Jump to content
Калькуляторы

Не заработала маршрутизация где ошибка?

Необходим линк 10G.

Из доступного железа есть коммутатор L3 QTECH QSW-3900.

Собрал схему, как на рисунке.

Сконфигурировал примерно так:

 

AGR01

vlan 1001
description UPLINK1
exit
vlan 1011
description DOWNLINK1
exit
vlan 1012
description DOWNLINK2
exit

channel-group 1
exit
interface range ethernet 0/1/1
switchport mode access
switchport default vlan 1001
exit
interface ethernet 0/0/24
switchport mode access
switchport default vlan 1012
exit
interface range ethernet 0/0/3 to ethernet 0/0/4
channel-group 1 mode on
switchport mode access
switchport default vlan 1011
exit

interface vlan-interface 1001
ip address XX.XX.XX.146 255.255.255.252
exit
interface vlan-interface 1011
ip address 10.1.3.45 255.255.255.252
exit 
interface vlan-interface 1012
ip address 10.1.3.49 255.255.255.252
exit 
interface loopback-interface 0
ip address 10.1.255.1 255.255.255.255
exit

router bgp YYYYY
network AA.AA.AA.0 mask 255.255.255.0
network BB.BB.BB.0 mask 255.255.255.0
neighbor XX.XX.XX.145 remote-as ZZZZZ
exit
ip route 10.0.0.0 255.0.0.0 10.1.3.5
ip route AA.AA.AA.0 255.255.255.0 10.1.3.50
ip route BB.BB.BB.0 255.255.255.0 10.1.3.46

 

C7201

interface GigabitEthernet0/3
ip address 10.1.3.50 255.255.255.252
exit

ip classless
ip route 0.0.0.0 0.0.0.0 10.1.3.49
ip route 10.0.0.0 255.254.0.0 10.1.3.253

 

 

SE100

context local

ip access-list UPLINK_IN
 seq 9999 permit ip any any
 exit

interface UPLINK
 ip address 10.1.3.46/29
 ip access-group UPLINK_IN in count
 exit

ip route 0.0.0.0/0 10.1.3.45
ip route 10.0.0.0/16 10.1.3.249
ip route 10.1.0.0/16 10.1.3.249
ip route 10.1.128.0/24 10.1.3.249
ip route 10.1.255.3/32 10.1.3.14

port ethernet 2/2
bind interface UPLINK local
exit
port ethernet 2/2
shutdown
exit

 

С AGR01 я пингую все: PE провайдера (XX.XX.XX.145), CE даунлинков (10.1.3.46, 10.1.3.50), внешнюю сеть (8.8.8.8).

sh route показывает, что дефолтовым шлюзом является XX.XX.XX.145, этот маршрут приходит по BGP, остальные маршруты прописаны статикой.

С SE100 и C7201 я пингую PE (10.1.3.45, 10.1.3.49), пингую CE бордера (XX.XX.XX.146), но PE бордера (XX.XX.XX.145) не пингуется, также не пингуется внешняя сеть (8.8.8.8).

network.png

Share this post


Link to post
Share on other sites

A kakim rakom ono zarabotaet esli na cisco i se private IP?

Share this post


Link to post
Share on other sites

Loopbacki sozdai na cisco i se i pingyi source from loop

Share this post


Link to post
Share on other sites

Мда...

Заработался.

 

То есть на C7201 и SE100 создаю лупбэки с публичными адресами (AA.AA.AA.254/24, BB.BB.BB.254/24) и на AGR01 прописываю маршруты:

ip route AA.AA.AA.254 255.255.255.255 10.1.3.50
ip route AA.AA.AA.0 255.255.255.0 AA.AA.AA.254

Так?

Share this post


Link to post
Share on other sites

po4emy bu ne nastroiti iBGP mejdy SE Cisco i Qtech? I prosto dobaviti network statement vashego loopback. Nafig voznya so static? Ya kak ponyal Qtech y vas toliko kak transit dlya 10G? Togda BGP na nei voobshe ne nyjen. Kakova zada4ya dannogo resheniya? Esli klientu sidyat za SE i Cisco to im nyjnu pulic IP, ny ili 4tob etije devaisu natili.

Share this post


Link to post
Share on other sites

Подсетей/маршрутов у меня немного, поэтому у меня статика, а не динамика. BGP по сути не нужен (аплинк один), но у вышестоящего оператора статика не используется, поэтому использую BGP и принимаю дефолтный маршрут (FV не потянет).

NAT тоже не используется, у клиентов публичные адреса.

У меня задача — принять 2-3 Гбит/с по 10G-интерфейсу. Поэтому QTECH, у него есть интерфейсы 10G, другие железки имеют только гигабитные интерфейсы.

Share this post


Link to post
Share on other sites

Клиенты по L2 приходят на BRAS и там терминируются. На SE100 PPPoE, на C7201 статикой (/30).

Share this post


Link to post
Share on other sites

Вообщем не получился каменный цветок.

На QTECH можно только два петлевых интерфейса создать, причем один у меня уже используется.

Пришлось транспорт на публичных /30 делать.

Share this post


Link to post
Share on other sites

Зачем вам два лупбэка на свиче? Причина почему я их вам предложил была только для теста коннективити. Трансит сабнет (/30 или /31) вполне может быть приватнои. Проще пирится по БГП между всеми девайсами и анонсить локальные сабнеты нежели разводить статику.

