Вопрос по BGP

десь обсуждаются вопросы, связанные с обучением и сертификацией специалистов Cisco.
Федеров Сергей (LA LA)
Сообщения: 0
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение Федеров Сергей (LA LA) » 07 дек 2011 13:41

Знающие люди подскажите ответ на вопрос.

Есть два роутера, с каждого роутера по одному линку на провайдеров (с одного на ISP1, c другого на ISP2). Планируется поднять eBGP с ISP1 и ISP2 и iBGP между роутерами.

Также есть сетка С класс, которую будем анонсить во вне. Линковые адреса на стыках с ISP нужно сделать своими - т.е из этого С класса (выделить 2 сетки - /30).

Вопрос в следующем. Как в такой ситуации анонсить сеть во вне? Как целиковый С класс на оба линка? Ни как не влияет то, что я выдираю из С класа две линковые сетки и одна сетка на линке одного провайдера, другая на линке другого?
Как в такой ситуации делают?

Спасибо.

M(dimaks)
Сообщения: 49
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение M(dimaks) » 07 дек 2011 16:33

Обычно провайдеры выдают P2P адреса.
Это их обязанность, они сервис предоставляют.
А вы спокойно анонсите свою /24.

00x2142
Сообщения: 32
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение 00x2142 » 07 дек 2011 16:40

Правильно. Нафига вам дробить свою сетку и дарить свои адреса провайдеру.
Пусть он это за вас делает, вы ему за это деньги платите.

Федеров Сергей (LA LA)
Сообщения: 0
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение Федеров Сергей (LA LA) » 07 дек 2011 16:52

Да обычно выдают и понимаю удобство такой схемы в плане настройки BGP.
Но описанный вариант можно реализовать как-то?
Насколько я понимаю анонс сети меньше C класса вообще может не принимать провайдер, фильтровать.
А при описываемой мной желаемой схеме не разбивать сеть не получится.
Вообще это реализуемо или кривость все же?

Федеров Сергей (LA LA)
Сообщения: 0
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение Федеров Сергей (LA LA) » 07 дек 2011 17:04

Все же есть плюсы когда например не нужно менять линковые адреса при смене провайдера, если линковые адреса Ваши. Тем более если например на эти адреса строятся IPSec тунели из вне.

Денис Видищев(DV)
Сообщения: 0
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение Денис Видищев(DV) » 09 дек 2011 12:49

to Федеров Сергей :
Вы каждую неделю аплинки меняете? ipsec можно и на лупбэк

FSI(S_Twist)
Сообщения: 1
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение FSI(S_Twist) » 09 дек 2011 14:06

Адреса на линках к провайдерам желательно иметь из сетей провайдера ибо он у вас апстрим и практикой принято что апстрим дает адреса для пиринга(ну по логике: пока анонс о вaшей сети не пройдет интернет и не знает вашей сети =).
Также сеть для пиринга с провом мона спокойно взять /31 для экономии(это нормальная практика взять 44,24,55,0/31 сетку и тогда адрес у первого роутера на интерфейсе будет 44,24,55,0 255,255,255,254 у второго 44,24,55,1 255,255,255,254)
Если собираетесь бить свою сетку, на несколько кусков то анонсите через:

router BGPZZZZZ
aggregate-address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy summary-only

где:
xxx - адрес вашей сети
yyy - маска вашей сети
ZZZ - ваша AS
В этом случае можно анонсить всю сеть не имея её на локальных интерфейсах.
Пример:
Вы побили сеть на:
1х /25(для NAT пользователям)
1х /26(для DMZ)
1х /27(на разные нужды)
16х /31 (P2P линки внутри предприятия между роутерами)

также советую прописать роутмапы на отдачу для пиров(внешних) которые будут фильтровать все кроме вашей сети(чтобы не заанонсить сетку второго прова случайно =)

Советую анонсить сразу всю сеть, так как описывал выше, чтобы не было приколов с недоступностью части адресов в случае падения второго роутера. А роутеры провайдеров уже сами фильтранут далекие маршруты.
Варианты с дроблением сети для анонса применяются только для балансировки и то есть много других вариантов как сбалансировать нагрузку без дробления. Но так, как вас у вас самый маленький асигмент(/24) делать так не советую, у вас и так вероятность поиметь траблов с коннективити где-то в районе 10% (по моим оценкам примерно столько маршрутизаторов в интернете отфильтровывают сети менше /21, /22)

По поводу: "Тем более если например на эти адреса строятся IPSec тунели из вне. "
поднимите loopback xxx.xxx.xxx.xxx/32 на роутере на который строите тунели где ххх.ххх.ххх.ххх - адрес с вашей подсети и на него делайте уже тунели. -Не принято строить тунели на физические интерфейсы(мало ли упал, и все такое).

Ну и на заметку - в принципе ничего криминального в том что вы дадите прову свои адреса для P2P линков нет. просто у вас слишком маленькая сеть, чтобы быть благородным. второе мало ли вдруг переедите а адрес с SVI интерфейса провайдер не снимет, и все клиенты что у него были подключены через этот маршрутизатор поимеют трабл с доступностью этого адреса =(((.
В общем best practice:
1)Build tunnel between loopback interfaces.
2)aggregated network for EBGP announce
3)do not give addresses for P2P link with your upstreams from your network.
4)Filter your announce for upstream.
5)Economy your ip-address

unsobill
Сообщения: 0
Зарегистрирован: 01 янв 1970 03:00

Вопрос по BGP

Сообщение unsobill » 17 апр 2012 13:51

не перевелись еще мастера на земелюшке Русской - S_Twist возмешь меня в apprentice ?


Вернуться в «Сертификация: Cisco»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя