sol Posted January 25, 2024 Есть сеть как на картинке. Оба бордера отдают в свою AS только default, принимают OSPFом всю AS в перемешку серое/белое. Серое они НАТят. Оба бордера принимают FV от всех аплинков. Бордеры "тазы", на одном бордере Quagga, на другом FRR. Задача: обеспечить взаимодействие "Источника кучи /32 префиксов" c ASYYYYY. Напрямую прокинуть GRE тоннель и отдать кучу /32 префиксов от "источника", пометив их коммьюнити, тоже можно, но есть две проблемы: 1. Напрямую отдать для ASXXXXX полную ASYYYYY в тоннель нельзя т.к. туда попадут энкапсулирующие пакеты тоннеля. Статик для эндпоинта тоннеля писать на одного из аплинков нельзя т.к. сломается отказоустойчивость. 2. ASы начнуть видеть друг-друга через тоннель, чего хотелось бы избежать. Я знаю несколько способов решить этот вопрос, включая VRF с утечками и без, кучу фильтров, установку рядом малого маршрутизатора под эту задачу, e.t.c. Но хочется послушать общественность, услышать свежий взгляд, так сказать. Может, есть красивое решение, которое я не вижу замыленным глазом. Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted January 25, 2024 Что-то такое между Borders, и в нем гнать все эти префиксы Share this post Link to post Share on other sites More sharing options...
sol Posted January 25, 2024 Дык тоннель я могу сделать любой. Нет проблем. Если из XXXXX я могу анонсировать для YYYYY только нужные префиксы, то как быть с обратным трафиком? Для того, чтобы бордер XXXXX получил трафик на эти свои /32 префиксы этого, конечно достаточно. Но как быть с ответами? Или гнать их через глобал, надеясь что там не окажутся серые адреса, или как? Если я отдам через тоннель для XXXXX префиксы из YYYYY, то, во первых, туда попадёт и адрес на который терминирован тоннель. Во вторых будет "косая" маршрутизация. В третьих, вся XXXXX будет ходить к YYYYY через тоннель. А по некоторым причинам этого хотелось бы избежать. Share this post Link to post Share on other sites More sharing options...
MrNv Posted January 26, 2024 как вариант, тоннель на src адресах аплинков, для отказоустойчивости несколько тоннелей через разных аплинков, либо если есть сеть которая не пересекается с этими /32 то на ней далее фильтруете что анонсировать в тоннель Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted January 26, 2024 Можно и так: eBGP <- АСххххx <-> iBGP <-> as65xxx (same box) <-> tunnel <-> iBGP <-> as65xxx (same box) <-> ASyyyyy -> eBGP Share this post Link to post Share on other sites More sharing options...
sol Posted January 26, 2024 3 часа назад, h3ll1 сказал: eBGP <- АСххххx <-> iBGP <-> as65xxx (same box) <-> tunnel <-> iBGP <-> as65xxx (same box) <-> ASyyyyy -> eBGP Немного не понял. В моём понимании проблема с эндпоинтом тоннеля при этом решится, если на same box зафильтровать префикс YYYYY, сделать NAT 1:1 на блок адресов YYYYY и вместо блока YYYYY отдать адреса NATа. Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted January 26, 2024 (edited) Сначала вы решаете задачу по пункту 1. Во-вторых, вы динамически передаете свои маршруты /32 без nat через частную AS 65xxx. Для ендпойнт думаю нужно несколько тоннелей или вплс/мплс если есть. Edited January 26, 2024 by h3ll1 Share this post Link to post Share on other sites More sharing options...
Archville Posted January 27, 2024 Поднять между "Источником кучи /32 префиксов" и ASBRYYYYY EBGP multi-hop сессию и гонять в ней всё, что угодно. А аплинкам отдавать только агрегаты. Как вариант.... Только вот трафик "серых" адресов придется тунелировать в любом случае. Цитата 1. Напрямую отдать для ASXXXXX полную ASYYYYY в тоннель нельзя т.к. туда попадут энкапсулирующие пакеты тоннеля. Статик для эндпоинта тоннеля писать на одного из аплинков нельзя т.к. сломается отказоустойчивость. 2. ASы начнуть видеть друг-друга через тоннель, чего хотелось бы избежать. 1) на роутерах поднять два лупбэка, а внутри тунеля поднять какой-нибудь ospf/bgp/да даже статик, прикрытый BFD и сессию строить между лупбэками. 2) тунель строить не между ASBR+NAT`ами, а между "Источником кучи /32 префиксов" и ASBRYYYYY Или я что-то не понял? Share this post Link to post Share on other sites More sharing options...
sol Posted January 27, 2024 6 часов назад, Archville сказал: на роутерах поднять два лупбэка, а внутри тунеля поднять какой-нибудь ospf/bgp/да даже статик, прикрытый BFD и сессию строить между лупбэками. Это понятно. Но адрес лупбека будет из диапазонов AS же. Как только анонс префиксов AS уйдёт в тоннель всё сразу-же сломается. 6 часов назад, Archville сказал: тунель строить не между ASBR+NAT`ами, а между "Источником кучи /32 префиксов" и ASBRYYYYY К сожалению "Источник кучи /32" мне не подчиняется. Я не могу делать с ним всё, что захочу. Share this post Link to post Share on other sites More sharing options...
Archville Posted January 29, 2024 Цитата Это понятно. Но адрес лупбека будет из диапазонов AS же. Как только анонс префиксов AS уйдёт в тоннель всё сразу-же сломается. А зачем в туннель анонсировать всю AS, туда ж надо только "серые" адреса анонсировать. Цитата К сожалению "Источник кучи /32" мне не подчиняется. Я не могу делать с ним всё, что захочу. Да в принципе и пофигу... "Белые" адреса пусть анонсируются агрегатами как и положено, главное на роутерах не забыть прописать маршруты на эти сети в null 0 с большой метрикой. Share this post Link to post Share on other sites More sharing options...
