shvlad1 Опубликовано 16 сентября, 2013 (изменено) · Жалоба Приветствую. Есть два линка от двух точек обмена трафиком, каждый - в своем отдельном VPN. Первая route-distinguisher A:2; vrf-target { import target:A:2; export target:A:2; } Вторая vrf definition ффф description --Only ффф-- rd 42861:50952 route-target export A:50952 route-target import A:50952 ! address-family ipv4 route-target export A:50952 route-target import A:50952 maximum routes 20000 75 exit-address-family ! address-family ipv6 route-target export A:50952 route-target import A:50952 maximum routes 2000 75 exit-address-family Задача - создать объединенный VPN c префиксами от двух этих обменников. При этом не служа транзитом между этими двумя обменниками. Думаю, создать для этого новый vrf. Про импорт все ясно, две RT на импорт route-target import A:50952 route-target import A:2 Про экспорт: экспортировать в обе VPN только клиентские сети, матчить по коммьюнити/префикс-листам и добавлять два rt-extcommunity: A:50952 и A:2 Жизнеспособна данная схема? Будет у меня возможность вставить два extcommunity в route-map? Изменено 16 сентября, 2013 пользователем shvlad1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 сентября, 2013 (изменено) · Жалоба Жизнеспособна данная схема? Да, если я правильно понял ваше описание задачи Будет у меня возможность вставить два extcommunity в route-map? Да, без проблем. route-map XXX set extcommunity rt A:2 A:50952 additive Только не понятно зачем что-то матчить на cisco. На Cisco 99% задач L3VPN решается путём импортов-экспортов без роут-мапов. Как правило, делается либо несколько импортов, либо несколько экспортов На Juniper, к сожаленью, несколько импортов или экспортов указать нельзя в конфиге routing-instance, там придётся писать import/export policy, с матингом по ext-комьюнити и ассептом для импорта и навешивания ext-community для экспорта, но по сути это одно и тоже, только конфиг не такой красивый как Cisco получается Изменено 16 сентября, 2013 пользователем srg555 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 17 сентября, 2013 · Жалоба не работает такая схема, точнее нет маршрутов в объединенной VRF на другом PE-роутере сети. Пробовал и с export-map и без нее, только локальные префиксы передаются. Где недокрутил? Сенкс Building configuration... Current configuration : 575 bytes vrf definition DpG rd A:26 route-target export A:26 route-target import A:26 ! address-family ipv4 export map DpG_EXPORT route-target export A:26 route-target import A:26 route-target import A:2 route-target import A:50952 maximum routes 40000 90 exit-address-family ! ! interface Loopback1000 vrf forwarding DpG ip address 20.20.20.20 255.255.255.255 ! router bgp A ! address-family ipv4 vrf DpG no synchronization network 20.20.20.20 mask 255.255.255.255 exit-address-family ! end #show run | beg ^route-map DpG_EXPORT route-map DpG_EXPORT permit 1 description --- Export DpG --- match extcommunity 1 set extcommunity rt A:26 additive ! route-map DpG_EXPORT permit 2 match ip address prefix-list AS-CLIENT-IMPORT set extcommunity rt A:26 additive Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 (изменено) · Жалоба Давайте по порядку. У вас ebgp ipv4 с клиентом в vrf, вы хотите эти префиксы передать в ibgp vpnv4, так? Если так, то есть ли nexthop-self в ibgp vpnv4? Из конфига не понятно откуда берутся префиксы в vrf и куда их надо передать. Покажите received-routes от клиента и advertised в сторону vpnv4-пира. Изменено 17 сентября, 2013 пользователем srg555 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 17 сентября, 2013 · Жалоба Давайте по порядку. У вас ebgp ipv4 с клиентом в vrf, вы хотите эти префиксы передать в ibgp vpnv4, так? ДА. Если так, то есть ли nexthop-self в ibgp vpnv4? Нет, нету. Нужен? яяяя.128 - это route-reflector. address-family vpnv4 neighbor IBGP-peer send-community both neighbor яяяяя.128 activate exit-address-family Из конфига не понятно откуда берутся префиксы в vrf и куда их надо передать. Префиксы одного берутся из прямой сессии в VRF1. address-family ipv4 vrf DATAIX no synchronization neighbor 178.18.224.100 description RS1 ...... neighbor 178.18.227.100 maximum-prefix 20000 exit-address-family Префиксы второго прилетают по vpnv4 ibgp c другого роутера, juniper - его конфиг был выше. Сейчас %MLSCEF-SP-4-FIB_EXCEPTION_THRESHOLD: Hardware CEF entry usage is at 95% capacity for IPv4 unicast protocol - до расширения капасити прекращаю пока опыты, на несколько дней. Покажите received-routes от клиента и advertised в сторону vpnv4-пира. received-routes от клиента - весь DATAIX advertised - только заданная командой network сеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 · Жалоба Нет, нету. Нужен? яяяя.128 - это route-reflector. Да, в сторону ibgp vpnv4-пиров нужно выставить next-hop-self, т.е. в вашем случае в сторону RR advertised - только заданная командой network сеть Я просил advertised в сторону vpnv4-пира(т.