Jump to content

Объединение двух VPN

shvlad1
 Share

Recommended Posts

shvlad1

shvlad1

Posted
Posted (edited)

Приветствую.

Есть два линка от двух точек обмена трафиком, каждый - в своем отдельном VPN.

Первая

route-distinguisher A:2;
vrf-target {
   import target:A:2;
   export target:A:2;
}

 

Вторая

vrf definition ффф
description --Only ффф--
rd 42861:50952
route-target export A:50952
route-target import A:50952
!
address-family ipv4
route-target export A:50952
route-target import A:50952
maximum routes 20000 75
exit-address-family
!
address-family ipv6
route-target export A:50952
route-target import A:50952
maximum routes 2000 75
exit-address-family

 

Задача - создать объединенный VPN c префиксами от двух этих обменников.

При этом не служа транзитом между этими двумя обменниками.

 

Думаю, создать для этого новый vrf.

Про импорт все ясно, две RT на импорт

route-target import A:50952
route-target import A:2

Про экспорт: экспортировать в обе VPN только клиентские сети, матчить по коммьюнити/префикс-листам и добавлять два rt-extcommunity: A:50952 и A:2

 

Жизнеспособна данная схема?

Будет у меня возможность вставить два extcommunity в route-map?

Edited by shvlad1
srg555

srg555

Posted
Posted (edited)

Жизнеспособна данная схема?

Да, если я правильно понял ваше описание задачи

 

Будет у меня возможность вставить два extcommunity в route-map?

Да, без проблем.

 
route-map XXX
set extcommunity rt  A:2 A:50952 additive

 

Только не понятно зачем что-то матчить на cisco. На Cisco 99% задач L3VPN решается путём импортов-экспортов без роут-мапов. Как правило, делается либо несколько импортов, либо несколько экспортов

 

На Juniper, к сожаленью, несколько импортов или экспортов указать нельзя в конфиге routing-instance, там придётся писать import/export policy, с матингом по ext-комьюнити и ассептом для импорта и навешивания ext-community для экспорта, но по сути это одно и тоже, только конфиг не такой красивый как Cisco получается

Edited by srg555
shvlad1

shvlad1

Posted
  • Author
Posted

не работает такая схема, точнее нет маршрутов в объединенной VRF на другом PE-роутере сети.

Пробовал и с export-map и без нее, только локальные префиксы передаются.

Где недокрутил? Сенкс

Building configuration...

Current configuration : 575 bytes
vrf definition DpG

rd A:26
route-target export A:26
route-target import A:26
!
address-family ipv4
export map DpG_EXPORT
route-target export A:26
route-target import A:26
route-target import A:2
route-target import A:50952
maximum routes 40000 90
exit-address-family
!
!
interface Loopback1000
vrf forwarding DpG
ip address 20.20.20.20 255.255.255.255
!
router bgp A
!
address-family ipv4 vrf DpG
 no synchronization
 network 20.20.20.20 mask 255.255.255.255
exit-address-family
!
end

#show run | beg ^route-map DpG_EXPORT
route-map DpG_EXPORT permit 1
description --- Export DpG ---
match extcommunity 1
set extcommunity rt  A:26 additive
!
route-map DpG_EXPORT permit 2
match ip address prefix-list AS-CLIENT-IMPORT
set extcommunity rt  A:26 additive

srg555

srg555

Posted
Posted (edited)

Давайте по порядку. У вас ebgp ipv4 с клиентом в vrf, вы хотите эти префиксы передать в ibgp vpnv4, так? Если так, то есть ли nexthop-self в ibgp vpnv4?

Из конфига не понятно откуда берутся префиксы в vrf и куда их надо передать.

Покажите received-routes от клиента и advertised в сторону vpnv4-пира.

Edited by srg555
shvlad1

shvlad1

Posted
  • Author
Posted

Давайте по порядку. У вас ebgp ipv4 с клиентом в vrf, вы хотите эти префиксы передать в ibgp vpnv4, так?

 

ДА.

 

Если так, то есть ли nexthop-self в ibgp vpnv4?

 

Нет, нету. Нужен? яяяя.128 - это route-reflector.

address-family vpnv4
 neighbor IBGP-peer send-community both
 neighbor яяяяя.128 activate
exit-address-family

 

 

Из конфига не понятно откуда берутся префиксы в vrf и куда их надо передать.

Префиксы одного берутся из прямой сессии в VRF1.

 

address-family ipv4 vrf DATAIX
 no synchronization
 neighbor 178.18.224.100 description RS1
......
 neighbor 178.18.227.100 maximum-prefix 20000
exit-address-family

 

Префиксы второго прилетают по vpnv4 ibgp c другого роутера, juniper - его конфиг был выше.

 

Сейчас %MLSCEF-SP-4-FIB_EXCEPTION_THRESHOLD: Hardware CEF entry usage is at 95% capacity for IPv4 unicast protocol - до расширения капасити прекращаю пока опыты, на несколько дней.

 

 

 

Покажите received-routes от клиента и advertised в сторону vpnv4-пира.

 

received-routes от клиента - весь DATAIX

 

 

advertised - только заданная командой network сеть

srg555

srg555

Posted
Posted

Нет, нету. Нужен? яяяя.128 - это route-reflector.

