Subnets.ru

[root]

Ну увы их топографии я не знаю

брр.... я разве не правильно понял что роутеры C и D, хосты и свич это твое хозяйство, разве нет ?

вот так сейчас выглядит конфиг роутера D:

скаже, а что ты хотел сказать вот этим:

Код: Выделить всё

ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23

а ?

так же не понимаю смысла в препенде:

Код: Выделить всё

route-map DobryjHostingNetwork permit 20
match ip address prefix-list DobryjHosting-ddos-hole
set as-path prepend 200

исправил прописав его в конфиг зебры ip route 194.15.127.4/32 eth0

в зебре все обязательно должно быть описано, все ипы, все статик маршруты.

на хосте 194.15.127.4 есть какие то ипы помимо этого ?

Мне почему то казалось что quagga сама должна это сделать

"само" оно ничего не делается, все нужно делать руками, только так ты получишь сеть с пониманием того как она функционирует

но сути это не поменяло хост как работал на выход через первый роутер так и работает:

ну а с чего хосту 194.15.127.4 ходить по другому ? иначе чем написано у него в def gw ?
анонсируя /32 маршрут с роутера D на роутер С и B ты их просишь при получении входящего трафика для 194.15.127.4/32 передать трафик на роутер D, но это никак не повлияет на то как сам этот хост отправляет трафик.

и всё бы ничего если бы хост оставался доступен снаружи (бог с ним что исходящий идёт через первый роутер) задача то отправить на фильтрацию входящий трафик (он то перетекает) но вот хост становится не доступен и трасса к нему рвётся именно на роутере D

ну а что показывает tcpdump на роутере D? ты его смотрел ?

что бы трафик с того хоста который переведён на роутер D (в нашем примере 194.15.127.4) и шёл на роутер D

входящий извне у тя уже должен ходить через роутер D, из-за анонса /32, а вот исходящий этого хоста пустить через роутер D можно только подняв например OSPF на этом хосте, а с роутера C и роутера D анонсить дефолт с разной метрикой.

увы я не знаю какими средствами этого добится но мне так думалось что роутер С в состоянии как то редиректить трафик и переадресовывать его на роутер D

чтобы понять тебе нужно разобраться в процессе маршрутизации, в том что и как происходит при получении пакета роутером
а происходит следущее:
роутер получая пакет, в котором есть SRC и есть DST смотрит в свою таблицу маршрутизации на предмет того как достичь этого DST.
В твоем случае когда 194.15.127.4 отправляет пакет то SRC это он сам, а DST это хост например в Инете. Так вот с чего роутеру C пересылать такой пакет на D, если DST по его таблице маршрутизации находится не за D ?

P.S. я повторюсь что по сути не столь важно куда пойдёт исходящий трафик (если он идёт через роутер С то главное сохранить работоспособность хоста)

так важно или нет ты уж определись.
если не важно как сам 194.15.127.4 ходит в инет, а важно как из инета пакет достигает 194.15.127.4, то своими действиями с анонсом /32 ты уже этого добился. Смотри почему входящий пакет застревает на D.

А подскажите как это сделать?

с линухом мы не дружим, на FreeBSD это делается через sysctl

Мне так кажется что мою проблему решит или "Умный свитч" умеющий BGP или же ещё один роутер установленый на стык между роутерами C и D и свитчем, правильно ли я предпологаю?

нет

следующий вопрос такого плана реально ли будет подружить Роутеры C и D с этим свитчем с целью управления исходящим трафиком?

прочти то что я написал выше про то, как происходит процесс маршрутизации

Сразу оговорюсь по поводу девайса Cisco С3570 , да он умеет BGP но увы для моих масштабов он дорог

всегда можно купить Б/У железку

Вот появилась возможность завладеть железкой аля Cisco WS-C3550-48-EMI

ну и нафиг тебе 100-мбитный свич ?

[dobrohost]

брр.... я разве не правильно понял что роутеры C и D, хосты и свич это твое хозяйство, разве нет ?

Это то моё))) но вопрос был о том к чему я подключаюсь этими роутерами (вот этого я не знаю) имеется ввиду я не знаю что за устройство на втором конце моих подключений.

вот так сейчас выглядит конфиг роутера D:

скаже, а что ты хотел сказать вот этим:

Код: Выделить всё

ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24
ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23

а ?

