[zi_rus]

Мне достаточно коммьюнити от аплинка 2-го уровня.

ну и прекрасно, значит мы определились, что комьюнити от пиров более высокого порядка можно приравнять к ненужному мусору

 

почему нельзя продавать роутеры с парой гигов памяти? флеш дорогая? маркетинговая защита?

во-первых, не флеш, а RAM

а во-вторых, на сколько мне известно там используется одна из разновидностей существующей DRAM, цены на которую последнее время падают и падают, честно говоря, я не знаю технических ограничений на установку достаточного кол-ва памяти на все производимые роутеры, но это не значит что их нет

[pfexec]

ну и прекрасно, значит мы определились, что комьюнити от пиров более высокого порядка можно приравнять к ненужному мусору

чойто мусор ? что вы жадины то такие, кому помешали комунити ? между прочим, некоторые товарищи комунитями специально красят префиксы, чтобы товарищи на другом конце света могли понимать что к чему. и было бы отлично если бы все так делали.

 

я понимаю, если у вас там унылая цизко 7206 со включеным на нейборах софтваре-реконфигурейшон есть повод печалиться. но ведь не у всех же унылые софтовые цизки, и уж тем более у кого они есть, явно не у всех храняться все over9000 апдейтов с пиров.

[zi_rus]

вот только, кроме ваших товарищей на том конце света, эти комьюнити будет видеть весь остальной мир, а кроме ваших товарищей существуют еще другие товарищи и третьи, и десятые, и сотые, и тысячные, и всем все надо, и будут вешать их все кому не лень, по пути пока маршрут дойдет до вас через десяток АС, а ведь может придти другим путем, и третьим, везде и комьюнити свои, и потом это процессор еще перелопатить должен

 

У меня на 7609 30% памяти занимает только BGP, и еще столько же все остальные процессы вместе взятые, сложно оченить как изменится нагрузка на процессор или занимаемую память, если перестать резать мусор, но лучше им точно не будет

[pfexec]

вот только, кроме ваших товарищей на том конце света, эти комьюнити будет видеть весь остальной мир, а кроме ваших товарищей существуют еще другие товарищи и третьи, и десятые, и сотые, и тысячные, и всем все надо, и будут вешать их все кому не лень, по пути пока маршрут дойдет до вас через десяток АС, а ведь может придти другим путем, и третьим, везде и комьюнити свои, и потом это процессор еще перелопатить должен

никто не говорит что на каждый чих надо вешать комунити. внутренние междупрочим обрезать на выходе - добро. речь не про это. а про то что например ттк красит комунитями по региональному признаку своих клиентов. мелочь, а приятно. и может хорошо помочь когда нужно например провести анализ с трафиком местных кастомеров ттк. и таких примеров можно напридумать бесконечное количество.

У меня на 7609 30% памяти занимает только BGP

ну циско оно такое, да. хз куда память деет в этом бгп. ну никто же вам не мешает на апдейтах выпиливать все комунити, не ?

нагрузка на процессор

цискин калькулятор в любом случае долго и уныло считает best path в bgp, когда есть из чего выбирать ;D

[zi_rus]

это похоже на то как я защищал диплом, у меня раза 4 спросили одно и тоже, пока один из преподов не остановил это дело

 

внутренние междупрочим обрезать на выходе - добро. речь не про это. а про то что например ттк красит комунитями по региональному признаку своих клиентов

мне одному видится здесь противоречие?

 

никто не говорит что на каждый чих надо вешать комунити

дело в том, что делать с теми кто так делает?

так же как вы вешаете фильтры на BGP сессиях, отсекая лишнее (и не важно как оно туда попало)

[slavikeks]

Здравствуйте. Пытаюсь настроить BGP на quagga (в первый раз) Имеем: зарегистрированыую в райпе АС и блок /23 адресов и одного вышестаящего провайдера. Настроил роут в базе райпа. Договорилоись с вышестаящим провайдером о пиринге, они говорят что у себя всё сделали.

вот мои конфиги

zebra.conf

!
! Zebra configuration saved from vty
!   2012/03/02 00:43:17
!
hostname zebra
password pass
enable password pass
log file /var/log/quagga/zebra.log
!
debug zebra events
debug zebra packet
!
!
interface eth1.721
ip address xx.xx.xx.214/30    !! ip который мне выдал вышестоящий провайдер
!
interface eth2:1
ip address хх.хх.218.1/23     !! один из выданых райпом ип который я присвоил на интерфейс смотрящий в нашу сеть
!
!
!
interface lo
!
!
ip route 91.234.218.0/23 Null0 254
!
ip forwarding
ipv6 forwarding
!
!
line vty
exec-timeout 0 0
!

