Subnets.ru

**dobrohost** » 05 дек 2011, 22:15

Здравствуйте Уважаемые.

Есть вот такая сеть:

Роутер С - это основной шлюз
Роутер D - резерв (на случай работ на первом) и он же пакетный фильтр для очистки трафика (DDos)

Задача состоит в том что бы анонс /32 префикса на роутере D переводил трафик этого адреса на себя, и по сути с входящим трафиком это работает на ура, а вот исходящий (что я только не делал) усердно ломится на роутер C

Сначало покажу конфиги роутеров

Роутер С (линк в сторону провайдера):

Код: Выделить всё: eth0 Link encap:Ethernet HWaddr 00:19:5B:83:C7:5F inet addr:62.149.4.62 Bcast:62.149.4.63 Mask:255.255.255.252 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:537558693 errors:0 dropped:0 overruns:0 frame:0 TX packets:647891043 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:108475311048 (101.0 GiB) TX bytes:477437422640 (444.6 GiB) Interrupt:217 Base address:0x8000

Роутер С (линк в локалку):

Код: Выделить всё: eth1 Link encap:Ethernet HWaddr 00:1D:7D:D2:D7:93 inet addr:178.170.233.1 Bcast:178.170.233.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:649361326 errors:0 dropped:0 overruns:0 frame:0 TX packets:538445833 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:477914213220 (445.0 GiB) TX bytes:106954010422 (99.6 GiB) Interrupt:233 Base address:0x6000 eth1:1 Link encap:Ethernet HWaddr 00:1D:7D:D2:D7:93 inet addr:194.15.126.1 Bcast:194.15.126.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:233 Base address:0x6000 eth1:2 Link encap:Ethernet HWaddr 00:1D:7D:D2:D7:93 inet addr:194.15.127.1 Bcast:194.15.127.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:233 Base address:0x6000

Роутер С (BGP):

Код: Выделить всё: router bgp 200 bgp router-id 62.149.4.62 ! network 178.170.233.0/24 network 194.15.126.0/23 ! neighbor 62.149.4.61 remote-as 100 neighbor 62.149.4.61 soft-reconfiguration inbound neighbor 62.149.4.61 description ColoCall neighbor 62.149.4.61 route-map DobryjHosting-Network out neighbor 62.149.4.61 route-map DobryjHosting-Network-in in ! neighbor 194.15.127.40 remote-as 200 neighbor 194.15.127.40 soft-reconfiguration inbound neighbor 194.15.127.40 next-hop-self neighbor 194.15.127.40 description DobryjHosting-gw-2 !neighbor 194.15.127.40 route-map DobryjHosting-gw-2-in in ! access-list 1 remark Localhost only access-list 1 permit 127.0.0.1 ! ip prefix-list DobryjHosting-AllNets permit 178.170.233.0/24 ip prefix-list DobryjHosting-AllNets permit 194.15.126.0/23 ! !ip prefix-list DobryjHosting-gw-2-in deny 0.0.0.0/32 ! route-map DobryjHosting-Network permit 10 match ip address prefix-list DobryjHosting-AllNets ! route-map DobryjHosting-Network-in permit 10 !set local-preference 50 ! !route-map DobryjHosting-gw-2-in deny 10 !match ip address prefix-list DobryjHosting-gw-2-in ! line vty access-class 1 !

Роутер D(линк в сторону провайдера):

Код: Выделить всё: eth1 Link encap:Ethernet HWaddr 00:21:91:D6:DA:A8 inet addr:62.149.4.50 Bcast:62.149.4.51 Mask:255.255.255.252 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:206307 errors:0 dropped:0 overruns:0 frame:0 TX packets:210458 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:44776342 (42.7 MiB) TX bytes:32635562 (31.1 MiB) Interrupt:58 Base address:0x6000

Роутер D(линк в локалку):

Код: Выделить всё: eth0 Link encap:Ethernet HWaddr 00:1C:C0:64:CB:03 inet addr:194.15.127.40 Bcast:194.15.127.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1876756 errors:0 dropped:0 overruns:0 frame:0 TX packets:8874 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:113079213 (107.8 MiB) TX bytes:1382065 (1.3 MiB) Interrupt:50 Base address:0x4000

