[amadeus71rus]

Суть такова. Есть Mikrotik RB951G-2HnD, v.5.25.

 

От провайдера получен IP 78.24.29.129, маска 255.255.255.252, шлюз 78.24.29.130

 

IP рописан на Ether1. Шлюз в IP-Routes.

 

Есть PA адреса 141.101.200.0-141.101.200.255 и номер AS 200020

 

Поднята BGP сесия с провайдером через 78.24.29.129 на 78.24.29.130. Состояние - established. Сеть 141.101.200.0/24 анонсирована.

 

IP 141.101.200.1 прописан на Ether2.

 

При подключении компа со статикой 141.101.200.10, 255.255.255.0, шлюз 141.101.200.1 - пингуется только Ether1 и Ether2. Доступа в мир нет.

 

При включении маскарадинга донной подсети - доступ в мир есть, но определяется IP - 78.24.29.129, что в принципе логично.

 

Как заставить компы ходить в мир без NAT? Что забыл?

[agr]

Очевидно ваш провайдер или/и провайдер вашего провайдера фильтрует анонсы по объектам RIPE, для указанной вами сети 141.101.200.0/24 нет route объекта.

Изменено 31 октября, 2013 пользователем agr

[amadeus71rus]

Т.е. принципиально настройки правильные? Никакого еще маршрута между моей подсетью и шлюзом провайдера не должно быть? Он у меня не пингуется.

 

Провайдер сегодня все настроил у себя по дефолтным маршрутам. Сказал должно работать...

Изменено 31 октября, 2013 пользователем amadeus71rus

[Night_Snake]

Смотрим, анонсы BGP. Какие префиксы приходят, какие уходят.

Просим посмотреть провайдера, что он видит от нас.

BGP-сосед пинговаться, вообще, не обязан, но обычно это просто хороший тон.

[adnull]

% Information related to '141.101.200.0/23as58272'

 

route: 141.101.200.0/23

descr: LeaderTelecom Route

origin: as58272

mnt-by: lidertelecom-mnt

source: RIPE #Filtered

 

Вы взяли в аренду PA у Иванова? А оговоренный способ доставки адресов какой?

 

А вообще надо через looking glass смотреть, пошли анонсы в вышестоящую сеть или нет. А может у них на бордере acl-ка какая-то. Я так с РТ попал - долго выясняли почему не работает.

[amadeus71rus]

Простите за отсутствие. Какой-то странный отсчет сообщений для новичков. Форум несколько дней не давал написать сообщение. Ну да ладно.

 

Все оказалось правильным. Нужно было набраться терпения и подождать обновления баз провайдеров. Через сутки все заработало.

 

IP изменены и взяты для примера. Хотя и взяты в аренду у Leader Telecom. Я часто работаю с HostingСonsult. У них подороже - зато все четко.

 

Всем спасибо.

[amadeus71rus]

Вынужден снова открыть тему. При работающем BGP - загрузка процессора 100%! Основной процесс - routing. FullView не использую, роутер получил туеву хучу маршрутов (более 300 тыс.) Что сделать, чтобы снизить нагрузку CPU?

[sexst]

Убрать маршруты. 300к ему в оперативку не влезут просто.

[ArcticFox]

Добавлю свои пару вопросов:

а) Имеет ли смысл при 3 аплинках принимать от них 3 ФВ в разные таблицы и далее их уже мешать в общую? Или рациональнее сразу всё разрулить внутри одного инстанса/таблицы.