 

bgpd.conf

hostname ASxxx
password pass
enable password pass
log file /var/log/quagga/bgpd.log.
log stdout
!
router bgp xx764            !! номер АС который нам выдал райп
bgp router-id хх.хх.218.1   !! ip присвояный на интерфейс роутера смотрящий в нашу сеть
bgp log-neighbor-changes
network хх.хх.218.0/23      !! выданый нам блок 




neighbor хх.хх.209.213 remote-as хх718    !!ip и номер АС вышестоящего провайдера
neighbor хх.хх.209.213 description TPS
neighbor хх.хх.209.213 next-hop-self
neighbor хх.хх.209.213 soft-reconfiguration inbound
neighbor хх.хх.209.213 route-map TPS-in in
neighbor хх.хх.209.213 route-map TPS-out out

На сколько я понял бгп сессия поднимается bgpd.log

2012/03/09 17:18:22 BGP: %NOTIFICATION: sent to neighbor 80.80.209.213 6/3 (Cease/Peer Unconfigured) 0 bytes
2012/03/09 17:18:22 BGP: %ADJCHANGE: neighbor хх.хх.209.213 Down Neighbor deleted
2012/03/09 17:18:29 BGP: socket: Address family not supported by protocol
2012/03/09 17:18:29 BGP: BGPd 0.99.17 starting: vty@2605, bgp@<all>:179
2012/03/09 17:18:34 BGP: %ADJCHANGE: neighbor хх.хх.209.213 Up

 

лог зебры

2012/03/09 17:18:29 ZEBRA: Zebra 0.99.17 starting: vty@2601
2012/03/09 17:18:29 ZEBRA: zebra message comes from socket [11]
2012/03/09 17:18:29 ZEBRA: zebra message received [ZEBRA_INTERFACE_ADD] 0
2012/03/09 17:18:29 ZEBRA: zebra message comes from socket [11]
2012/03/09 17:18:29 ZEBRA: zebra message received [ZEBRA_ROUTER_ID_ADD] 0
2012/03/09 17:18:34 ZEBRA: zebra message comes from socket [11]
2012/03/09 17:18:34 ZEBRA: zebra message received [ZEBRA_IPV4_ROUTE_ADD] 15

снаружи наши адреса не пингуются, и изнутри я тоже нечего не вижу кроме ип присвоеного на интерфейс роутера. трасерт также затыкается на нашем роутере.

подскажите что я делаю не правельно. Спасибо

[Lynx10]

sh ip bgp su

sh ip bgp neigh ip.addr.peer.bgp ro

sh ip bgp neigh ip.addr.peer.bgp adv

 

ip.addr.peer.bgp - заменить на ip пира

Изменено 9 марта, 2012 пользователем Lynx10

[slavikeks]

sh ip bgp su

BGP router identifier хх.хх.218.1, local AS number хх764  
RIB entries 2, using 192 bytes of memory
Peers 1, using 4560 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
хх.хх.209.213   4 34718     172     174        0    0    0 02:50:54        1

Total number of neighbors 1

 

sh ip bgp neigh ip.addr.peer.bgp ro

 

BGP table version is 0, local router ID is хх.хх.218.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
             r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

  Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          хх.хх.209.213                          0 34718 28910 i   

Total number of prefixes 1

 

sh ip bgp neigh ip.addr.peer.bgp adv

 

BGP table version is 0, local router ID is хх.хх.218.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
             r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

  Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          хх.хх.209.213                          0 34718 28910 i

Total number of prefixes 1
AS57764> sh ip bgp neigh хх.хх.209.213 adv
BGP table version is 0, local router ID is хх.хх.218.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
             r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

  Network          Next Hop            Metric LocPrf Weight Path
*> хх.хх.218.0/23  хх.хх.209.214            0         32768 i

Total number of prefixes 1

[vlad11]

1) обновитесь до quagga 0.99.20

2) пинайте аплинка и его аплинков, чтоб пропустили вашу сеть в мир. И пинайте Казахтелеком. На ихнем LG вы видны, а дальше нет.

 

P.S. если что, обращайтесь, Святослав. Помогу небезкорыстно. :)

Изменено 9 марта, 2012 пользователем vlad11

[slavikeks]

В LG вышестаящих роутеров нашу сеть видно, но она не откуда не пингуется, может у меня какие-то локальные проблеы с маршрутизацией?

Изменено 10 марта, 2012 пользователем slavikeks

[Ilya Evseev]

В LG вышестаящих роутеров нашу сеть видно, но она не откуда не пингуется, может у меня какие-то локальные проблеы с маршрутизацией?

tcpdump на бордере показывает входящие пакеты?

rp_filter выключен?

