https://www.opennet.ru/openforum/vsluhforumID6/54.html Написал небольшую статью, но её похоже не приняли, отпишусь здесь, т.к материал на самом деле полезный, и в конце у меня есть вопрос (нужны примеры vrf-lite для второго варианта), если кто поможет - буду благодарен :)<br><br> [B]Использование BGP при наличии двух каналов в Интернет для выборочного анонсирования[/B]<br> Вводные данные<br><br>При наличии двух собственных подсетей /24, столкнулся с необходимостью стандартной работы BGP, и погуглив, обнаружил минимальное количество информации по этой теме. На просторах рунета, в основном рассматриваются случаи, когда имеется одна сетка /24, и 2 провайдера, один из которых используется, как резервный. Да даже и этот случай рассмотрен некорректно, либо разрознено, нормально встретил описания только на англоязычных ресурсах.<br><br>[B]Сразу же оговорюсь - рассматриваемые фичи CiscoOS: EXIST-MAP и NON-EXIST-MAP не поддерживаются UNIX-аналогами (типа Quagga)[/B]<br>В данной статье я рассмотрю два примера конфигов, исходя из следующих данных.<br>*[B]У нас есть два канала: основной рабоч https://www.opennet.ru/openforum/vsluhforumID6/54.html#17 Fri, 17 Aug 2012 08:07:30 GMT &gt;&gt; Вопрос не в разрешении пакетов от любых сетей, а фактически в "маршрутизации <br>&gt;&gt; от источника".<br>&gt;&gt; Неоднократно разбирался с вопросами "почему такой-то ресурс (местного прова по соседству) <br>&gt;&gt; не доступен от вас, а от соседнего прова или из израиля <br>&gt;&gt; (китая и т.д.) - доступен" и почти всегда упирались именно в <br>&gt;&gt; проверку обратного маршрута на BGP линках...<br>&gt; Неправильная настройка чего-либо не обозначает порочность настроенного.<br><br>А я и не говорю о порочности этого метода, я лишь указываю на порчность его бездумного применения везде и всюду.<br><br>&gt;&gt; Учите матчасть - маршрутизация КАЖДОГО пакета - процесс независимый и по классике <br>&gt;&gt; основан ИСКЛЮЧИТЕЛЬНО на адресе получателя....<br>&gt; Эвона сколько спеси напущено, всего-то в одном предложении.<br>&gt; RFC?<br><br>Загляните в таблицу маршрутов любого маршрутизатора и найдите там параметры, отличные от сети назначения (естественно метрики,AD, типы протоколов из которых маршруты получены - все это не в счет... нужно что-то, что можно "взять" исключительно из IP https://www.opennet.ru/openforum/vsluhforumID6/54.html#16 Fri, 17 Aug 2012 07:15:28 GMT &gt; Вопрос не в разрешении пакетов от любых сетей, а фактически в "маршрутизации <br>&gt; от источника".<br>&gt; Неоднократно разбирался с вопросами "почему такой-то ресурс (местного прова по соседству) <br>&gt; не доступен от вас, а от соседнего прова или из израиля <br>&gt; (китая и т.д.) - доступен" и почти всегда упирались именно в <br>&gt; проверку обратного маршрута на BGP линках...<br><br>Неправильная настройка чего-либо не обозначает порочность настроенного.<br><br>&gt; Учите матчасть - маршрутизация КАЖДОГО пакета - процесс независимый и по классике <br>&gt; основан ИСКЛЮЧИТЕЛЬНО на адресе получателя....<br><br>Эвона сколько спеси напущено, всего-то в одном предложении.<br><br>RFC?<br> https://www.opennet.ru/openforum/vsluhforumID6/54.html#15 Fri, 17 Aug 2012 06:39:42 GMT &gt;&gt;Асинхронность в BGP - абсолютно нормальное явление, нормальный пров на линке с BGP никогда URPF check не включит...<br>&gt; По своему опыту: <br>&gt; М9, датаикс - включено <br>&gt; Ретн, комстар - включено <br>&gt; Всё-таки ненормально как раз по-моему разрешать пакеты от любых сетей.<br><br>Вопрос не в разрешении пакетов от любых сетей, а фактически в "маршрутизации от источника".<br>Неоднократно разбирался с вопросами "почему такой-то ресурс (местного прова по соседству) не доступен от вас, а от соседнего прова или из израиля (китая и т.д.) - доступен" и почти всегда упирались именно в проверку обратного маршрута на BGP линках...<br><br>Учите матчасть - маршрутизация КАЖДОГО пакета - процесс независимый и по классике основан ИСКЛЮЧИТЕЛЬНО на адресе получателя....