fractal Опубликовано 27 февраля, 2020 (изменено) · Жалоба Всем привет, интересует как лучше реализовать схему с двумя пограничными маршрутизаторами с несколькими ISP, к примеру пусть будет 2 ISP, каждый приходит отдельным линком в пограничный маршрутизатор. какие самые простые варианты? чтобы при проблемах схема была проста как молоток и разобраться в том, что не работает можно было быстро? делать hsrp внутрь c ip sla и track и отдельный линк под ibgp между ними? делать на igp между l3 stack и bgp border? bgp только роутят, натить не будут, nat сделан на cisco firepower Изменено 27 февраля, 2020 пользователем fractal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smelnik Опубликовано 27 февраля, 2020 · Жалоба Пустить IGP(OSPF/ISIS), в IGP редистрибьютить lo адреса, между lo двух ASBR поднять BGP-сессию. Не забыть про next-hop change :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 27 февраля, 2020 · Жалоба 2 часа назад, fractal сказал: какие самые простые варианты? route reflector же. а дальше - по обстоятельствам, пережуют натилки и что там еще фуллвью - делать л2 ядро и связывать их с бордерами по ibgp; не пережуют - выделенный линк между бордерами для RR (тудой же будет бегать трафик попавший не на тот бордер), и анонс дефолтов в локалку (ibgp/rip, ospf как по мне не очень предсказуем хоть и имеет право на жизнь) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 27 февраля, 2020 · Жалоба 2 часа назад, smelnik сказал: Пустить IGP(OSPF/ISIS), в IGP редистрибьютить lo адреса, между lo двух ASBR поднять BGP-сессию. Не забыть про next-hop change :) +1 самый оптимальный вариант 21 минуту назад, NiTr0 сказал: route reflector же. а дальше - по обстоятельствам, пережуют натилки и что там еще фуллвью - делать л2 ядро и связывать их с бордерами по ibgp; не пережуют - выделенный линк между бордерами для RR (тудой же будет бегать трафик попавший не на тот бордер), и анонс дефолтов в локалку (ibgp/rip, ospf как по мне не очень предсказуем хоть и имеет право на жизнь) зачем RR для двух ASBR? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 27 февраля, 2020 · Жалоба 19 минут назад, reef сказал: зачем RR для двух ASBR? если фуллвью тянуть и дальше (ну или если хотя бы бгп дальше юзать по л2 сети, с дефолтом и несколькими брасами/натами) - то RR таки нужен. если нет - то в принципе можно и обойтись без него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 27 февраля, 2020 · Жалоба 5 минут назад, NiTr0 сказал: если фуллвью тянуть и дальше (ну или если хотя бы бгп дальше юзать по л2 сети, с дефолтом и несколькими брасами/натами) - то RR таки нужен. если нет - то в принципе можно и обойтись без него. RR применяется в топологиях, где сильно накладно сделать фулмэш каждого роутера с каждым. Тут же всего 2 роутера. Трудно между ними полную связность обеспечить с обменом всеми маршрутами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 · Жалоба Принимаем fw, тянуть дальше никто не будет, считаю что rr тут лишнее, пока склоняюсь к ibgp, для локалки в сторону asa hsrp на public Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 28 февраля, 2020 · Жалоба Две сессии в сторону firewall с дефолтами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 1) Л3 ядро. 2) Бордеры к ядру по iBGP/OSPF 3) Аплинки до провов физически в ядро 4) По отдельной BGP сессии до каждого аплинка на каждый бордер. 5) Дефолты с бордеров в ядро Все. Никаких RR городить не надо и смысла нет. Никаких HSRP темболее. Схема наиболее простая и железобетонная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 · Жалоба 17 минут назад, myst сказал: 1) Л3 ядро. 2) Бордеры к ядру по iBGP/OSPF 3) Аплинки до провов физически в ядро 4) По отдельной BGP сессии до каждого аплинка на каждый бордер. 5) Дефолты с бордеров в ядро Все. Никаких RR городить не надо и смысла нет. Никаких HSRP темболее. Схема наиболее простая и железобетонная. Сессии отдельные от каждого прова, в каждый border, провы в border напрямую через 10gb порты. Asa втыкается в L3 ядро в прозрачном режиме, все устройства с public напрямую в L3 ядро. Пока схема такая, но с одним border Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 1 минуту назад, fractal сказал: Сессии отдельные от каждого прова, в каждый border, провы в border напрямую через 10gb порты. Не надо. Так. Делать. Никогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 (изменено) · Жалоба 4 минуты назад, myst сказал: Не надо. Так. Делать. Никогда. Это архитектура Cisco давняя (они внедряли, спецы их приезжали с USA) только ранее были аплинки 1g, а сейчас asr1002hx с 8 10g и аплинки по 5 гб, менять её никто не будет, да и не об этом тема Сейчас надо рассмотреть варианты внедрения второй ноги, не меняя схему Изменено 28 февраля, 2020 пользователем fractal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 2 часа назад, fractal сказал: Это архитектура Cisco давняя (они внедряли, спецы их приезжали с USA) только ранее были аплинки 1g, а сейчас