 

Да, в сторону ibgp vpnv4-пиров нужно выставить next-hop-self, т.е. в вашем случае в сторону RR

 

advertised - только заданная командой network сеть

Я просил advertised в сторону vpnv4-пира(т.е. в сторону RR), а не в сторону клиента в ipv4 vrf. vpnv4 и ipv4 vrf это две огромные разницы

shvlad1

shvlad1

Posted
  • Author
Posted

Я просил advertised в сторону vpnv4-пира(т.е. в сторону RR), а не в сторону клиента в ipv4 vrf. vpnv4 и ipv4 vrf это две огромные разницы

 

я понимаю разницу между AF

ответил, что в сторону vpnv4 ibgp соседа (rr) нет анонсов, только анонс vpnv4 адреса тестового лупбэка.

Думаю, в определении объединенного VRF необходимо явно с помощью import map указывать, что импортировать, разных route-target import недостаточно.

 

 

Origin codes: i - IGP, e - EGP, ? - incomplete

  Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: A:26 (default for vrf DpG)
*> 20.20.20.20/32   0.0.0.0                  0         32768 i

Total number of prefixes 1

srg555

srg555

Posted
Posted

shvlad1

У вас проблема, в том что маршруту не уходят в сторону vpnv4-пира. импорты или импорт-мапы на это никак не влияют, они влияют на то какие префиксы принимать от vpnv4-пиров

 

с nexthop-селфом тоже не уходят? Просто сами подумайте, если nexthop-селфа нет, то что передавать как nexthop? (и даже если и передать ip соседа в vrf, то как его резолвить в LSP, он же в vrf, а LSP резолвится по inet.3)

shvlad1

shvlad1

Posted
  • Author
Posted

Понял, все из-за хитрой схемы подключения ce - фактически в клиентских vrf используется ibgp (сессии с се устанавливаем с номером собственной аски).

У кого есть опыт использования ibgp в качестве ce-pe протокола, поделитесь опытом.

Сейчас откопал какой-то драфт на эту тему, изучаю, вроде и на саарптфорумс цискином чо-то есть.

srg555

srg555

Posted
Posted

Давайте по порядку. У вас ebgp ipv4 с клиентом в vrf, вы хотите эти префиксы передать в ibgp vpnv4, так?

 

ДА.

фактически в клиентских vrf используется ibgp (сессии с се устанавливаем с номером собственной аски).

 

Вот специально конкретизировал вопрос, явно спрашивая про ebgp и ibgp...

 

Самый простой вариант для вас с минимальной перенастройкой CE - это с вашей стороны прикинуться другой AS(какой-нибудь серой), фича называется local-as, что на клиентской на стороне перенастроить только вашу AS в своём конфиге, в идеале это всего одну строчку заденет

 

Ещё можно попытаться на input bgp-сессии с клиентом в vrf повесить route-map, который будет подменять AS-PATH, не знаю возможно ли это на cisco, но попробовать стоит.

srg555

srg555

Posted
Posted

А вообще, чтобы не иметь геморрой с as-path loop allow, remove-as и прочими мерзостями, лучше сделайте по-человечески, нормальное ebgp, в рамках vrf(и его импортов-экспортов) на каждом ebgp-стыке с разными сайтами выделяйте свой номер as

shvlad1

shvlad1

Posted
  • Author
Posted

Самый простой вариант для вас с минимальной перенастройкой CE - это с вашей стороны прикинуться другой AS(какой-нибудь серой), фича называется local-as, что на клиентской на стороне перенастроить только вашу AS в своём конфиге, в идеале это всего одну строчку заденет

 

Ещё можно попытаться на input bgp-сессии с клиентом в vrf повесить route-map, который будет подменять AS-PATH, не знаю возможно ли это на cisco, но попробовать стоит.

.

мы же просто так это городили, не пойдет нам это.

выяснил, у циски фитча называется l3vpn ibpgp pe-ce, на 76ых нет ее.

Джунипер нормально отдал в inet-vpn bgp полученные в vrf по ibgp маршруты (правда потом получил их обратно в bgp.l3vpn), может и на циске придумать чо можно.

Вроде как с nextхопами люди заморачиваются и решают проблемы, посмотрим.

спасибо.

srg555

srg555

Posted
Posted (edited)

Можно попробовать shamlink поднять и обменяться префиксами через него. изврат конечно, но у вас вся схема судя по всему плацдарм для траблшутингов 80 уровня

 

За то сможете на себе прочувствовать подвиг яндекса на тему redistribute bgp в ospf :) не fv конечно, но всё же

Edited by srg555
applx

applx

Posted
Posted

Можно попробовать shamlink поднять и обменяться префиксами через него. изврат конечно, но у вас вся схема судя по всему плацдарм для траблшутингов 80 уровня

 

За то сможете на себе прочувствовать подвиг яндекса на тему redistribute bgp в ospf :) не fv конечно, но всё же

 

какой шам линк, эта фича оспф. делайте ебгп pe-ce и as-override с SOO

shvlad1

shvlad1

Posted
  • Author
Posted

на джунипере нашел, фитча называется independent-domain.

http://www.juniper.net/techpubs/en_US/junos/topics/usage-guidelines/vpns-configuring-layer-3-vpns-to-carry-ibgp-traffic.html

применил - обратные анонсы от vpnv4 ibgp соседа исчезли, исчезли и hidden routes в bgp.l3vpn

 

на 76ых гемор какой-то, наверно, на ebgp перейдем.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.