Category: Net

Июл 12 2009

BGP community. Настройка в Quagga.

По мере роста числа клиентов, количества BGP сессий вы убедитесь, что управлять становится все сложнее. То один попросит анонсировать в тот канал, но не анонсировать в другой и тому подобное. Потихоньку замечаешь что управление такой системой занимает черезчур много времени. Решение простое, нужно использовать community. Внедрение bgp сommunity снимает сразу ряд проблем. Первое — это мы можем передовать принадлежность комьюнити между своими маршрутизаторам, тем самым избавившись от проверок на каждом хосте access листами и второе, более важное, наши клиенты теперь смогут сами устанавливать принадлежность своих анонсов к той или иной community, тем самым сами смогут управлять поведением проходящих через вашу автономную систему анонсов. Главное все правильно и красиво спроектировать. А теперь вернемся к вопросу как же все таки работать c community.
Read more »

Июл 11 2009

Настройка Vlan в свитчах ExtremeNetworks Summit

Попал мне в руки свитч Extreme Summit X350-48t. По своим возможностям производит весьма и весьма хорошее впечатление. Задача у меня была простая настроить несколько 802.1q вланов на транзит через него. Скажу сразу — принципы настройки в принципе, от Cisco свитчей отличаются, но нельзя сказать что сильно. Так вот для того что бы создать влан нужно выполнить команды:

create vlan TEST

TEST обычная строка, произвольная, ну при наличии многих вланов максимально характирезующая назначение vlanа. Тут стоит отметить, что все настройки вланов на экстримах опираются не на vlanid, а на имя влана. Теперь необходимо назначить нашему влану vlanid. Для этого выполним такую команду:

configure vlan "TEST" tag 10

Id влану назначен, осталось настроить порты. Порты присваиваются опять таки влану, а не валаны портам, как я привык делать на Cisco Catalyst:

configure vlan "TEST" add ports 1 tagged

Read more »

Июл 08 2009

BGP, quagga, контролируем входящий трафик с помощью prepend

Если с отдачей трафика все в принципе понятно, то контролировать ситуацию откуда пойдет входящий трафик намного сложнее. Для управления входящим трафиком мы должны влиять на принятие решения куда направлять трафик, по какому пути, маршрутизатора удаленной системы. Вообще то, актуальными параметрами влияющими на то куда пойдет трафик являются:
1. LocalPreferences — на удаленной автономной системы на этот параметр мы повлиять ну никак не сможем.
2. Длительность и стабильность bgp сессии отвечающей за маршрут
3. Размер сети. Чем меньше размер сети тем выше ее приоритет в таблице роутинга.
4. Количество автономных систем которые нужно пройти пакету для достижения автономной системы назначения. То есть длина AS-PATH.

Фактически повлиять мы можем только на поледние 2 пункта и если размер анонсируемой сети мы можем контролировать только в нескольких случаях, то длину AS-PATH нам контролировать проще. На этом методе мы и остановимся.
Read more »

Июл 06 2009

Авторизация на Cisco Catalyst через GNU Radius.

Централизованная авторизация через radius server имеет ряд неоспоримых достоинств. Если у вас обслуживанием оборудования занимается несколько человек и штат сотрудников время от времени меняется, а не меняться он не может, то правильней всего завести один источник авторизации на котором можно завести пользователя или заблокировать одним движением, а не обходя оборудование по кругу и блокируя аккаунты. Во вторых источником авторизации может служить все что угодно, радиус сервера могут обращаться к SQL базам, к хранилищу в виде простого файла, и наконец к PAM, как мы сегодня и настроим.
Почему я выбрал авторизацию через PAM? Да просто потому что так исторически сложилось. И система мониторинга авторизуется через апачевский mod_auth_pam.
Read more »

Июл 05 2009

Quagga, BGP, регулируем отдачу с помощью local-preference.

В своем предыдущем примере мы рассматривали модель, когда по резервному каналу у нас приходит маршрут по умолчанию, схема эта вполне рабочая и жизнеспособная. Но есть одно но, я об этом уже писал, весь паразитный трафик к несуществующим адресам будет уходить на этот канал, то есть туда будет уходить паразитный, безсмысленный трафик. Вполне логично что это не совсем хорошо. То есть конечно можно работать и так, но все же. Если позволяет оборудование(маршрутизаторы), лучше всего принять два фуллвьюва и тут сбалансировать с помощью такой штуки как local-preference. Вот эту модель мы и рассмотрим. За основу берем прежнюю схему известную нам по статье BGP – route-map, as-path, prefix-list. Управляем анонсами. Мы оставляем по прежнему роутер C резервным, а роутер B приоритетным каналом, но через роутер С мы теперь примем полный список сети и сбалансируем отдачу в роутер B c помощью local-preference.
Read more »

Июн 30 2009

Утилита bgpq

Есть в портах FreeBSD полезная утилита bgpq, автор ее Александр Снарский и предназначена она для того, что бы облегчить жизнь системному администратору. Эта утилита незаменима, если вы управляете транзитной автономной системой у которой насчитывается больше десятка клиентов с которыми построены bgp сессии. Утилита эта автоматически строит префикс листы базируясь на номере автономной системы клиента. Такая автоматизация позволит вам забыть о том, что клиент может получить еще несколько префиксов(сетей) и забыть вам об этом сообщить, а потом включить на новые префиксы своих уже клиентов и удивляться что ничего не бегает.
Read more »

Июн 30 2009

Несколько полезных prefix-listов.

При построении взаимодействия с аплинками(провайдерами) и даунлинками (клиентами), есть несколько правил которые нужно соблюдать. Во первых нельзя принимать и отдавать анонсы «серых сетей» — тех сетей которые выделены для использования внутри локальных сетей, для этого на вход и исход следует применить такой префикс лист:

ip prefix-list GREY seq 10 deny 10.0.0.0/8
ip prefix-list GREY seq 20 deny 172.16.0.0/12
ip prefix-list GREY seq 30 deny 192.168.0.0/16

Второй важный момент заключается в том, что анонсировать наружу сети менее /24 запрещено, поэтому без особой нужды принимать анонсы и отдавать анонсы меньших сетей нельзя, вот мы их и обрежем таким префикс листом:

ip prefix-list LOW-NET-DENY seq 20 permit 0.0.0.0/0 le 24

Хорошо и правильно зафильтровав свои и чужие анонсы можно спать спокойно, не боясь того, что какой нибудь нехороший клиент выкинет через вас левые анонсы.

Июн 25 2009

BGP — route-map, as-path, prefix-list. Управляем анонсами.

С точки зрения BGP интернет представляет из себя совокупность автономных систем взаимодействующих между собой. При этом можно разделить два вида автономных систем, это транзитные, через которые проходит путь к другим автономным системам и тупиковые, которые только принимают маршруты, но не ретранслируют маршруты к другим автономным системам. Как мы уже говорили, все маршруты которые приходят от партнеров по BGP, будут, по умолчанию, переданы и другим партнерам. Но если у вас тупиковая автономная система, предоставляющая доступ к интернет своим клиентам в своем адресном пространстве, то анонсы пришедшие от внешних автономных систем передавать не нужно, для этого нужно используя директиву route-map установить фильтр на исходящие анонсы используя директиву as-path.
Read more »


Украинская Баннерная Сеть