asr1002hx с 8 10g и аплинки по 5 гб, менять её никто не будет, да и не об этом тема Сейчас надо рассмотреть варианты внедрения второй ноги, не меняя схему Дело не в циске, я к тому что аплинки физически должны втыкаться в ядро. что бы не городить костыли для расшаривания аплинка на несколько устройств или для получения на аплинке новых услуг (например дополнительных влан в транке) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 28 февраля, 2020 · Жалоба 23 минуты назад, myst сказал: Дело не в циске, я к тому что аплинки физически должны втыкаться в ядро. что бы не городить костыли для расшаривания аплинка на несколько устройств или для получения на аплинке новых услуг (например дополнительных влан в транке) Бридж никто не отменял. И технологически как раз верно у тс сделано. Это вообще похоже не оператор, а энтерпрайзец. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 · Жалоба Только что, vurd сказал: Бридж никто не отменял. И технологически как раз верно у тс сделано. Это вообще похоже не оператор, а энтерпрайзец. Да, энтерпрайз, про оператор я ничего не говорил, бридж сделан на асе, она в прозрачном режиме работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 28 февраля, 2020 · Жалоба 7 минут назад, fractal сказал: Да, энтерпрайз, про оператор я ничего не говорил, бридж сделан на асе, она в прозрачном режиме работает Бридж-домейн с саб интерфейсами я имел в виду, для пользователя мист. А вам просто нужно просить вторую сессию у каждого аплинка, поднимать их со второго бордера, между ними ибгп (первый ответ в теме). Что у вас ниже по уровню? Накидайте схему. По идеи туда спускаются по одной ибгп сессии, мультипат и вперёд. Слова hsrp, pbr, static route, vrf-lite обычно стоит избегать, т.к. это в 99% приводит к неочевидным схемам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 · Жалоба 6 минут назад, vurd сказал: Бридж-домейн с саб интерфейсами я имел в виду, для пользователя мист. А вам просто нужно просить вторую сессию у каждого аплинка, поднимать их со второго бордера, между ними ибгп (первый ответ в теме). Что у вас ниже по уровню? Накидайте схему. По идеи туда спускаются по одной ибгп сессии, мультипат и вперёд. Слова hsrp, pbr, static route, vrf-lite обычно стоит избегать, т.к. это в 99% приводит к неочевидным схемам. вторая сессия есть уже, отдельным линком на каждый border как и писал выше, сейчас только спрашиваю какие решения кто использует (hsrp на нексусах, pbr есть, крайне необходим и часто пользуемся, но суть не в этом), в общем думаю надо тестить, вариант ibgp между бордерами с hsrp для нексусов (ядро) и asa или l3 в сторону ядра + loc pref Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 1 час назад, vurd сказал: Бридж никто не отменял. И технологически как раз верно у тс сделано. Это вообще похоже не оператор, а энтерпрайзец. какая прелесть... Бридж и л2 поднять на роутеры... Уродские костыли. Называем вещи своими именами. И да, это касается энтерпрайца. Тебе завтра скажут наприме "А нам надоть телефонию от ISPX подать на SIP сервер" и будешь ты городить бриджи вместо того что бы прописать switchport access vlan Х на интерфейсе севера телефонии. Не надо. Так. Делать. И аплинки до чего-либо не надо делать в акцессе. Никогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 28 февраля, 2020 · Жалоба 59 минут назад, fractal сказал: вторая сессия есть уже, отдельным линком на каждый border как и писал выше, сейчас только спрашиваю какие решения кто использует (hsrp на нексусах, pbr есть, крайне необходим и часто пользуемся, но суть не в этом), в общем думаю надо тестить, вариант ibgp между бордерами с hsrp для нексусов (ядро) и asa или l3 в сторону ядра + loc pref Какой loc pref, каким боком он к ядру и внутренней сети? На кой Вам hsrp? Отдавайте в ядро с бордеров дефолты. А в ядре ecmp с ними разберётся. Извините, но складывается впечатление, что вы явно перестарались с изучением сетевых технологий... 15 минут назад, myst сказал: какая прелесть... Бридж и л2 поднять на роутеры... Уродские костыли. Называем вещи своими именами. И да, это касается энтерпрайца. Тебе завтра скажут наприме "А нам надоть телефонию от ISPX подать на SIP сервер" и будешь ты городить бриджи вместо того что бы прописать switchport access vlan Х на интерфейсе севера телефонии. Не надо. Так. Делать. И аплинки до чего-либо не надо делать в акцессе. Никогда. Вы о чём? У него аплинки все приходят в бордеры. Почему же он не может просто прописать на интерфейсе сервера телефонии switchport trunk allow vlan add X, и тоже самое на всех транзитных железяках между бордером и сервером телефонии? Чем это категорически хуже? О каких бриджах речь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 (изменено) · Жалоба 1 час назад, myst сказал: какая прелесть... Бридж и л2 поднять на роутеры... Уродские костыли. Называем вещи своими именами. И да, это касается энтерпрайца. Тебе завтра скажут наприме "А нам надоть телефонию от ISPX подать на SIP