Share this post


Link to post
Share on other sites

Вообще то если правильней сделать на Qtech поднимаете bgp, а в сторону Cisco и SE-100 поднимаете ospf, но у Qtech мало памяти для bgp, я бы советовал его применить просто как L2 железо, а bgp поднять на SE-100, изучайте bgp и ospf, а лучьше поставить 10G Cisco ASR, у нас сеть построена так

 

10G ---L3 QTECH QSW-8300----10G(bgp)----BGP BRAS------1G(ospf)----PPPOE Сервера

Edited by alexaaa

Share this post


Link to post
Share on other sites

Причина почему я их вам предложил была только для теста коннективити.

Но связность у меня была и в первом случае. Все железки друг друга пинговали.

Проблема была в том, что PE вышестоящего оператора про приватные сети ничего не знал и ответные пакеты не проходили.

 

Трансит сабнет (/30 или /31) вполне может быть приватнои.

Не могли бы показать пример?

Я не соображу, как это сделать без ната.

 

у Qtech мало памяти для bgp

Ну у меня ведь не полноценный BGP, я только дефолтовый маршрут принимаю.

С этим QTECH справляется без проблем.

Я думал и о том, чтобы прогнать трафик по L2 до BRAS, но у меня фактически два BRAS (SE100 для PPPoE и C7201 для выделенной линии CVLAN со статическими подсетями /30), поэтому чтобы трафик не гонять, лучше его разделять на бордере.

 

а лучьше поставить 10G Cisco ASR

Если бы такая была, может быть и лучше.

Share this post


Link to post
Share on other sites

У меня тут вопрос с намеком. NAT БУДЕТЕ ДЕЛАТЬ ?

Share this post


Link to post
Share on other sites

У вас клиенты получают белый IP, так? Терминируются на Редбаке и Циско, так? Если на Циске и Редбаке есть дефолтный маршрут то клиенты спокойно могут ходить в интернет через КЮтек на котором прописаны статические маршруты до клиентских подсетей.

 

В вашем случае я бы повесил БГП на все девайсы, клиентские сети анонсил с тех железок на которых они терминируются. Пирился бы лупбаками (можно паблик). ОСПФ чисто для пиринга БГП (только лупбаки и транситные сети). На КЮтек просто анонсим ваш супернет апстриму.

 

Как уже говорил если надо чтоб Циска и Редбак видели "мир" на них нужен паблик IP (тотже лупбак - ping x.x.x.x source loopbackXYZ), транзитные подсети при этом могут быть приватными и НАТа не надо, соур то публичного IP.

Edited by applx

Share this post


Link to post
Share on other sites

NAT БУДЕТЕ ДЕЛАТЬ ?

Нет.

 

В вашем случае я бы повесил БГП на все девайсы, клиентские сети анонсил с тех железок на которых они терминируются. Пирился бы лупбаками (можно паблик). ОСПФ чисто для пиринга БГП (только лупбаки и транситные сети). На КЮтек просто анонсим ваш супернет апстриму.

Понятно. Попробую так сделать.

Share this post


Link to post
Share on other sites

Спрошу еще раз. :-)

Почему в вашей конфигурации должны пинговаться сети провайдера и тем более публичные адреса, с ваших частных адресов ?

Share this post


Link to post
Share on other sites

Да я уже понял, в чем я вначале ошибся.

На публичных линках все работает.

Просто белых адресов маловато, хотел сэкономить.

В своей сети я иногда смешиваю приватные и публичные сети, вот и не сообразил сразу, что у провайдера так не выйдет.

Share this post


Link to post
Share on other sites

Скажите а вчем смысл 10g если ни 7201 ни SE100 не могут прокачает такой трафик. В тоже время 3900 не место там куда вы его поставили.

Share this post


Link to post
Share on other sites

Ну это линк 10G, а канал скромнее — 2-3 гигабита.

Когда дойду до 4-5 — поставлю еще один SE100.

Ну а когда таким образом дойду до 6-7 гигабит, то задумаюсь о SE600.

Share this post


Link to post
Share on other sites

Тогда конечно все печально. 3900 там только физику держать в 10g. Нужны вам еще public адреса, хотябы парочку на SE и на 7201.

Share this post


Link to post
Share on other sites

Буду смотреть по нагрузке.

Во всяком случае полтора гигабита при такой схеме маршрутизируется без проблем (cpu idle больше 90%).

MTU ведь одинаковый, перепаковывать пакеты не нужно, откуда нагрузке взяться?

Share this post


Link to post
Share on other sites

Малотить то будет. Просто бардюр из 3900 никакой. Фич никаких, слаб на таблицу рутинга. Плюс поставить его в раскорячку по процессору не сложно. А он ведь в опасный мир смотрит. :-)))

 

Если бы мне пришлось ставить 3900 в сторону инета, я бы ему не давал real IP. Взял бы у провайдера не /30 а /28 , дал бы 7200 и se 100 по адресу а через 3900 просто прокинул бы vlan-ом.

Share this post


Link to post
Share on other sites

Я бы по другому поступил. Причем многие знают как.

Share this post


Link to post
Share on other sites

Фич никаких, слаб на таблицу рутинга.

Ну фич мне никаких и не надо. А вот CPU там конечно слабое место.

 

Если бы мне пришлось ставить 3900 в сторону инета, я бы ему не давал real IP. Взял бы у провайдера не /30 а /28 , дал бы 7200 и se 100 по адресу а через 3900 просто прокинул бы vlan-ом.

Ну идея конечно неплохая, я тоже подумывал о том, чтобы использовать транспорт L2, а не L3.

Но во-первых для этого нужно подсеть расширить хотя бы до /29, а провайдер что-то не дает.

А во-вторых, тогда получаются два бордера и на каждом нужно будет BGP поднимать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this