Роутер D (BGPD):

Код: Выделить всё: router bgp 200 bgp router-id 62.149.4.50 ! network 178.170.233.0/24 network 194.15.126.0/23 ! network 194.15.127.4/32 ! ! neighbor 62.149.4.49 remote-as 100 neighbor 62.149.4.49 soft-reconfiguration inbound neighbor 62.149.4.49 description ColoCall neighbor 62.149.4.49 route-map DobryjHostingNetwork out neighbor 62.149.4.49 route-map DobryjHosting-ddos-hole out ! neighbor 194.15.127.1 remote-as 200 neighbor 194.15.127.1 soft-reconfiguration inbound neighbor 194.15.127.1 next-hop-self neighbor 194.15.127.1 description DobryjHosting-gw-1 neighbor 194.15.127.1 route-map DobryjHosting-gw-1-in in neighbor 194.15.127.1 route-map DobryjHosting-ddos-hole-for-gw-1 out ! access-list 1 remark Localhost only access-list 1 permit 127.0.0.1 ! ip prefix-list DobryjHostingNetwork permit 178.170.233.0/24 ip prefix-list DobryjHostingNetwork permit 194.15.126.0/23 ! ip prefix-list DobryjHosting-ddos-hole permit 194.15.127.4/32 ! ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24 ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23 ! route-map DobryjHostingNetwork permit 10 match ip address prefix-list DobryjHostingNetwork ! route-map DobryjHosting-ddos-hole permit 10 match ip address prefix-list DobryjHosting-ddos-hole set as-path prepend 200 set weight 2000 set local-preference 200 ! route-map DobryjHosting-ddos-hole-for-gw-1 permit 10 match ip address prefix-list DobryjHosting-ddos-hole ! route-map DobryjHosting-gw-1-in permit 10 match ip address prefix-list DobryjHosting-gw-1-in ! line vty access-class 1 !

Теперь продемонстрирую состояние сессий в обычном режиме и в режиме фильтрации

Роутер С (рабочий режим):

Код: Выделить всё: gw1.dobrohost.net# sh ip bgp BGP table version is 0, local router ID is 62.149.4.62 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 0.0.0.0 62.149.4.61 0 0 100 i *> 178.170.233.0/24 0.0.0.0 0 32768 i *> 194.15.126.0/23 0.0.0.0 0 32768 i Total number of prefixes 3 gw1.dobrohost.net#

Код: Выделить всё: [root@gw ~]# netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 62.149.4.60 0.0.0.0 255.255.255.252 U 0 0 0 eth0 178.170.233.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 194.15.126.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 194.15.127.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 62.149.4.61 0.0.0.0 UG 0 0 0 eth0 [root@gw ~]#

Роутер D (рабочий режим):

Код: Выделить всё: gw2.dobrohost.net# sh ip bgp BGP table version is 0, local router ID is 62.149.4.50 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 0.0.0.0 62.149.4.49 0 0 100 i *> 178.170.233.0/24 0.0.0.0 0 32768 i *> 194.15.126.0/23 0.0.0.0 0 32768 i Total number of prefixes 3 gw2.dobrohost.net#

Код: Выделить всё: [root@gw2 ~]# netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 62.149.4.48 0.0.0.0 255.255.255.252 U 0 0 0 eth1 194.15.127.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 62.149.4.49 0.0.0.0 UG 0 0 0 eth1 [root@gw2 ~]#

а теперь смотрим состояние при включении режима фильтрации

Роутер С (режим фильтрации):

Код: Выделить всё: gw1.dobrohost.net# sh ip bgp BGP table version is 0, local router ID is 62.149.4.62 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 0.0.0.0 62.149.4.61 0 0 100 i *> 178.170.233.0/24 0.0.0.0 0 32768 i *> 194.15.126.0/23 0.0.0.0 0 32768 i *>i194.15.127.4/32 194.15.127.40 0 100 0 i Total number of prefixes 4 gw1.dobrohost.net#

Код: Выделить всё: [root@gw ~]# netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 194.15.127.4 194.15.127.40 255.255.255.255 UGH 0 0 0 eth1 62.149.4.60 0.0.0.0 255.255.255.252 U 0 0 0 eth0 178.170.233.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 194.15.126.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 194.15.127.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 62.149.4.61 0.0.0.0 UG 0 0 0 eth0 [root@gw ~]#

Роутер D (режим фильтрации):

Код: Выделить всё: gw2.dobrohost.net# sh ip bgp BGP table version is 0, local router ID is 62.149.4.50 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 0.0.0.0 62.149.4.49 0 0 100 i *> 178.170.233.0/24 0.0.0.0 0 32768 i *> 194.15.126.0/23 0.0.0.0 0 32768 i *> 194.15.127.4/32 0.0.0.0 0 32768 i Total number of prefixes 4 gw2.dobrohost.net#

Код: Выделить всё: [root@gw2 ~]# netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 62.149.4.48 0.0.0.0 255.255.255.252 U 0 0 0 eth1 194.15.127.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 62.149.4.49 0.0.0.0 UG 0 0 0 eth1 [root@gw2 ~]#

Напоследок пытаюсь пингонуть фильтрованный хост из локалки:

Код: Выделить всё: nagios:~# ping -c5 194.15.127.4 PING 194.15.127.4 (194.15.127.4) 56(84) bytes of data. 64 bytes from 194.15.127.4: icmp_seq=1 ttl=64 time=3.78 ms From 178.170.233.1: icmp_seq=2 Redirect Host(New nexthop: 194.15.127.40) 64 bytes from 194.15.127.4: icmp_seq=2 ttl=64 time=1.08 ms From 178.170.233.1: icmp_seq=3 Redirect Host(New nexthop: 194.15.127.40) 64 bytes from 194.15.127.4: icmp_seq=3 ttl=64 time=1.19 ms 64 bytes from 194.15.127.4: icmp_seq=4 ttl=64 time=0.777 ms 64 bytes from 194.15.127.4: icmp_seq=5 ttl=64 time=0.494 ms --- 194.15.127.4 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 3999ms rtt min/avg/max/mdev = 0.494/1.467/3.786/1.185 ms nagios:~#

Вобщем то такой вот грустный расклад получается и третьи сутки я с ним ничего не могу сделать, перепробовал уже практически всё что у Вас тут нашёл(((

Прошу помощи.

**root** » 06 дек 2011, 21:52

привет

прости, но на сегодня у меня башка уже не варит на подобные вопросы, у самого сейчас по работе заморочек вагон.
попробую завтра с утра, если получится по времени, вникнуть в твой вопрос и сказать что нить.

**dobrohost** » 06 дек 2011, 22:03

Окей, спасибо буду ждать

**root** » 08 дек 2011, 10:31

Вчера не вышло, попробую вникнуть сегодня.
Итак вопросы:
1. А что за железка куда воткнуты PC`шки ? Это просто свич ? L3 свич ?
2. Что для PC`шек является def gw ?
3.

dobrohost писал(а):Задача состоит в том что бы анонс /32 префикса на роутере D переводил трафик этого адреса на себя

анонс куда ? апстриму ? соседу ?
сомневаюсь что апстрим пропустит анонс /32 маршрута через свои фильтры.
сейчас по конфигу роутера D можно судить что анонс /32 идет в обе стороны.
4. На роутере D у нейбора 62.149.4.49 написаны две route-map и обе на out. Это ошибка копипаста в форум лили это действительно так ? Маршрутная карта должна быть одна.
5. В роутмапе DobryjHosting-ddos-hole выставляется weight и local-preference, но это бесполезно, т.к. weight и loc-pref действует только "внутри" твоего роутера и eBGP пиру не передается, для eBGP передается только med атрибут, который он может и не обрабатывать, все зависит от того как настроен роутер апстрима.
Атрибут local-preference передается только между роутерами одной автономной системы (iBGP пирам), атрибут weight действует только в пределах роутера, на котором он установлен.
IP Routing :: BGP Case Studies

The weight attribute is a Cisco-defined attribute. This attribute uses weight to select a best path. The weight is assigned locally to the router. The value only makes sense to the specific router. The value is not propagated or carried through any of the route updates.

