то IBGP на ISIS на редбеке?

 

Дано: SE1200 новый и SE600 со сконфигурированыыми работающими КЛИПСами и БГПами и бизнесами

 

На 1200 сделала простую конфигурацию клипс(статичный внешний ИП), и ИСИСа между контекстами, трассы появились:

[CLIPS]Grazyna#show isis routes                                         
IS-IS IP route(s) for tag ISIS-1200                                             
Prefix               Nexthop         L  Metric     Interface            Context
10.30.0.0/24         0.0.0.0         1  10         ISIS-CLIPS                   
10.30.0.2/32         10.30.0.3       2  10         ISIS-CLIPS         >40080195         #ISIS context CLIPS
10.30.0.3/32         0.0.0.0         2  0                                                                  #ISIS context BGP
10.30.8.0/24         10.30.0.3       1  20         ISIS-CLIPS         >40080195         #ISIS context BGP IBGP
77.77.2.104/29       0.0.0.0         2  0                                                                #подсеть для клипс
77.77.2.106/32       0.0.0.0         2  0                                                                #клипса
185.185.191.249/32 10.30.0.3       1  21         ISIS-CLIPS         >40080195   #i-face IBGP na SE600
185.185.191.250/32   10.30.0.3       1  11         ISIS-CLIPS         >40080195   #i-face IBGP context BGP

 

IBGPы тоже себя видят, сессии стоят:

[BGP]Grazyna#show bgp summary                                                                              
Neighbor                 AS       MsgRcvd  MsgSent    TblVer      InQ OutQ Rst  Up/Down  PfxRcvd/Sent  RstNeeded       
185.185.191.249   41XXX 221619   37           19738469  0   0        1    00:33:51 688339   4        No

 

Клипса пингается но не получает интернета. Что я делаю не так?

[CLIPS]Grazyna#ping 77.77.2.106 source 10.30.0.2                 
PING 77.46.2.106 (77.46.2.106): source 10.30.0.2, 36 data bytes,
timeout is 1 second                                              
!!!!!                                                            

вот таблица нейбора IBGP, то есть с внешним миром связь есть:

[BGP]Dareek#show bgp summary       
Neighbors Configured: 11
Neighbor                 AS    MsgRcvd    MsgSent  TblVer          InQ OutQ Rst  Up/Down  PfxRcvd/Sent  RstNeeded
87.87.245.128       900  668546     3790      174628019    0    0     403  1d08h     686162     15        No
88.88.32.185         208  14248297 154560  174628063    0    0       1    15w3d     684769     15        No
149.149.232.41     17    1239027   9164     174628073    0    0        3    6d10h     680557     15        No
185.185.191.250 41XXX    36      221547 174628064    0    0        1  00:33:21      4       688342    No
195.195.218.99     854  4511687  154668  174628062    0    0        1    15w3d     70915      15        No
195.195.218.100   854  4974301  154700  174628075    0    0        1    15w3d     71114      15        No
195.195.218.225   464  156406   154555   174628073    0    0        1    15w3d      4             15        No
195.195.218.245   464  156459   154555   174628063    0    0        2    15w3d      4             15        No
212.212.2.1          247   3470044 76835     174628073    0    0        2    7w4d      128834     15        No

 

До клипсы тоже длоступ у нейбора есть
[BGP]Dareek#ping 77.77.2.106   
PING 77.46.2.106 (77.46.2.106): source 10.30.8.5, 36 data bytes,
timeout is 1 second
!!!!!

context BGP (SE600)
!
 router isis ISIS-600
  net 49.1111.1003.0000.0005.00
  address-family ipv4 unicast
 !
  interface LOOPback
   passive-interface
   address-family ipv4 unicast
 !
  interface ISIS-IBGP
   ! bind to link-group dot1q pvc 379
   address-family ipv4 unicast
   
 router bgp 41XXX
  address-family ipv4 unicast
   flap-statistics
   network 77.77...
   network 185.185...
   ...
   