Этим я ограничил приём от роутера С анонс сетей (разрешив принять только префиксы /24 и /23 исключив дефаулт)

так же не понимаю смысла в препенде:

Код: Выделить всё

route-map DobryjHostingNetwork permit 20
match ip address prefix-list DobryjHosting-ddos-hole
set as-path prepend 200

Данный препенд попросил ставить провайдер на 32 анонсы (было предложено или препенд или же коммунити)

в зебре все обязательно должно быть описано, все ипы, все статик маршруты.

на хосте 194.15.127.4 есть какие то ипы помимо этого ?

нет только он один.

ну а с чего хосту 194.15.127.4 ходить по другому ? иначе чем написано у него в def gw ?
анонсируя /32 маршрут с роутера D на роутер С и B ты их просишь при получении входящего трафика для 194.15.127.4/32 передать трафик на роутер D, но это никак не повлияет на то как сам этот хост отправляет трафик.

ну а что показывает tcpdump на роутере D? ты его смотрел ?

Для чистоты эксперемента создал ВДС тестовый с адресом 194.15.127.53 (шлюз 194.15.127.1) отправил его на фильтрацию (анонсировал на роутере D)
пытаюсь соединится по ssh

Роутер D входящий от провайдера интерфейс:

Код: Выделить всё

[root@gw2 ~]# tcpdump -n -nn -ttt -i eth1 "host 194.15.127.53"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5044 > 194.15.127.53.22: S 2173104073:2173104073(0) win 8192 <mss 1452,nop,nop,sackOK>
2. 892582 IP 31.23.172.6.5044 > 194.15.127.53.22: S 2173104073:2173104073(0) win 8192 <mss 1452,nop,nop,sackOK>
5. 993880 IP 31.23.172.6.5044 > 194.15.127.53.22: S 2173104073:2173104073(0) win 8192 <mss 1452,nop,nop,sackOK>
5. 375633 IP 112.216.12.244.1146 > 194.15.127.53.445: S 2077086102:2077086102(0) win 16384 <mss 1460,nop,nop,sackOK>
2. 953140 IP 112.216.12.244.1146 > 194.15.127.53.445: S 2077086102:2077086102(0) win 16384 <mss 1460,nop,nop,sackOK>


Роутер D локальный интерфейс:

Код: Выделить всё

[root@gw2 ~]# tcpdump -n -nn -ttt -i eth0 "host 194.15.127.53"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5154 > 194.15.127.53.22: S 954829244:954829244(0) win 8192 <mss 1452,nop,nop,sackOK>
3. 008493 IP 31.23.172.6.5154 > 194.15.127.53.22: S 954829244:954829244(0) win 8192 <mss 1452,nop,nop,sackOK>
1. 990578 arp who-has 194.15.127.53 tell 194.15.127.40
000247 arp reply 194.15.127.53 is-at aa:00:f6:f4:06:01
2. 997782 arp reply 194.15.127.1 is-at 00:1d:7d:d2:d7:93
1. 009800 IP 31.23.172.6.5154 > 194.15.127.53.22: S 954829244:954829244(0) win 8192 <mss 1452,nop,nop,sackOK>


Роутер С локальный интерфейс:

Код: Выделить всё

[root@gw ~]# tcpdump -n -nn -ttt -i eth1 "host 194.15.127.53"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5214 > 194.15.127.53.22: S 1439152614:1439152614(0) win 8192 <mss 1452,nop,nop,sackOK>
000717 arp who-has 194.15.127.1 tell 194.15.127.53
000015 arp reply 194.15.127.1 is-at 00:1d:7d:d2:d7:93
000331 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
2. 998978 IP 31.23.172.6.5214 > 194.15.127.53.22: S 1439152614:1439152614(0) win 8192 <mss 1452,nop,nop,sackOK>
000280 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
304501 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
4. 695239 arp who-has 194.15.127.53 tell 194.15.127.40
1. 001359 IP 31.23.172.6.5214 > 194.15.127.53.22: S 1439152614:1439152614(0) win 8192 <mss 1452,nop,nop,sackOK>
009732 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
293951 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
12. 008501 IP 194.15.127.53.22 > 31.23.172.6.5214: S 3936524456:3936524456(0) ack 1439152615 win 5840 <mss 1460,nop,nop,sackOK>
6. 993516 IP 188.173.15.181.2494 > 194.15.127.53.445: S 3617294984:3617294984(0) win 65535 <mss 1460,nop,nop,sackOK>
000164 IP 194.15.127.53.445 > 188.173.15.181.2494: R 0:0(0) ack 3617294985 win 0
2. 965529 IP 188.173.15.181.2494 > 194.15.127.53.445: S 3617294984:3617294984(0) win 65535 <mss 1460,nop,nop,sackOK>
000147 IP 194.15.127.53.445 > 188.173.15.181.2494: R 0:0(0) ack 1 win 0