Unlike the weight attribute, which is only relevant to the local router, local preference is an attribute that routers exchange in the same AS.

6. По приведенным тобой конфигам и таблам роутинга роутера D, я так и не нашел где живет 194.15.127.4. Либо ты что то не докопипастил, либо я уже ничего не понимаю. BGP не будет анонсировать маршрут, если роутер сам не знает где он находится. При этом по выводу sh ip bgp он есть, а при netstat -rn его нет. Это как так ?

7.

dobrohost писал(а):Напоследок пытаюсь пингонуть фильтрованный хост из локалки:

Пингануть откуда ? SRC какой ? Дай трассу.

**dobrohost** » 08 дек 2011, 13:56

root писал(а):1. А что за железка куда воткнуты PC`шки ? Это просто свич ? L3 свич ?

обычный свитч

2. Что для PC`шек является def gw ?

Соответствующий вышестоящий роутер провайдера

анонс куда ? апстриму ? соседу ?
сомневаюсь что апстрим пропустит анонс /32 маршрута через свои фильтры.
сейчас по конфигу роутера D можно судить что анонс /32 идет в обе стороны.

и апстриму и соседу, апстрим принимает до 20 таких маршрутов , но выше себя он их не пропускает, и именно анонс апстриму работает нормально, входящий трафик перелетает

4. На роутере D у нейбора 62.149.4.49 написаны две route-map и обе на out. Это ошибка копипаста в форум лили это действительно так ? Маршрутная карта должна быть одна.

ммм(( да две, но я не знаю как по другому установить для передаваемого ему маршруту (только /32 му) set as-path prepend 200
хотя в одну карты можна же разные списки префиксов засунуть))) исправлюсь)

5. В роутмапе DobryjHosting-ddos-hole выставляется weight и local-preference, но это бесполезно, т.к. weight и loc-pref действует только "внутри" твоего роутера и eBGP пиру не передается, для eBGP передается только med атрибут, который он может и не обрабатывать, все зависит от того как настроен роутер апстрима.

это я уже понял, просто забыл убрать хлам этот

Атрибут local-preference передается только между роутерами одной автономной системы (iBGP пирам), атрибут weight действует только в пределах роутера, на котором он установлен.
IP Routing :: BGP Case Studies
The weight attribute is a Cisco-defined attribute. This attribute uses weight to select a best path. The weight is assigned locally to the router. The value only makes sense to the specific router. The value is not propagated or carried through any of the route updates.

Unlike the weight attribute, which is only relevant to the local router, local preference is an attribute that routers exchange in the same AS.

6. По приведенным тобой конфигам и таблам роутинга роутера D, я так и не нашел где живет 194.15.127.4. Либо ты что то не докопипастил, либо я уже ничего не понимаю. BGP не будет анонсировать маршрут, если роутер сам не знает где он находится. При этом по выводу sh ip bgp он есть, а при netstat -rn его нет. Это как так ?

ну анонсирую я его с роутера D (или как понять где он живёт?) по сути это же один адрес из сети 194.15.126.0/23 которая прописана на роутере C , а то что в карте не появляется это да (там висит только полная сеть 194.15.127.0/24 на ифасе eth0)

7.
dobrohost писал(а):Напоследок пытаюсь пингонуть фильтрованный хост из локалки:

Пингануть откуда ? SRC какой ? Дай трассу.

я пинговал с сервера клиента находящегося за свитчем 178.170.233.96 (шлюз у него прописан 178.170.233.1)

За допущенные косяки))) прошу не пинать, со всем этим сталкиваюсь в принципе впервые, и немного проясню ситуацию

Провайдер это Дата центр, клиенты после свитча это ВДС сервера и выделенные сервера, все они расположены в сетях 178.170.233.0/24 (шлюз 178.170.233.1) 194.15.126.0/24 (шлюз 194.15.126.1) и 194.15.127.0/24 (шлюз 194.15.127.1) на любом фильтруемом (то есть том что должен пройти через роутер D) адресе шлюзом прописан наименьший адрес его сети в том числе и на том апи что в примере показан 194.15.127.4 (шлюз 194.15.127.1)