 neighbor 185.185.191.250 internal
   update-source LOOPback
   next-hop-self
   address-family ipv4 unicast

 

______________________________

   

context BGP (SE1200)
context BGP                                   
!                                             
 router isis ISIS-1200                        
  net 49.1111.1003.0000.0003.00               
  address-family ipv4 unicast                 
   redistribute connected                     
   redistribute static                        
 !                                            
  interface ISIS-BGP                          
   address-family ipv4 unicast                
 !                                            
  interface LOOPback                          
   passive-interface                          
   address-family ipv4 unicast                
 !                                            
  interface ISIS-IBGP                         
   ! bind to ethernet 9/2 dot1q pvc 379       
   address-family ipv4 unicast                
   
!                                 
router bgp 41XXX                   
  router-id 185.185.191.250         
  address-family ipv4 unicast       
   redistribute connected           
!                                   
  neighbor 185.185.191.249 internal
    update-source LOOPback          
    next-hop-self                   
    address-family ipv4 unicast     
 

context CLIPS                                   
!                                               
 router isis ISIS-1200                          
  net 49.1111.1003.0000.0002.00                 
  address-family ipv4 unicast                   
   redistribute connected                       
   redistribute static                          
   redistribute subscriber                      
 !                                              
  interface ISIS-CLIPS                          
   address-family ipv4 unicast                
  

   
[CLIPS]Grazyna#show clips                                                         
Circuit                              IpAddr               Username                 
----------------------------- ---------------         ---------------              
9/2 vlan-id 3919 clips 7   77.77.2.106        18:d6:c7:37:5c:c5@CLIPS   

насколько я понимаю на SE600 с работающими соседями BGP - не могу на ISIS включить redistribute bgp? так как тогда контекст клипс получит все-все трассы и задохнется?

Может у кого-то есть работающий пример ?

Изменено 11 апреля, 2018 пользователем bllack

[vurd]

Прочитал два раза, нихрена не понял.

Кто кого не пингует, кто кого должен пинговать. Причем тут бгп и isis (запрещенная в рф организация).

 

Где трассировка с клиента? Где трассировка с внешнего мира на клиента?

[zstas]

перечитал 3 раза так и не понял ничего.

 

обычно дизайн сети такой, что по isis раздают только лупбеки, поверх них bgp сессия. и по bgp анонсят клиентские сети (либо через redistribute subscriber, либо через network'и)

[bllack]

От клиента трейс заканчивается первым хопом, а с интренетов до клиента:

 

 root@bllack:~# tracepath 77.77.2.106                              
 ...

2:  host-80-80-114-209                          12.109ms
 3:  host-80-80-114-181                           1.860ms
 4:  10.15.1.1                                             1.592ms  #SE600
 5:  10.30.8.3                                             1.518ms  #SE1200 i-face ISIS-IBGP
 6:  no reply                                                      
 7:  no reply        

 ..

  Too many hops: pmtu 1500   
  Resume: pmtu 1500         

 

CLIPS сессия = клиент на SmartEdge Redback 1200, который не получает интернета, то есть не пингаются 8.8.8.8 с клиента(тестовый роутер), а с роутера где установленные сессии BGP этот клиент пингается.

 

 

 

 

Что касается дизайна: по исис видны лупбеки, на них стоит сесия Ibgp. и вроде это даже удалось =) IBGP есть =)

 

Теперь хотелось бы настроить междуконтекстовый роутинг - что бы избавиться от статичных трасс. Выбор упал на ISIS.

Для таких целей нужна вторая area isis? не до той же самой подключать остальные контексты?

 

 

 

через network'и.. - то есть статичные маршруты?

Изменено 11 апреля, 2018 пользователем bllack

[mixae1]

Покажите уже таблицу маршрутизации не только ISIS, из контекста BGP на 1200 и из CLIPS. Если судить по трассировке то затык где-то между контекстами.