[slavikeks]

Да, запросы вижу

rp_filter выключен на всех интерфейсах

исходящие пакеты есть только на 179 порту (BGP)

 

 

ещё в тисипидампе всё время валится какая-то фигня

23:39:56.630341 IP 91.234.190.183.2767 > 91.234.219.249.microsoft-ds: Flags [s], seq 841777089, win 65535, options [mss 1440,nop,nop,sackOK], length 0

Изменено 10 марта, 2012 пользователем slavikeks

[Ilya Evseev]

Да, запросы вижу

А ответы уходят? Если да, то куда?

Проверяйте либо через tcpdump -i any, либо через iptables -I OUTPUT -p icmp -j LOG

 

ещё в тисипидампе всё время валится какая-то фигня

Либо вирус ищет потенциальных жертв, либо Windows ищет братьев по разуму.

В tcpdump пока достаточно смотреть только icmp.

[slavikeks]

Если я правильно понял, то ответов нет...

00:25:36.628781 IP 80.80.218.144.ip.tps.uz > 91.234.218.1: ICMP echo request, id 512, seq 41216, length 40
00:25:36.629824 IP 10.6.40.1 > 91.234.218.1: ICMP host 80.80.218.144.ip.tps.uz unreachable - admin prohibited filter, length 36
00:25:36.875570 IP 80.80.209.214.34253 > 80.80.209.213.ip.tps.uz.bgp: Flags [P.], seq 3511360467:3511360486, ack 2491592091, win 4380, length 19: BGP, length: 19
00:25:37.076765 IP 80.80.209.213.ip.tps.uz.bgp > 80.80.209.214.34253: Flags [.], ack 19, win 15974, length 0
00:25:42.130216 IP 80.80.218.144.ip.tps.uz > 91.234.218.1: ICMP echo request, id 512, seq 41472, length 40
00:25:42.858985 IP 80.80.209.213.ip.tps.uz.bgp > 80.80.209.214.34253: Flags [P.], seq 1:20, ack 19, win 15974, length 19: BGP, length: 19
00:25:42.859000 IP 80.80.209.214.34253 > 80.80.209.213.ip.tps.uz.bgp: Flags [.], ack 20, win 4380, length 0
00:25:47.630888 IP 80.80.218.144.ip.tps.uz > 91.234.218.1: ICMP echo request, id 512, seq 41728, length 40

[Ilya Evseev]

00:25:36.629824 IP 10.6.40.1 > 91.234.218.1: ICMP host 80.80.218.144.ip.tps.uz unreachable - admin prohibited filter, length 36

Это что за хрень?

Что говорит "ip route get 80.80.218.144" в командной строке Линукса?

[slavikeks]

вот

80.80.218.144 via 89.236.197.201 dev eth1  src 89.236.197.202
   cache  mtu 1500 advmss 1460 hoplimit 64

он через другой интерфейс лезит как я понял (89.236.197.202 это выданый нам ип через который мы сейчас ходим в нет)

[Ilya Evseev]

он через другой интерфейс лезит как я понял (89.236.197.202 это выданый нам ип через который мы сейчас ходим в нет)

Покажите вывод iptables-save.

[slavikeks]

Отправил ЛС

[alexmern]

Сделайте source routing для ваших новых адресов на новый пир с ТПС. У вас default стоит на старый пир, а там src фильтр есть, вот от вас исходящий и не идет в мир. Остальное вроде всё норм.

http://lartc.org/howto/lartc.rpdb.html

[vlad11]

Сеть уже в глобальной таблицы.

Но бордер не пингуется.

Пробуйте выключить нафиг firewall.

[slavikeks]

Сделайте source routing для ваших новых адресов на новый пир с ТПС. У вас default стоит на старый пир, а там src фильтр есть, вот от вас исходящий и не идет в мир. Остальное вроде всё норм.

http://lartc.org/howto/lartc.rpdb.html

Есть сдвиги!

прописал просто для примера маршрут на один из онлайн пинг сервисов

ip ro add 217.65.10.170 via 80.80.209.213 src 91.234.218.1 и наш роутер начал оттуда пинговатся!

Могу ли я назначить 2й дефолт гейт только для конкретной подсети или для конкретного интерфейса?

К примеру мы даём конечному хосту адрес из нашей сети 91.234.218.0 и гейтом указываем наш роутер у которого ип 91.234.218.1.

А нат который у нас работает на других интерфейсах не трогаем.

PS Извените пожалуйста, если я не ясно выразился.

[alexmern]

Можно. По приведенной выше ссылке написано как добавить второй default route.

[slavikeks]

Всем ОГРОМНОЕ спасибо сделал source routing и всё заработало.

Ещё раз всем огромное спасибо за помощь.