[fractal]

Всем привет, интересует как лучше реализовать схему с двумя пограничными маршрутизаторами с несколькими ISP, к примеру пусть будет 2 ISP, каждый приходит отдельным линком в пограничный маршрутизатор.

 

какие самые простые варианты? чтобы при проблемах схема была проста как молоток и разобраться в том, что не работает можно было быстро?

 

делать hsrp внутрь c ip sla и track и отдельный линк под ibgp между ними?

делать на igp между l3 stack и bgp border?

 

bgp только роутят, натить не будут, nat сделан на cisco firepower

Изменено 27 февраля, 2020 пользователем fractal

[smelnik]

Пустить IGP(OSPF/ISIS), в IGP редистрибьютить lo адреса, между lo двух ASBR поднять BGP-сессию. Не забыть про next-hop change :)

[NiTr0]

2 часа назад, fractal сказал:

какие самые простые варианты?

route reflector же. а дальше - по обстоятельствам, пережуют натилки и что там еще фуллвью - делать л2 ядро и связывать их с бордерами по ibgp; не пережуют - выделенный линк между бордерами для RR (тудой же будет бегать трафик попавший не на тот бордер), и анонс дефолтов в локалку (ibgp/rip, ospf как по мне не очень предсказуем хоть и имеет право на жизнь)

[reef]

2 часа назад, smelnik сказал:

Пустить IGP(OSPF/ISIS), в IGP редистрибьютить lo адреса, между lo двух ASBR поднять BGP-сессию. Не забыть про next-hop change :)

+1 самый оптимальный вариант

 

21 минуту назад, NiTr0 сказал:

route reflector же. а дальше - по обстоятельствам, пережуют натилки и что там еще фуллвью - делать л2 ядро и связывать их с бордерами по ibgp; не пережуют - выделенный линк между бордерами для RR (тудой же будет бегать трафик попавший не на тот бордер), и анонс дефолтов в локалку (ibgp/rip, ospf как по мне не очень предсказуем хоть и имеет право на жизнь)

зачем RR для двух ASBR?

[NiTr0]

19 минут назад, reef сказал:

зачем RR для двух ASBR?

если фуллвью тянуть и дальше (ну или если хотя бы бгп дальше юзать по л2 сети, с дефолтом и несколькими брасами/натами) - то RR таки нужен.

если нет - то в принципе можно и обойтись без него.

[nemo_lynx]

5 минут назад, NiTr0 сказал:

если фуллвью тянуть и дальше (ну или если хотя бы бгп дальше юзать по л2 сети, с дефолтом и несколькими брасами/натами) - то RR таки нужен.

если нет - то в принципе можно и обойтись без него.

RR применяется в топологиях, где сильно накладно сделать фулмэш каждого роутера с каждым. Тут же всего 2 роутера. Трудно между ними полную связность обеспечить с обменом всеми маршрутами?

[fractal]

Принимаем fw, тянуть дальше никто не будет, считаю что rr тут лишнее, пока склоняюсь к ibgp, для локалки в сторону asa hsrp на public

[zhenya`]

Две сессии в сторону firewall с дефолтами

[myst]

1) Л3 ядро.

2) Бордеры к ядру по iBGP/OSPF

3) Аплинки до провов физически в ядро

4) По отдельной BGP сессии до каждого аплинка на каждый бордер.

5) Дефолты с бордеров в ядро

 

Все. Никаких RR городить не надо и смысла нет. Никаких HSRP темболее. Схема наиболее простая и железобетонная.

[fractal]

17 минут назад, myst сказал:

1) Л3 ядро.

2) Бордеры к ядру по iBGP/OSPF

3) Аплинки до провов физически в ядро

4) По отдельной BGP сессии до каждого аплинка на каждый бордер.

5) Дефолты с бордеров в ядро

 

Все. Никаких RR городить не надо и смысла нет. Никаких HSRP темболее. Схема наиболее простая и железобетонная.

Сессии отдельные от каждого прова, в каждый border, провы в border напрямую через 10gb порты. Asa втыкается в L3 ядро в прозрачном режиме, все устройства с public напрямую в L3 ядро. Пока схема такая, но с одним border

[myst]

1 минуту назад, fractal сказал:

Сессии отдельные от каждого прова, в каждый border, провы в border напрямую через 10gb порты.

Не надо. Так. Делать.

Никогда.

[fractal]

4 минуты назад, myst сказал:

Не надо. Так. Делать.

Никогда.

Это архитектура Cisco давняя (они внедряли, спецы их приезжали с USA) только ранее были аплинки 1g, а сейчас asr1002hx с 8 10g и аплинки по 5 гб, менять её никто не будет, да и не об этом тема

 

Сейчас надо рассмотреть варианты внедрения второй ноги, не меняя схему

Изменено 28 февраля, 2020 пользователем fractal

[myst]

2 часа назад, fractal сказал:

Это архитектура Cisco давняя (они внедряли, спецы их приезжали с USA) только ранее были аплинки 1g, а сейчас asr1002hx с 8 10g и аплинки по 5 гб, менять её никто не будет, да и не об этом тема

 

Сейчас надо рассмотреть варианты внедрения второй ноги, не меняя схему

 

Дело не в циске, я к тому что аплинки физически должны втыкаться в ядро. что бы не городить костыли для расшаривания аплинка на несколько устройств или для получения на аплинке новых услуг (например дополнительных влан в транке)

[vurd]

23 минуты назад, myst сказал:

Дело не в циске, я к тому что аплинки физически должны втыкаться в ядро. что бы не городить костыли для расшаривания аплинка на несколько устройств или для получения на аплинке новых услуг (например дополнительных влан в транке)

Бридж никто не отменял.

И технологически как раз верно у тс сделано. Это вообще похоже не оператор, а энтерпрайзец.

[fractal]

Только что, vurd сказал:

Бридж никто не отменял.

И технологически как раз верно у тс сделано. Это вообще похоже не оператор, а энтерпрайзец.

Да, энтерпрайз, про оператор я ничего не говорил, бридж сделан на асе, она в прозрачном режиме работает

[vurd]

7 минут назад, fractal сказал:

Да, энтерпрайз, про оператор я ничего не говорил, бридж сделан на асе, она в прозрачном режиме работает

Бридж-домейн с саб интерфейсами я имел в виду, для пользователя мист.

А вам просто нужно просить вторую сессию у каждого аплинка, поднимать их со второго бордера, между ними ибгп (первый ответ в теме).

Что у вас ниже по уровню? Накидайте схему. По идеи туда спускаются по одной ибгп сессии, мультипат и вперёд.

Слова hsrp, pbr, static route, vrf-lite обычно стоит избегать, т.к. это в 99% приводит к неочевидным схемам.

[fractal]

6 минут назад, vurd сказал:

Бридж-домейн с саб интерфейсами я имел в виду, для пользователя мист.

А вам просто нужно просить вторую сессию у каждого аплинка, поднимать их со второго бордера, между ними ибгп (первый ответ в теме).

Что у вас ниже по уровню? Накидайте схему. По идеи туда спускаются по одной ибгп сессии, мультипат и вперёд.

Слова hsrp, pbr, static route, vrf-lite обычно стоит избегать, т.к. это в 99% приводит к неочевидным схемам.

вторая сессия есть уже, отдельным линком на каждый border как и писал выше, сейчас только спрашиваю какие решения кто использует (hsrp на нексусах, pbr есть, крайне необходим и часто пользуемся, но суть не в этом), в общем думаю надо тестить, вариант ibgp между бордерами с hsrp для нексусов (ядро) и asa или l3 в сторону ядра + loc pref 

[myst]

1 час назад, vurd сказал:

Бридж никто не отменял.

И технологически как раз верно у тс сделано. Это вообще похоже не оператор, а энтерпрайзец.

какая прелесть... Бридж и л2 поднять на роутеры... Уродские костыли. Называем вещи своими именами.

И да, это касается энтерпрайца. Тебе завтра скажут наприме "А нам надоть телефонию от ISPX подать на SIP сервер" и будешь ты городить бриджи вместо того что бы прописать switchport access vlan Х на интерфейсе севера телефонии. Не надо. Так. Делать.

И аплинки до чего-либо не надо делать в акцессе. Никогда.

[nemo_lynx]

59 минут назад, fractal сказал:

вторая сессия есть уже, отдельным линком на каждый border как и писал выше, сейчас только спрашиваю какие решения кто использует (hsrp на нексусах, pbr есть, крайне необходим и часто пользуемся, но суть не в этом), в общем думаю надо тестить, вариант ibgp между бордерами с hsrp для нексусов (ядро) и asa или l3 в сторону ядра + loc pref 

Какой loc pref, каким боком он к ядру и внутренней сети? На кой Вам hsrp? Отдавайте в ядро с бордеров дефолты. А в ядре ecmp с ними разберётся. Извините, но складывается впечатление, что вы явно перестарались с изучением сетевых технологий...

 

15 минут назад, myst сказал:

какая прелесть... Бридж и л2 поднять на роутеры... Уродские костыли. Называем вещи своими именами.

И да, это касается энтерпрайца. Тебе завтра скажут наприме "А нам надоть телефонию от ISPX подать на SIP сервер" и будешь ты городить бриджи вместо того что бы прописать switchport access vlan Х на интерфейсе севера телефонии. Не надо. Так. Делать.

И аплинки до чего-либо не надо делать в акцессе. Никогда.

Вы о чём? У него аплинки все приходят в бордеры. Почему же он не может просто прописать на интерфейсе сервера телефонии switchport trunk allow vlan add X, и тоже самое на всех транзитных железяках между бордером и сервером телефонии? Чем это категорически хуже? О каких бриджах речь?

[fractal]

1 час назад, myst сказал:

какая прелесть... Бридж и л2 поднять на роутеры... Уродские костыли. Называем вещи своими именами.

И да, это касается энтерпрайца. Тебе завтра скажут наприме "А нам надоть телефонию от ISPX подать на SIP сервер" и будешь ты городить бриджи вместо того что бы прописать switchport access vlan Х на интерфейсе севера телефонии. Не надо. Так. Делать.

