classic.ISPforum.cz

Ahoj, plánujeme záložní konektivitu od dalšího poskytovatele s tím, že bychom rozjeli BGP peery na obou routerech, které budou v jiných lokalitách, tím pádem i to budou i fyzicky jiné stroje. Pojede na nich 100% ROS, ale byl jsem upozorněn, že tohle není moc standardní, že se 2 konektivity řeší vždy z jednoho fyzického BGP routeru. Jinak že se to bude chovat nepředvídatelně.

Jsou to jen řeči, nebo to tak někdo provozujete a zlobí to, případně to tak provozujete k plné spokojenosti? Díky za info.

P.S.: S BGP nemám absolutně žádnou zkušenost, takže věřím zkušenějším

V principu lze, říká se tomu multi-homed AS

multi-home AS e už to, že mám uplink přes víc jak jednoho peera, nerozlišuje, zda to jde ven jendím nebo X routery.
Varianta jeden nebo dva routery už je věc použití. Ano, lze to tak používat, některé nepředvídatelnsoti to může dělat, ale pokud to nastavím tak, že ta vnitřní sí'ť za tím komunikuje stylem, že vše posílá na BGP1 (a tam se rozhoduje zda to pošle ven přímo nebo skrz BGP2 server), tak nepředvidatlenosti celkem odstraňuje. BGP2 jako default bránsa ven pro vnitřní síť nastoupí až ve chvíli, kdy BGP1 chcípne. Čehož se dá dosáhnout různýmy způsoby, třeba vhodným ponásilněním OSPF.
Chce to mít hlavně pořešeno, aby se nerozpadlo spojení mezi BGP1 a BGP2 (takže mezi nima dvě nezávislé trasy), to pak udělá tne pravý chaos na zemi pro celou síť.
Pak se to chová prakticky stejně jako varianta jeden router s dvěma uplinky. Nepředvidatelmosit hlavně dělá, pokud si nacpu moc blízko za BGP NAT nebo stavový firewall, který nerzdýchá, že občas data chodí odjinud, než kam bylo posláno (pokud ho to rovnou úplně nějak neobjede).

Jinak pokud má fakt ta druhá linka/router být jen záloha, kudy to má jít jen v případě, že první router/linka chcípne, tak toho bych se nebál vůbec. To je stejné jako s jedním routerem. I tam řada konfigurací je udělána tak, že se jede jen jednou linkou a druhá je záloha (protože se to jinak občas chová divně, jak je občas slyšet ).
Zkrátka na záložním routeru v output filtru patřičně osolím prependem, aby se slušnou pravděpodobností to svět posílal ke mně první linkou (přiměřeně, ať zase nechcípnou Cisco routery po půlce planety) a ve vstupním filtru si zase pro importované routy nastavím lokální preferenci tak, že to vždy půjde ven první linkou.
A pokud ty routery můžu propojit tak, že na L2 vrstvě bude mezi nima zálohovaná bod-bod linka (takže se spolu můžou bavit přímo bez použití OSPF a podobných blbostí pro hledání iBGP cesty), tak není nejmenší důvod k panice. Jen ta L2 záloha by měla přepínat rychleji, než budu mít timeout na iBGP spojení.

A používá se kde co, někde i to, že jsou dva uplinkoví operátoři, mám dva routery a do každéhou routeru mám linku od obou peerů.

Majklik píše:multi-home AS e už to, že mám uplink přes víc jak jednoho peera, nerozlišuje, zda to jde ven jendím nebo X routery..

To není v rozporu s mojí odpovědí, multi-home lze provozovat s jedním nebo více routery. Na to jak nakonfigovat řešení je moc málo vstupních údajů.

Lze, je to conditional advertisement.

V mikrotiku conditional advertisement není podporované, takže pokud máš backup k jinému ISP, tak budeš muset skriptovat více, pokud k stejnému ISP akorát po jiném okruhu, tak prepend a naskriptovat šíření default routy do sítě, podle toho jestli vypadla hlavní linka.

Provozuju rok na tři konektivity. Správně má mezi jednotlivými BGP routery běžet iBGP, já to řeším jen ospf tím jsem schopen rozdělit provoz pro neveřejný adresy na bližšší router a využít tak rovnoměrně konektivitu. Veřejný adresy fungujou podle toho jak kdo kde peeruje zatím nemám potřebu to korigovat. Trasa mezi BGP routery musí být opravdu spolehlivá hlavně kvůli veřejkám, nikdy nevíš kterou bránou ským komunikujou.

melvi píše:Lze, je to conditional advertisement.

V mikrotiku conditional advertisement není podporované, takže pokud máš backup k jinému ISP, tak budeš muset skriptovat více, pokud k stejnému ISP akorát po jiném okruhu, tak prepend a naskriptovat šíření default routy do sítě, podle toho jestli vypadla hlavní linka.

No jo, Mikrotik toho neumí, a tu cisco like šílenost - neigbor 6.6.6.ž advertise-map X nonexist-map Y určitě ne.
To fakt skriptuješ? To s espíš bojím, že zdechnou ty skripty, než ta linka. jistě, nevíme, jaká je přesně touha tazatele, ale to už radjěi risknu prepend 5x sebe záložní linkou (vic nemá smysl, paranoidní filtrovači dál to stejně vyhodí) a nehám na iBGP, aby si to sedlo a hlavní BGP do vnitřku hlásí přes OSPF defualt routu, ať mu hlavní linka jede nebo ne (když ne, tak to otočí dle iBGP dat do druhého routeru a tudy ven).

I 5x Prepend je u některých upstreamů málo

Skripty jsou spolehlivý, pokud jsou jednoduchý.

Dík za reakce. Už se toho moc nebojím, ale náš "tranzitní" ISP nás předem varoval, že s tím může být problém, tak to asi úplně nastavit neumí, mohl bych se v případě potíží obrátit na někoho z vás?

Co se týká linky mezi BGP routery, na L2 je to proveditelné, ale se zálohou už moc ne. Chápu to dobře, že když se rozpadne spojení mezi routery, od té doby budou propagovat náš AS oba a z toho plyne ta záludnost? Nedalo by se v tom případě spolehnout a na spojení "venkem"?

Ano bude se ti propagovat AS na obou a verejky budou mit problem. Muzes si v nouzi pomoct ze to zanatujes na obou stranach za verejnou adresu poskytovatele, tak ti pujde aspon net, ale koser to neni.