сервер" и будешь ты городить бриджи вместо того что бы прописать switchport access vlan Х на интерфейсе севера телефонии. Не надо. Так. Делать. И аплинки до чего-либо не надо делать в акцессе. Никогда. нет, так не будет, телефония отдельный сервер, под нее отдельные бордеры, так что костылей нет, своя железка под свои цели с отдельными аплинками 1 час назад, nemo_lynx сказал: Какой loc pref, каким боком он к ядру и внутренней сети? На кой Вам hsrp? Отдавайте в ядро с бордеров дефолты. А в ядре ecmp с ними разберётся. Извините, но складывается впечатление, что вы явно перестарались с изучением сетевых технологий... Вы о чём? У него аплинки все приходят в бордеры. Почему же он не может просто прописать на интерфейсе сервера телефонии switchport trunk allow vlan add X, и тоже самое на всех транзитных железяках между бордером и сервером телефонии? Чем это категорически хуже? О каких бриджах речь? телефония отдельный сервер, под нее отдельные бордеры, так что костылей нет, своя железка под свои цели с отдельными аплинками еще раз пишу, hsrp на ядре, он на нексусах. loc pref не относится к ядру локальной сети, только к bgp Изменено 28 февраля, 2020 пользователем fractal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 14 минут назад, fractal сказал: нет, так не будет, телефония отдельный сервер, под нее отдельные бордеры, так что костылей нет, своя железка под свои цели с отдельными аплинками Это как пример. Дальше мысль развивайте сами. Вместо телефонии подставьте любой сервис которы гипотетически надо получить извне. Так вот, с физически воткнутыми в бордер аплинками и бриджами это криво. Это очень криво. За такое надо отлучать от сетей вообще. 1 час назад, nemo_lynx сказал: Вы о чём? У него аплинки все приходят в бордеры. Почему же он не может просто прописать на интерфейсе сервера телефонии switchport trunk allow vlan add X, и тоже самое на всех транзитных железяках между бордером и сервером телефонии? Чем это категорически хуже? О каких бриджах речь? Я помойму подробно рассписал о чем я. Аплинк А физически воткнут в бордер А. Чтобы бы получить услугу на бордере Б через аплинк А надо 1) Прокинуть л2 интерфейс между бордерами 2) Поднять на бордере Б саб интерфейс 3) На бордере А сбриджевать Аплинк с л2 и... ba dum tss при падении бордера А аплин на бордере Б превращается в тыкву. Это - кривая архитектура. Если аплинки воткнуты в ядро 1) прописываем транк до бордера Б 2) поднимаем Саб на бордере Б При падении бордела и А и Б аплинк продолжает быть доступен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 (изменено) · Жалоба 10 минут назад, myst сказал: Это как пример. Дальше мысль развивайте сами. Вместо телефонии подставьте любой сервис которы гипотетически надо получить извне. Так вот, с физически воткнутыми в бордер аплинками и бриджами это криво. Это очень криво. За такое надо отлучать от сетей вообще. Вы видимо меня не поняли, бриджи сделаны на cisco ASA, она все публикует, у нее свой pool адресов, в прозрачном режиме, никаких костылей нет, любой сервис публикуется без проблем, уже более 6ти лет работает, жрать не просит, все прекрасно у ASA дефолт в BGP, но опять же суть не в том обсуждать текущий дизайн, я спросил какие решения самые простые, далее я сам подстрою под сеть всем спасибо, попробуем разные варианты в тестовой среде, а потом решим как все встроить Изменено 28 февраля, 2020 пользователем fractal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 1 минуту назад, fractal сказал: Вы видимо меня не поняли, бриджи сделаны на cisco ASA, она все публикует, у нее свой pool адресов, в прозрачном режиме, никаких костылей нет, любой сервис публикуется без проблем, уже более 6ти лет работает, жрать не просит, все прекрасно Причем тут аса вообще? Это единая точка отказа. Отсыхает аса с физическими аплинками - отсыхает все. Асы можно невозбрано вставить в разрыв между ядром и бордерами. https://i.ibb.co/PYWbkms/333333.jpg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 28 февраля, 2020 · Жалоба Только что, myst сказал: Причем тут аса вообще? Это единая точка отказа. Отсыхает аса с физическими аплинками - отсыхает все. Асы можно невозбрано вставить в разрыв между ядром и бордерами. https://i.ibb.co/PYWbkms/333333.jpg мда, она и так в разрыв, Вам говорит о чем нибудь прозрачный режим? вот она в разрыве в нем и фильтрует, для того чтобы не отсохли asa их у нас две и какая Вам разница как у нас все стоит и работает? я спросил как бы опытные люди организовали, я всех выслушал, буду пробовать, в чем проблема? в том что у нас сделано не так как Вам хочется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 февраля, 2020 · Жалоба 1 минуту назад, fractal сказал: мда, она и так в разрыв, Вам говорит о чем нибудь прозрачный режим? вот она в разрыве в нем и фильтрует, для того чтобы не отсохли asa их у нас две поверьте, говорит больше чем вам. внимательно перечитайте то что я написал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...