<br> https://www.opennet.ru/openforum/vsluhforumID6/54.html#14 Thu, 16 Aug 2012 13:45:21 GMT &gt;Асинхронность в BGP - абсолютно нормальное явление, нормальный пров на линке с BGP никогда URPF check не включит...<br><br>По своему опыту:<br>М9, датаикс - включено<br>Ретн, комстар - включено<br>Всё-таки ненормально как раз по-моему разрешать пакеты от любых сетей.<br> https://www.opennet.ru/openforum/vsluhforumID6/54.html#13 Thu, 16 Aug 2012 13:42:27 GMT "Его нельзя реализовать на Quagga - она не умеет работать с EXIST-MAP"<br><br>bird ?<br> https://www.opennet.ru/openforum/vsluhforumID6/54.html#12 Thu, 16 Aug 2012 12:39:00 GMT &gt; как-то так <br><br>Благодарю тебя, добрый человек :) Именно этого я и хотел.<br>Буду в выходные на GNS3 тестить, по результатам отпишусь.<br> https://www.opennet.ru/openforum/vsluhforumID6/54.html#11 Thu, 16 Aug 2012 12:33:23 GMT &gt;&gt;&gt; Я просто не стал такой замут рассмартивать в статье, т.к если кто <br>&gt;&gt;&gt; и поможет с vrf, vrf-lite, то на более лёгком примере, как <br>&gt;&gt;&gt; здесь в статье :) <br>&gt;&gt; Сколько маршрутизаторов задействовано всего в сети?<br>&gt; Одна моя циска 2821 и дальше уже маршрутизаторы 2ух провайдеров и м-9. <br>&gt; Я надеюсь обойтись vrf-lite, без mpls.<br><br>При использовании всего одной железки vrf вроде эквивалентен vrf-lite, но это для вас и не важно.<br><br>создаем 2 vrf-а:<br>vrf_1<br>vrf_2<br><br>В первый запихиваем все интерфейсы из 1-ой подсети и интерфейс 1-ого прова.<br>Во второй - все интерфейсы из 2-ой подсети и второго прова.<br><br>BGP<br><br><br><br>Router(config)# router bgp 1234<br><br>Router(config-router)# address-family ipv4 vrf_1<br><br>Router(config-router-af)# neighbor 1.1.1.1 remote-as 1111<br><br>Router(config-router-af)# neighbor 1.1.1.1 activate<br><br>Router(config-router-af)# network a.a.a.a mask 255.255.255.0<br><br>Router(config-router-af)# exit <br><br>Router(config-router)# address-family ipv4 vrf_2<br><br>Router(config-router-af)# neighbor 2.2.2.2 remote https://www.opennet.ru/openforum/vsluhforumID6/54.html#10 Thu, 16 Aug 2012 12:01:50 GMT &gt;&gt; Я просто не стал такой замут рассмартивать в статье, т.к если кто <br>&gt;&gt; и поможет с vrf, vrf-lite, то на более лёгком примере, как <br>&gt;&gt; здесь в статье :) <br>&gt; Сколько маршрутизаторов задействовано всего в сети?<br><br>Одна моя циска 2821 и дальше уже маршрутизаторы 2ух провайдеров и м-9.<br>Я надеюсь обойтись vrf-lite.<br>С анонсами проблем нет, всё нормально работает, анонсируется. Мне надо решить проблему только с исходящим трафиком, только на локальной циске. Чтобы трафик каждой подсети шёл строго в тот канал, куда она проанонсировалась в данный момент. И если анонс перенёсся в другой канал, соответственно, чтобы и трафик этой сети перенёсся тоже в этот же канал, а не как сейчас в дефолт убегает. pbr не подходит в данном случае, т.к он принудительно может завернуть трафик нужной сети в интерфейс, и если он упадёт и её анонс перенесётся на другой интерфейс, то трафик будет продолжать заворачиваться в упавший интерфейс :(<br>Вот поэтому мне и дали наводку рыть в сторону vrf-lite. Но своего ума мне не хватило освоить и https://www.opennet.ru/openforum/vsluhforumID6/54.html#9 Thu, 16 Aug 2012 11:56:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt; себя сделать в сложном примере. А сложный в моём понимании сейчас, <br>&gt;&gt; над которы м я бьюсь: <br>&gt;&gt; есть 6 сетей С-класса. Каналы: 1, 2 и М-9. Мне надо чтобы <br>&gt;&gt; 2 сети ходили во второй канал и М-9, ещё две сети <br>&gt;&gt; ходили в каналы: м-9, второй и первый, и ещё две сети <br>&gt;&gt; ходили исключительно в первый канал :) <br>&gt;&gt; Я просто не стал такой замут рассмартивать в статье, т.к если кто <br>&gt;&gt; и поможет с vrf, vrf-lite, то на более лёгком примере, как <br>&gt;&gt; здесь в статье :) <br>&gt; Сколько маршрутизаторов задействовано всего в сети?<br><br>И все ли из них поддерживают vrf??<br>