все эти шлюзы прописаны на роутере С (а на роутере D прописан адрес 194.15.127.40 (позже будут и адреса из других сетей) именно этот адрес должен стать шлюзом для фильтруемого адреса) и если я на машинке 194.15.127.4 прописываю шлюзом именно 194.15.127.40 то всё работает и трафик идёт через роутер D, но нужно что бы это происходило автоматически(((

И сейчас после всех моих (горе настроек) появился неприятный казус в локалке из сети 178.170.233.0/24 не пингуются адреса из сетей 194.15.127.0/24 и 194.15.126.0/24 только шлюзы((((

**dobrohost** » 08 дек 2011, 15:09

P.S. Причём проблемы в локалке временные то есть то нету((( сейчас вот попробовал всё нормально пингуется, но временами проскакивает вот такое

Код: Выделить всё: -bash-3.2# ping -c5 194.15.127.45 PING 194.15.127.45 (194.15.127.45) 56(84) bytes of data. 64 bytes from 194.15.127.45: icmp_seq=1 ttl=63 time=0.445 ms 64 bytes from 194.15.127.45: icmp_seq=2 ttl=63 time=0.532 ms 64 bytes from 194.15.127.45: icmp_seq=3 ttl=64 time=0.547 ms From 194.15.126.1: icmp_seq=4 Redirect Host(New nexthop: 194.15.127.45) 64 bytes from 194.15.127.45: icmp_seq=4 ttl=64 time=0.441 ms 64 bytes from 194.15.127.45: icmp_seq=5 ttl=64 time=0.412 ms --- 194.15.127.45 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 3999ms rtt min/avg/max/mdev = 0.412/0.475/0.547/0.057 ms -bash-3.2#

это пинг с хоста 178.170.233.50 (шлюзом у него прописан 178.170.233.1)

**root** » 09 дек 2011, 08:30

dobrohost писал(а):Соответствующий вышестоящий роутер провайдера

это как это ? такого быть не может. у них или роутер C или роутер D должен выступать шлюзом.

dobrohost писал(а):апстрим принимает до 20 таких маршрутов , но выше себя он их не пропускает

а, ну если ты договорился с апстримом, то тогда понятно.

dobrohost писал(а):ммм(( да две, но я не знаю как по другому установить для передаваемого ему маршруту (только /32 му) set as-path prepend 200

все делается в одной роутмапе

Route map entries are read in order. You can identify the order using the sequence_number option
route-map name {permit | deny} [sequence_number]

соответственно:

Код: Выделить всё: route-map test deny 10 match .... set .... route-map test permit 20 match .... route-map test permit 30 match .... set ....

dobrohost писал(а):просто забыл убрать хлам этот

убери, он точно не нужен, все лишнее в топку

dobrohost писал(а):ну анонсирую я его с роутера D (или как понять где он живёт?)

"живет" - прописан на сетевом интерфейсе. Он же должен принадлежать какому то хосту. Так вот где он ?

dobrohost писал(а):по сути это же один адрес из сети 194.15.126.0/23 которая прописана на роутере C

и что с этого ? Маска то у него more specific.

dobrohost писал(а): а то что в карте не появляется это да (там висит только полная сеть 194.15.127.0/24 на ифасе eth0)

опять же, /24, это не /32, одно из правил протокола BGP: не анонсировать маршруты, которых нет в таблице маршрутизации, т.е. тех которых о не знает.
И честно сказать я пока удивлен какого черта он у тя вообще анонсит этот маршрут, если он сам не знает где этот хост. Либо ты все же что то недообъяснял, либо я пока не могу сообразить, т.к. всегда сложно "лечить по фотографии"

.
Покажи на роутере D вывод команд:

Код: Выделить всё: route -n get 194.15.127.4

Код: Выделить всё: arp -n 194.15.127.4

dobrohost писал(а):я пинговал с сервера клиента находящегося за свитчем 178.170.233.96 (шлюз у него прописан 178.170.233.1)