На внешнем интерфейсе роутера С пакетов от или к этому адресу не наблюдается

а вот вывод tcpdumpa на самом хосте 194.15.127.53

Код: Выделить всё

sh-3.2# tcpdump -n -nn -ttt -i eth0 "host 194.15.127.53"
device eth0 entered promiscuous mode
type=1700 audit(1323769113.399:2): dev=eth0 prom=256 old_prom=0 auid=4294967295 ses=4294967295
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 31.23.172.6.5625 > 194.15.127.53.22: S 399176828:399176828(0) win 8192 <mss 1452,nop,nop,sackOK>
000226 arp who-has 194.15.127.1 tell 194.15.127.53
000475 arp reply 194.15.127.1 is-at 00:1d:7d:d2:d7:93
000009 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
2. 993938 IP 31.23.172.6.5625 > 194.15.127.53.22: S 399176828:399176828(0) win 8192 <mss 1452,nop,nop,sackOK>
000030 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
001731 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
4. 997858 arp who-has 194.15.127.53 tell 194.15.127.40
000031 arp reply 194.15.127.53 is-at aa:00:f6:f4:06:01
999044 IP 31.23.172.6.5625 > 194.15.127.53.22: S 399176828:399176828(0) win 8192 <mss 1452,nop,nop,sackOK>
000029 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
003414 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>
12. 000766 IP 194.15.127.53.22 > 31.23.172.6.5625: S 92851586:92851586(0) ack 399176829 win 5840 <mss 1460,nop,nop,sackOK>


Видно что запросы к хосту приходят только вот что то я не понимаю куда они уходят (раз на выходе из роутера С в сеть пакеты не проходят)

что бы трафик с того хоста который переведён на роутер D (в нашем примере 194.15.127.4) и шёл на роутер D

входящий извне у тя уже должен ходить через роутер D, из-за анонса /32, а вот исходящий этого хоста пустить через роутер D можно только подняв например OSPF на этом хосте, а с роутера C и роутера D анонсить дефолт с разной метрикой.

Проблемно это, машинок сейчас много , но ведь того же результата можно добится работая по OPSF с управляемым свитчем?

чтобы понять тебе нужно разобраться в процессе маршрутизации, в том что и как происходит при получении пакета роутером
а происходит следущее:
роутер получая пакет, в котором есть SRC и есть DST смотрит в свою таблицу маршрутизации на предмет того как достичь этого DST.
В твоем случае когда 194.15.127.4 отправляет пакет то SRC это он сам, а DST это хост например в Инете. Так вот с чего роутеру C пересылать такой пакет на D, если DST по его таблице маршрутизации находится не за D ?

Это я уже понял, спасибо)))

Вот появилась возможность завладеть железкой аля Cisco WS-C3550-48-EMI

ну и нафиг тебе 100-мбитный свич ?

Ну для начала оба включения идущих ко мне как раз таки 100 мегабитные (пока что) но явные приимущества 3750 против 3550 при детальном изучении я всё же увидел

хотя разница в цене существенна(((

[dobrohost]

А разве 3550 по входу не гигабитка? помоему два гигабитных порта, а выдавать клиентам я больше не намереваюсь, может всё же можно и этот дивайс использовать?

[dobrohost]

С проблемой не работоспособности после переброса на второй роутер разобрался, на роутере С было правило фильтрующее пакеты со статусом INVALID а так как от внешней машины ответов сюда не приходило то фаервол банил исходящий трафик от этого хоста.

Но всё же для правильности работы внутреней сети думаю всё таки заменить свой (а точнее арендованый) 8 портовый свитч на L3 24-48 портовый свитч (желательно всё же серии 3550) для внутренних нужд его же хватит? (ну и в том же числе для управлением исходящим трафиком)?

[root]

на роутере С было правило фильтрующее пакеты

ну вот, а ларчик то просто открывался запомни tcpdump твой друг

для внутренних нужд его же хватит?