е. в сторону RR), а не в сторону клиента в ipv4 vrf. vpnv4 и ipv4 vrf это две огромные разницы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 17 сентября, 2013 · Жалоба Я просил advertised в сторону vpnv4-пира(т.е. в сторону RR), а не в сторону клиента в ipv4 vrf. vpnv4 и ipv4 vrf это две огромные разницы я понимаю разницу между AF ответил, что в сторону vpnv4 ibgp соседа (rr) нет анонсов, только анонс vpnv4 адреса тестового лупбэка. Думаю, в определении объединенного VRF необходимо явно с помощью import map указывать, что импортировать, разных route-target import недостаточно. Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: A:26 (default for vrf DpG) *> 20.20.20.20/32 0.0.0.0 0 32768 i Total number of prefixes 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 · Жалоба shvlad1 У вас проблема, в том что маршруту не уходят в сторону vpnv4-пира. импорты или импорт-мапы на это никак не влияют, они влияют на то какие префиксы принимать от vpnv4-пиров с nexthop-селфом тоже не уходят? Просто сами подумайте, если nexthop-селфа нет, то что передавать как nexthop? (и даже если и передать ip соседа в vrf, то как его резолвить в LSP, он же в vrf, а LSP резолвится по inet.3) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 17 сентября, 2013 · Жалоба Понял, все из-за хитрой схемы подключения ce - фактически в клиентских vrf используется ibgp (сессии с се устанавливаем с номером собственной аски). У кого есть опыт использования ibgp в качестве ce-pe протокола, поделитесь опытом. Сейчас откопал какой-то драфт на эту тему, изучаю, вроде и на саарптфорумс цискином чо-то есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 · Жалоба Давайте по порядку. У вас ebgp ipv4 с клиентом в vrf, вы хотите эти префиксы передать в ibgp vpnv4, так? ДА. фактически в клиентских vrf используется ibgp (сессии с се устанавливаем с номером собственной аски). Вот специально конкретизировал вопрос, явно спрашивая про ebgp и ibgp... Самый простой вариант для вас с минимальной перенастройкой CE - это с вашей стороны прикинуться другой AS(какой-нибудь серой), фича называется local-as, что на клиентской на стороне перенастроить только вашу AS в своём конфиге, в идеале это всего одну строчку заденет Ещё можно попытаться на input bgp-сессии с клиентом в vrf повесить route-map, который будет подменять AS-PATH, не знаю возможно ли это на cisco, но попробовать стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 · Жалоба А вообще, чтобы не иметь геморрой с as-path loop allow, remove-as и прочими мерзостями, лучше сделайте по-человечески, нормальное ebgp, в рамках vrf(и его импортов-экспортов) на каждом ebgp-стыке с разными сайтами выделяйте свой номер as Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 17 сентября, 2013 · Жалоба Самый простой вариант для вас с минимальной перенастройкой CE - это с вашей стороны прикинуться другой AS(какой-нибудь серой), фича называется local-as, что на клиентской на стороне перенастроить только вашу AS в своём конфиге, в идеале это всего одну строчку заденет Ещё можно попытаться на input bgp-сессии с клиентом в vrf повесить route-map, который будет подменять AS-PATH, не знаю возможно ли это на cisco, но попробовать стоит. .мы же просто так это городили, не пойдет нам это. выяснил, у циски фитча называется l3vpn ibpgp pe-ce, на 76ых нет ее. Джунипер нормально отдал в inet-vpn bgp полученные в vrf по ibgp маршруты (правда потом получил их обратно в bgp.l3vpn), может и на циске придумать чо можно. Вроде как с nextхопами люди заморачиваются и решают проблемы, посмотрим. спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 (изменено) · Жалоба Можно попробовать shamlink поднять и обменяться префиксами через него. изврат конечно, но у вас вся схема судя по всему плацдарм для траблшутингов 80 уровня За то сможете на себе прочувствовать подвиг яндекса на тему redistribute bgp в ospf :) не fv конечно, но всё же Изменено 17 сентября, 2013 пользователем srg555 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 17 сентября, 2013 · Жалоба Можно попробовать shamlink поднять и обменяться префиксами через него. изврат конечно, но у вас вся схема судя по всему плацдарм для траблшутингов 80 уровня За то сможете на себе прочувствовать подвиг яндекса на тему redistribute bgp в ospf :) не fv конечно, но всё же какой шам линк, эта фича оспф. делайте ебгп pe-ce и as-override с SOO Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 17 сентября, 2013 · Жалоба да понятно что надо делать ebgp, но автор топика иного мнения, хочет извратов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 18 сентября, 2013 · Жалоба на джунипере нашел, фитча называется independent-domain. http://www.juniper.net/techpubs/en_US/junos/topics/usage-guidelines/vpns-configuring-layer-3-vpns-to-carry-ibgp-traffic.html применил - обратные анонсы от vpnv4 ibgp соседа исчезли, исчезли и hidden routes в bgp.l3vpn на 76ых гемор какой-то, наверно, на ebgp перейдем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...