б) Правильно ли настроен приём маршрута по умолчанию? Фильтры следующие:

eBGP-instance1-out
1. Chain eBGP-instance1-out prefix=1.1.1.1/22 prefix-lenght=22-25 action=accept (отдаём сетки от 22 до 25, учитывая специфики, подготовка на мультихоминг)
2. Chain  eBGP-instance1-out prefix=0.0.0.0 prefix-lenght=0-32 action=discard (все остальные в сброс)
eBGP-i1-uplink-out
3. Chain eBGP-i1-uplink-out prefix=1.1.1.1/22 prefix-lenght=22-25 action=accept (повторение правила №1, потом буду резать)
4. Chain eBGP-i1-uplink-out prefix=0.0.0.0/0 prefix-lenght=0-32 action=discard (всё в сброс, полностью дублирую правила инстанса)
eBGP-i1-uplink-in
5. Chain eBGP-i1-uplink-in prefix=0.0.0.0/0 prefix-lenght=0 action=accept (принять только 0.0.0.0/0)
D 6. Chain eBGP-i1-uplink-in prefix=0.0.0.0/0 prefix-lenght=0-32 action=accept (принять Full-table)
7. Chain eBGP-i1-uplink-in prefix-list=10.0.0.0/8 prefix-lenght=8-32 action=discard (7-9 - сброс барабашек, прошедших мимо фильтров провайдера)
8. Chain eBGP-i1-uplink-in prefix-list=172.16.0.0/12 prefix-lenght=12-32 action=discard
9. Chain eBGP-i1-uplink-in prefix-list=192.168.0.0 prefix-lenght=16-32 action=discard

[vlad11]

Добавлю свои пару вопросов:

а) Имеет ли смысл при 3 аплинках принимать от них 3 ФВ в разные таблицы и далее их уже мешать в общую? Или рациональнее сразу всё разрулить внутри одного инстанса/таблицы.

 

Имеет смысл разделить FV на три части, в зависимости от толщины 3-х аплинков, ограничить прием сетей мельче /19.

Можно еще разбить на более мелкие части в шахматном порядке.

Можно еще принимать три дефолта и балансировать исход средствами Микротика.

 

По своему опыту настроек BGP у Микротика, многие настройки неочевидны и мало поддаются диагностике.

Советую использовать quagga/bird под *nix.

Изменено 30 ноября, 2013 пользователем vlad11

[ArcticFox]

По своему опыту настроек BGP у Микротика, многие настройки неочевидны и мало поддаются диагностике.

Советую использовать quagga/bird под *nix.

 

Вот по этому пункту, к сожалению я испытываю проблему, стоит CCR1036, кстати весьма серьёзная молотилка, за свои деньги...

С кваггой - более или менее понятно, а вот здесь я испытываю трудности в фильтрах маршрутов и в логической цепочке обработки цепочек в BGP (простите за тавтологию).

 

Эх... внимательность, внимательность и ещё раз внимательность!

Всё было в порядке расположения позиций в цепочках.

[amadeus71rus]

Убрать маршруты. 300к ему в оперативку не влезут просто.

 

Маршруты получаются и прописываются автоматически. Как их убрать, чтоб работало?

 

Или имеет смысл приобрести что-то помощнее, например RB1100AHx2?

[amadeus71rus]

Вот скрины настроек:

 

 

 

[sexst]

Вот восьмым правилом у вас accept маршрутов с BGP. Если у вас только default, нафиг их принимать? фильтруйте все и делайте один маршрут на 0.0.0.0.

 

Или имеет смысл приобрести что-то помощнее, например RB1100AHx2?

Если вам так будет проще, то тоже решение. Берете железку с хотя бы 512 (а лучше гигом оперативки) и все влезет. Только отфильтровать то оно бесплатно)

[amadeus71rus]

Вот восьмым правилом у вас accept маршрутов с BGP. Если у вас только default, нафиг их принимать? фильтруйте все и делайте один маршрут на 0.0.0.0.

 

Или имеет смысл приобрести что-то помощнее, например RB1100AHx2?

Если вам так будет проще, то тоже решение. Берете железку с хотя бы 512 (а лучше гигом оперативки) и все влезет. Только отфильтровать то оно бесплатно)

 

Спасибо, допер наконец-то, куда же меня все носом тыкают )))

 

Нагрузка упала. И вроде все работает.

Изменено 2 декабря, 2013 пользователем amadeus71rus