есть два апстрима, получаю только default route.
Моя сеть /23. Анонсирую разделением, т.е. первую половину - /24 и всю сеть - /23 первому апстируму, вторую половину - /24 и всю сеть /23 второму апстиму.
Граничный маршрутизатор Cisco 2951. IBGP не используется.
Дабы обезопасить себя от транзитного трафика, включил известную фильтрацию на анонсы соседям:
neighbor xx.xx.xx.xx filter-list 1 out
neighbor yy.yy.yy.yy filter-list 1 out
ip as-path access-list 1 permit ^$
Но, такое ощущение, что трафик все равно транзитный проходит. Повесил access-list с параметром log на интерфейс, смотрящий на второго апстрима.
Вижу кучу match-ей у acl и в дебаге вижу пакеты не из моей сети в не мою сеть.
Начал изучать RPF. Но совсем запутался в реализации.
Я так понимаю, что есть strict и loose режимы. В моем случае, когда есть место ассиметричному трафику, т.е. ушел через первый апстрим (он дефолт по умолчанию), а вернулся через второго, нужно использовать loose метод.
По документации cisco http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ft_urpf.html, на интрефейсах к апстримам нужно включить:
- Код: Выделить всё
ip verify unicast source reachable-via any
После включения этого, связь пропала, поэтому срочно выключил (людям связь нужна) и не успел оттраблшутить.
Подскажите, есть какие-нибудь best practices для реализации RPF для моего случая?
Или здесь RPF не поможет?
Заранее благодарен.