мы не можем ответить на подобный вопрос, как минимум в виду того что не знаем твоих нужд и кол-во трафика

ну и в том же числе для управлением исходящим трафиком

он поможет решить задачу что при падении одного роутера, например С, весь трафик отправить на D.

А разве 3550 по входу не гигабитка? помоему два гигабитных порта

3550 уже давно пережиток прошлого, дело конечно твое, но нам кажется что не стоит его покупать, т.к. потом все равно его апгрейдить придется, т.к. трафик всегда только растет, а не уменьшается
так же у него медленая матрица коммутации и т.п.

а выдавать клиентам я больше не намереваюсь

это сейчас, а завтра ? а после завтра ? а через неделю/месяц ? подумай об этом
ИМХО. лучше затянуть поясок, но сразу купить вещь, чем потом менять её каждый раз

но вопрос был о том к чему я подключаюсь этими роутерами (вот этого я не знаю)

нет, был вопрос кто у компов является def GW

Этим я ограничил приём от роутера С анонс сетей (разрешив принять только префиксы /24 и /23 исключив дефаулт)

а какой в этом смысл ? в чем задумка ?

[dobrohost]

для внутренних нужд его же хватит?

мы не можем ответить на подобный вопрос, как минимум в виду того что не знаем твоих нужд и кол-во трафика

Данный свитч будет обслуживать максимум одну стойку серверов (максимум 39 серверов) оставшиеся три юнита займёт он сам и два PC роутера , трафик думаю на максимуме будет достигать 60-80 мб./сек

А разве 3550 по входу не гигабитка? помоему два гигабитных порта

3550 уже давно пережиток прошлого, дело конечно твое, но нам кажется что не стоит его покупать, т.к. потом все равно его апгрейдить придется, т.к. трафик всегда только растет, а не уменьшается
так же у него медленая матрица коммутации и т.п.

какой по Вашему мнению лучше дивайс для заявленных выше требований?
3750 - как по вашему мнению, лучше подойдёт в моём варианте?
Может есть какие другие (не Cisco) дивайсы которые будут стоить чуть дешевле но при этом вполне уверенно себя зарекомендовавшие?

а выдавать клиентам я больше не намереваюсь

это сейчас, а завтра ? а после завтра ? а через неделю/месяц ? подумай об этом
ИМХО. лучше затянуть поясок, но сразу купить вещь, чем потом менять её каждый раз

Тут конечно Вы правы, но не стоит забывать что я представляю всего лиш хостинг компанию, и допустить вариант что ДЦ мне выдаст ёмкости более 1ГБ для организации собтвенной сетевой инфраструктуры как то не получается (хотя деньги решают всё, ну зачем устраивать ДЦ в ДЦ))), да и глупо это , основной трафик должен пережёвывать ДЦ своими силами , и если у меня будет появляться клиент способный оплатить гарантированный выделеный гигабит , то по моему значительно проще протянуть ему линк напрямую от коммутатора ДЦ чем вмешивать туда свои железки.

но вопрос был о том к чему я подключаюсь этими роутерами (вот этого я не знаю)

нет, был вопрос кто у компов является def GW

Роутер С

Этим я ограничил приём от роутера С анонс сетей (разрешив принять только префиксы /24 и /23 исключив дефаулт)

а какой в этом смысл ? в чем задумка ?

Если честно это я доставал ноковцев своего ДЦ с той же проблемой что и Вас, ну вот они мне и обозначили что бы я по iBGP обменивался только анонсируемыми сетями а дефолты принимал только от них(от ДЦ).

[root]

Данный свитч будет обслуживать максимум....достигать 60-80 мб./сек

ну 3550 конечно на сейчас хватит, но я бы все равно подумал о будущем.

Может есть какие другие (не Cisco) дивайсы которые будут стоить чуть дешевле но при этом вполне уверенно себя зарекомендовавшие?

Свичи Juniper (линейка EX) так же хороши.

ну вот они мне и обозначили что бы я по iBGP обменивался только анонсируемыми сетями а дефолты принимал только от них(от ДЦ).

все равно не понимаю задумки, т.к. получается что кроме твоих префиксов под эту маску ничего и не попадет, а на обоих твоих роутерах они объявлены в network.
есть смысл "кидаться" большими масками по iBGP, такими как твой /32.
и я бы не строил так маршрутные карты, я предпочитаю явное указание того что надо получать или не получать