И аплинки до чего-либо не надо делать в акцессе. Никогда.

нет, так не будет, телефония отдельный сервер, под нее отдельные бордеры, так что костылей нет, своя железка под свои цели с отдельными аплинками

 

1 час назад, nemo_lynx сказал:

Какой loc pref, каким боком он к ядру и внутренней сети? На кой Вам hsrp? Отдавайте в ядро с бордеров дефолты. А в ядре ecmp с ними разберётся. Извините, но складывается впечатление, что вы явно перестарались с изучением сетевых технологий...

 

Вы о чём? У него аплинки все приходят в бордеры. Почему же он не может просто прописать на интерфейсе сервера телефонии switchport trunk allow vlan add X, и тоже самое на всех транзитных железяках между бордером и сервером телефонии? Чем это категорически хуже? О каких бриджах речь?

 телефония отдельный сервер, под нее отдельные бордеры, так что костылей нет, своя железка под свои цели с отдельными аплинками

 

еще раз пишу, hsrp на ядре, он на нексусах. loc pref не относится к ядру локальной сети, только к bgp

Изменено 28 февраля, 2020 пользователем fractal

[myst]

14 минут назад, fractal сказал:

нет, так не будет, телефония отдельный сервер, под нее отдельные бордеры, так что костылей нет, своя железка под свои цели с отдельными аплинками

 

Это как пример. Дальше мысль развивайте сами. Вместо телефонии подставьте любой сервис которы гипотетически надо получить извне. Так вот, с физически воткнутыми в бордер аплинками и бриджами это криво. Это очень криво. За такое надо отлучать от сетей вообще.

 

1 час назад, nemo_lynx сказал:

Вы о чём? У него аплинки все приходят в бордеры. Почему же он не может просто прописать на интерфейсе сервера телефонии switchport trunk allow vlan add X, и тоже самое на всех транзитных железяках между бордером и сервером телефонии? Чем это категорически хуже? О каких бриджах речь?

Я помойму подробно рассписал о чем я.

Аплинк А физически воткнут в бордер А. Чтобы бы получить услугу на бордере Б через аплинк А надо

1) Прокинуть л2 интерфейс между бордерами

2) Поднять на бордере Б саб интерфейс

3) На бордере А сбриджевать Аплинк с л2

и... ba dum tss при падении бордера А аплин на бордере Б превращается в тыкву.

 

Это - кривая архитектура.

 

Если аплинки воткнуты в ядро

1) прописываем транк до бордера Б

2) поднимаем Саб на бордере Б

 

При падении бордела и А и Б аплинк продолжает быть доступен. 

[fractal]

10 минут назад, myst сказал:

Это как пример. Дальше мысль развивайте сами. Вместо телефонии подставьте любой сервис которы гипотетически надо получить извне. Так вот, с физически воткнутыми в бордер аплинками и бриджами это криво. Это очень криво. За такое надо отлучать от сетей вообще.

Вы видимо меня не поняли, бриджи сделаны на cisco ASA, она все публикует, у нее свой pool адресов, в прозрачном режиме, никаких костылей нет, любой сервис публикуется без проблем, уже более 6ти лет работает, жрать не просит, все прекрасно

у ASA дефолт в BGP, но опять же суть не в том обсуждать текущий дизайн, я спросил какие решения самые простые, далее я сам подстрою под сеть

 

всем спасибо, попробуем разные варианты в тестовой среде, а потом решим как все встроить

Изменено 28 февраля, 2020 пользователем fractal

[myst]

1 минуту назад, fractal сказал:

Вы видимо меня не поняли, бриджи сделаны на cisco ASA, она все публикует, у нее свой pool адресов, в прозрачном режиме, никаких костылей нет, любой сервис публикуется без проблем, уже более 6ти лет работает, жрать не просит, все прекрасно

Причем тут аса вообще? Это единая точка отказа. Отсыхает аса с физическими аплинками - отсыхает все.

Асы можно невозбрано вставить в разрыв между ядром и бордерами. https://i.ibb.co/PYWbkms/333333.jpg

[fractal]

Только что, myst сказал:

Причем тут аса вообще? Это единая точка отказа. Отсыхает аса с физическими аплинками - отсыхает все.

Асы можно невозбрано вставить в разрыв между ядром и бордерами. https://i.ibb.co/PYWbkms/333333.jpg

мда, она и так в разрыв, Вам говорит о чем нибудь прозрачный режим? вот она в разрыве в нем и фильтрует, для того чтобы не отсохли asa их у нас две

 

и какая Вам разница как у нас все стоит и работает? я спросил как бы опытные люди организовали, я всех выслушал, буду пробовать, в чем проблема? в том что у нас сделано не так как Вам хочется?

[myst]

1 минуту назад, fractal сказал:

мда, она и так в разрыв, Вам говорит о чем нибудь прозрачный режим? вот она в разрыве в нем и фильтрует, для того чтобы не отсохли asa их у нас две

поверьте, говорит больше чем вам. внимательно перечитайте то что я написал.