 

По дизайну как написали выше, лучше redistribute subscribers делать через BGP, а в ISIS оставить только connected или вообще лучше вручную указать только Loopback на которых и поднять сессию. В вашем случае, имхо, вообще проще добавить статикой маршруты между контекстами на loppback на которых сессия BGP поднимается.

 

Кстати ещё момент - должен быть включен

(config)#service inter-context routing

 

[mixae1]

З.Ы. Если вы не путаете следы то вот это странно:

 

Цитата

[CLIPS]Grazyna#ping 77.77.2.106 source 10.30.0.2                 
PING 77.46.2.106 (77.46.2.106): source 10.30.0.2, 36 data bytes

Пингуете одно, а пингуется другое, если путаете - то плохо путаете :)

[zstas]

14 часов назад, mixae1 сказал:

В вашем случае, имхо, вообще проще добавить статикой маршруты между контекстами на loppback на которых сессия BGP поднимается.

да, проще прописать в каждом контексте по статику на другой лупбек и поднимать ibgp сессию между контекстами на этих лупбеках.

мы везде ушли с isis между контекстами на такую схему.

 

покажите на каждом устройстве в каждом контексте

sh ip route 77.77.2.106

[bllack]

16 hours ago, mixae1 said:

таблицу маршрутизации не только ISIS, из контекста BGP на 1200 и из CLIPS

Таблица маршрутизации с BGP 1200:

[BGP]Grazyna#show ip route | exc "> i B"                   
Type    Network              Next Hop             Dist    Metric  UpTime    Interface   
> C     10.30.0.0/24                                 0         0        1w0d       ISIS-BGP   
> C     10.30.8.0/24                                 0         0        2d21h     ISIS-IBGP   
> i L2  77.77.2.104/29                            115     10      2d17h              
> i L2  77.77.2.106/32                            115     10     19:25:23              
> i L1  185.185.191.249/32   10.30.8.5  115     11     19:53:13  ISIS-IBGP   
> C  185.185.191.250/32 185.185.191.250  0   0       6d21h      LOOPback    
> C  212.212.90.0/23                              0         0       1w0d        vlan863    

 

[CLIPS]Grazyna#show ip route                                             
Type    Network                    Next Hop     Dist  Metric  UpTime     Interface            
> C     10.30.0.0/24                               0         0      1w0d        ISIS-CLIPS          
> i L1  10.30.8.0/24                               115    20     20:09:52                       
> C     77.77.2.104/29                           18       0      1w0d        KLIENTS_PUB          
> SUB A 77.77.2.106/32     77.77.2.106  15     0      1w0d        KLIENTS_PUB          
> i L1  185.185.191.249/32                  115      21    19:57:12                       
> i L1  185.185.191.250/32                  115      11    20:10:00                       
> i L2  212.212.90.0/23                        115      10     2d17h                      

 

16 hours ago, mixae1 said:

Кстати ещё момент - должен быть включен

(config)#service inter-context routing

service inter-context routing  есть в локальным контексте

 

 

 

16 hours ago, mixae1 said:

лучше redistribute subscribers делать через BGP,

и тут я повисла.. несколько раз.   миру раздавать каждую клиентскую сессию..? /32 ?   по BGP раздаем наши префиксы, типа /19, /21 итд.. которые сконфигурированы в router bgp 41XXX на SE600(он же Dareek :)

имелось ввиду - раздавать всех клиентов между SE600 и SE1200 по Ibgp вместо IS-IS?

