ArcticFox Опубликовано 11 ноября, 2013 · Жалоба Для лабораторки по маршрутизации забахал стенд: Uplink <-> Beeline (L2TP dual access) <-> Mikrotik CCR1036 (ROS 6.5) <OSPF+iBGP> 2*SRX240 Пояснения к рисунку: а) Все линки указаны так как это выглядит с моей стороны, т.е. узлы тр.интернет и прочие, кроме внутренних - неподконтрольны. Суть лабораторной работы - помучить Mikrotik + iBGP/eBGP [добавил картинку] И да, Saab95, именно из-за "двинутости" решения я и хочу попробовать двойной туннель. Надеялся на проблемы с MSS/MTU и прочим, а упёрся в банальную маршрутизацию. Теперь о проблеме: Таблица маршрутизации: # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADb 0.0.0.0/0 10.255.255.242 10 1 DS 0.0.0.0/0 192.168.255.254 20 2 DS 0.0.0.0/0 10.52.32.1 30 3 A S 8.8.4.4/32 10.255.255.242 1 4 ADC 10.52.32.0/21 10.52.33.IP ether2 0 5 ADC 10.255.255.0/25 10.255.255.1 ether11 0 6 ADC 10.255.255.240/30 10.255.255.241 gre-1-vpsville-... 0 7 A S 46.161.0.1/32 192.168.255.254 1 8 ADS 85.21.78.93/32 10.52.32.1 30 9 ADS 85.21.88.130/32 10.52.32.1 30 10 A S 85.21.192.3/32 10.52.32.1 1 11 A S ;;; NTP2 via AKADO 88.147.254.232/32 192.168.1.1 1 12 ADC AS.IP.184.0/24 AS.IP.184.1 Loopback.1 0 13 ADb AS.IP.187.1/32 AS.IP.187.1 10 14 Do AS.IP.187.1/32 10.255.255.2 110 15 ADb AS.IP.187.128/25 AS.IP.187.1 10 16 ADC 192.168.1.0/24 192.168.1.222 ether3 0 17 DC 192.168.88.0/24 192.168.88.1 ether1 255 18 ADC 192.168.255.254/32 95.31.BE.IP l2tp-beeline 0 19 ADS 194.67.1.115/32 10.52.32.1 30 20 A S 195.14.38.0/24 10.52.32.1 1 21 A S 195.14.50.0/25 10.52.32.1 1 22 ADS 195.14.50.16/32 10.52.32.1 30 23 ADS 195.14.50.21/32 10.52.32.1 30 24 ADS 195.14.50.26/32 10.52.32.1 30 25 ADS 195.14.50.93/32 10.52.32.1 30 26 A S 213.234.192.8/32 10.52.32.1 1 При этой таблице Микротик не видит мир, но вполне комфортно с ним общается если сессия устанавливается снаружи. Вторая проблема - недоступность маршрутов на AS.IP.187.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 11 ноября, 2013 · Жалоба я не вижу никаких принципиальных проблем в этом. это изврат только потому что бессмысленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 ноября, 2013 · Жалоба Это изврат потому что Билайн. Через него все время какие-то глюки и L2TP поверх не работает. А так схема вполне рабочая, за исключением что уменьшается MTU, что бы клиенты этого не замечали, нужно MRRU ставить 1500. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArcticFox Опубликовано 11 ноября, 2013 · Жалоба я не вижу никаких принципиальных проблем в этом. это изврат только потому что бессмысленно. К счастью, это делается в лабораторных условиях, правда вместо игры с MTU/MSS и прочими параметрами я упёрся в маршрутизацию. Есть план по решению этой ситуации с routing-instance на микротике, но это уже будет не совсем честно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArcticFox Опубликовано 1 декабря, 2013 · Жалоба я не вижу никаких принципиальных проблем в этом. это изврат только потому что бессмысленно. К счастью, это делается в лабораторных условиях, правда вместо игры с MTU/MSS и прочими параметрами я упёрся в маршрутизацию. Есть план по решению этой ситуации с routing-instance на микротике, но это уже будет не совсем честно. Поигрался, запахало.. даже наткнулся на проблемы с фрагментацией. Починил выравниванием МТУ на концах туннеля. Перевёл в ситуацию ближе к боевой. Избавился от туннеля. Поправил фильтры и напоролся на петлю в маршрутизации... Почему-то при падении iBGP пиров, трафик зацикливается на аплинк... что приводит к ожидаемому: Ответ от 77.91.67.181: Превышен срок жизни (TTL) при передаче пакета. Есть идеи где копать? Похожий конфиг на боевой системе с Juniper J2320 - там всё беспроблемно, хотя возможно что-то упускаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 декабря, 2013 · Жалоба Похожий конфиг на боевой системе с Juniper J2320 - там всё беспроблемно, хотя возможно что-то упускаю. Петля маршрутизации чаще всего возникает тогда, когда вы анонсируете сетку, которой нет в RIB, это возможно на всяких mikrotik-ах и quagga'ах, на Cisco/Juniper/прочем так сделать не получится(ну по крайней мере я не знаю "стандартных" средств так сделать), там чтоб заанонсить что-либо нужно, чтоб оно было в RIB(естественным путём - C, L, протоколы) или явно - ip route префикс NULL0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