 

 

16 hours ago, mixae1 said:

если путаете - то плохо путаете :)

"я хотя бы попыталась" =)

 

1 hour ago, zstas said:

да, проще прописать в каждом контексте по статику на другой лупбек

сеть категорически сильно разрослась и статичные маршруты стали достаточно тяжкими в обслуживании..  тот пример что я привела это только мааленький кусочек сети, который хочу сконфигурировать что бы только появился интернет у обычного статического клипса, а дальше на этом уже буду надстраивать остальную конфигурацию, где статичных маршрутов придeтся делать более двух сотен. Поэтому начальство провозгласило - "даешь ISIS между контекстами!" =)

 

 

 

2 hours ago, zstas said:

sh ip route 77.77.2.106

 

1200:

[CLIPS]Grazyna#sh ip route 77.77.2.106                                                                                 
    Longest match Routing entry for 77.77.2.106/32 is 77.77.2.106/32 , version: 4                                      
    Route Uptime: 1w0d                                                                                                 
    Paths: total 2, best path count 2                                                                 
    Route redistributed to following clients: 10                                                   
    Path information :                                                                                       
      Active path :                                                                                                    
       Known via subscriber address , distance 15, metric 0,                                                           
      Tag 0, Next-hop 77.77.2.106, NH-ID 0x34500001, Adj ID: slot number=8, adj id=0xa, Interface KLIENTS_PUB          
      Circuit 9/2:511:63:31/4/2/195008                                                                                 
      External Circuit :  9/2 vlan-id 3919 clips 7                                                                
      Active path :                                                                                                    
       Known via adjacency, type-hidden route, distance 254, metric 0,                                                 
      Tag 0, Next-hop 77.77.2.106, NH-ID 0x34500001, Adj ID: slot number=8, adj id=0xa, Interface KLIENTS_PUB          
      Circuit 9/2:511:63:31/4/2/195008                                                                                 
      External Circuit :  9/2 vlan-id 3919 clips 7                                                                 

0_o 

                                                                                            
[BGP]Grazyna#sh ip route 77.77.2.106                                                                                   
    Longest match Routing entry for 77.77.2.106/32 is 77.77.2.106/32 , version: 15934554                               
    Route Uptime: 20:00:50                                                                                             
    Paths: total 1, best path count 1                                                                         
    Path information :                                                                                          
      Active path :                                                                                                    
       Known via isis ISIS-1200, type-IS-IS level-2, distance 115, metric 10,                                          
      Tag 0, NH-ID 0x31C00001                                                                                         

 

600:

[BGP]Dareek#sh ip route 77.77.2.106   
    Longest match Routing entry for 77.77.2.106/32 is 77.77.2.106/32 , version: 152350513
    Route Uptime: 20:02:16
    Paths: total 1, best path count 1

    Route has been downloaded to following slots
      iPPA: 01 02 03

    Path information :

      Active path :   
       Known via isis ISIS-600, type-IS-IS level-2, distance 115, metric 20,
      Tag 0, Next-hop 10.30.8.3, NH-ID 0x31700056, Interface ISIS-IBGP
      Circuit 255/11:18:27/1/2/20506
      External Circuit :  BGP-LINKS vlan-id 379

 

[mixae1]

1 час назад, bllack сказал:

[CLIPS]Grazyna#show ip route                                             
Type    Network                    Next Hop     Dist  Metric  UpTime     Interface            
> C     10.30.0.0/24                               0         0      1w0d        ISIS-CLIPS          
> i L1  10.30.8.0/24                               115    20     20:09:52                       
> C     77.77.2.104/29                           18       0      1w0d        KLIENTS_PUB          
> SUB A 77.77.2.106/32     77.77.2.106  15     0      1w0d        KLIENTS_PUB          
> i L1  185.185.191.249/32                  115      21    19:57:12                       
> i L1  185.185.191.250/32                  115      11    20:10:00                       
> i L2  212.212.90.0/23                        115      10     2d17h   

Если это всё что есть, то дефолт маршрута не хватает.

 

1 час назад, bllack сказал:

и тут я повисла.. несколько раз.   миру раздавать каждую клиентскую сессию..? /32 ?   по BGP раздаем наши префиксы, типа /19, /21 итд.. которые сконфигурированы в router bgp 41XXX на SE600(он же Dareek :)

имелось ввиду - раздавать всех клиентов между SE600 и SE1200 по Ibgp вместо IS-IS?

Да имелось ввиду именно это, наружу фильтровать или суммировать анонсы чтобы /32 не улетало, а только ваши полные сети. IS-IS оставить только для анонсов вот всех этих служебных штук, стыковочных интерфейсов и лупбеков. Тем более BGP более ёмкий 10 000 префиксов по /32 BGP почти пустяк, а вот в link-state протоколах уже не такой пустяк.

 

1 час назад, bllack сказал:

Поэтому начальство провозгласило - "даешь ISIS между контекстами!" =)

Ну, если контекстов и правда много то может и верно это, но вот как примере у вас для двух - ISIS больше настроек, даже если строчками считать.

[bllack]

35 minutes ago, mixae1 said:

дефолт маршрута не хватает.

добавила в CLIPS ip route 0.0.0.0/0 context BGP

 

убрала    redistribute connected и redistribute static  в  router isis ISIS-1200  (CLIPS)

  так как петельки образовывались

 

Заработало =)

 

38 minutes ago, mixae1 said:

наружу фильтровать или суммировать анонсы чтобы /32 не улетало, а только ваши полные сети. IS-IS оставить только для анонсов вот всех этих служебных штук, стыковочных интерфейсов и лупбеков. Тем более BGP более ёмкий 10 000 префиксов по /32 BGP почти пустяк, а вот в link-state протоколах уже не такой пустяк.

 очень интересная мысль - разглашать суммированные клиентские сессии по BGP вместо статично прописанных префиксов. постарабсь заапрувить и внедрить =) спасибо

 

41 minutes ago, mixae1 said:

если контекстов и правда много

пока что контекстов только 5 (BGP, клипс гпон, бизнес, внутренние серверки, етернет), но планируется перетащить на редбека остальные технологии тоже,  и думаю что логично их разделять между контекстами, особенно те, которые имеют разные методы авторизации)

что скажите ? или стоит всех абонентов в один контекст пихать?

[mixae1]

2 минуты назад, bllack сказал:

что скажите ? или стоит всех абонентов в один контекст пихать?

Я привязываю абонентский контекст к плате. Мне так проще контролировать нагрузку на плату, так как RedBack все ограничения именно по платам в основном. Контексты удобная вещь, фильтрации между ними нету по трафику только, было бы ещё удобнее. Разделять логично, управляться потом удобнее да и вообще. Так что тут не поспоришь :)

 

6 минут назад, bllack сказал:

Заработало =)

Отлично!

[zstas]

суммировать тоже не очень хороший вариант.

есть 2 часто встречающиеся схемы:

1) на каждый брас распилить свои пулы адресов. их анонсировать большими блоками (хотя бы по /24. прописываем сеть в null0 и в bgp network). в этом случае адреса прибиты к конкретному брасу.

2) анонсировать по /32 каждого клиента через redistribute subscriber (тут получаем очень много маршрутов в bgp, но на smartedge довольно жирный fib, так что это ему нипочем)

 

мы из-за особенностей нашего радиуса в биллинге (не умеет по несколько пулов на один NAS) используем второй вариант. естественно эти анонсы не нужно пропускать в интернет, они нужны только внутри вашего ядра. например, метить их специальным коммунити).

так же вам напрашивается отдавать в контекст дефолт через bgp, а не статикой (особо роли не играет, но если уже есть bgp сессия между контекстами например)

 

а вообще я бы на вашем месте нарисовал бы дизайн сначала на бумажке или в visio, как что куда должно по bgp бегать, какие bgp коммунити использовать для разных сетей, плюс заранее продумать появление 3го браса (подумать стоит ли делать bgp full mesh или сделать RR). как я понял у вас один из брасов является и бордером тоже?