эмм и где этот свич ? что то я не наблюдаю его на схеме.
так если там шлюз 178.170.233.1, то ясно что исходящий трафик пойдет в первую очередь на роутер С. А ты как хочешь ? Чтобы на роутер D шел ?

dobrohost писал(а):Провайдер это Дата центр, клиенты после свитча это ВДС сервера и выделенные сервера

это я уже сообразил

dobrohost писал(а):все эти шлюзы прописаны на роутере С (а на роутере D прописан адрес 194.15.127.40 (позже будут и адреса из других сетей) именно этот адрес должен стать шлюзом для фильтруемого адреса) и если я на машинке 194.15.127.4 прописываю шлюзом именно 194.15.127.40 то всё работает и трафик идёт через роутер D, но нужно что бы это происходило автоматически(((

ну ессно, что если ты пишешь шлюзом роутер С, то трафик идет на роутер С.
а вот теперь давай разберемся, что именно должно быть автоматически ? Меняться def gw у хоста ?

dobrohost писал(а):И сейчас после всех моих (горе настроек) появился неприятный казус в локалке из сети 178.170.233.0/24 не пингуются адреса из сетей 194.15.127.0/24 и 194.15.126.0/24 только шлюзы((((

смотри трассу и tcpdump

dobrohost писал(а):сейчас вот попробовал всё нормально пингуется, но временами проскакивает вот такое

а что тебя смущает ? Redirect Host ? Отруби на роутере С вывод сообщений о редиректах.

**dobrohost** » 09 дек 2011, 12:49

root писал(а):это как это ? такого быть не может. у них или роутер C или роутер D должен выступать шлюзом.

Ну увы их топографии я не знаю и устройства с которым строю взаимодействие тоже не знаю, но трассировка к любому моему хосту с наружи выглядет так:

Код: Выделить всё: Трассировка маршрута до 178.170.233.50 завершена! 1 62.152.63.129 (62.152.63.129) 0.587 ms 0.311 ms 0.271 ms 2 te4-3-11-alpha.msk.citytelecom.ru (217.65.1.245) 152.848 ms 20.188 ms 230.965 ms 3 te2-4-23-alpha.ua.citytelecom.ru (217.65.1.242) 19.804 ms 19.792 ms 19.762 ms 4 31.28.1.246 (31.28.1.246) 19.845 ms 19.798 ms 19.749 ms 5 gw.itsystems-ua.ll.colocall.com (62.149.20.65) 19.917 ms 19.874 ms 19.940 ms 6 athena.colocall.net (62.149.2.108) 20.207 ms 20.023 ms 19.965 ms 7 gw1.dobrohost.net (62.149.4.62) 20.061 ms 20.030 ms 20.052 ms 8 dobryjhosting.ru (178.170.233.50) 20.180 ms 24.107 ms 20.173 ms

root писал(а):убери, он точно не нужен, все лишнее в топку

Убрал, вот так сейчас выглядит конфиг роутера D:

Код: Выделить всё: router bgp 200 bgp router-id 62.149.4.50 ! network 178.170.233.0/24 network 194.15.126.0/23 ! network 194.15.127.4/32 ! ! neighbor 62.149.4.49 remote-as 100 neighbor 62.149.4.49 soft-reconfiguration inbound neighbor 62.149.4.49 description ColoCall neighbor 62.149.4.49 route-map DobryjHostingNetwork out ! neighbor 194.15.127.1 remote-as 200 neighbor 194.15.127.1 soft-reconfiguration inbound neighbor 194.15.127.1 next-hop-self neighbor 194.15.127.1 description DobryjHosting-gw-1 neighbor 194.15.127.1 route-map DobryjHosting-gw-1-in in neighbor 194.15.127.1 route-map DobryjHostingNetwork-for-gw-1 out ! access-list 1 remark Localhost only access-list 1 permit 127.0.0.1 ! ip prefix-list DobryjHostingNetwork permit 178.170.233.0/24 ip prefix-list DobryjHostingNetwork permit 194.15.126.0/23 ! ip prefix-list DobryjHosting-ddos-hole permit 194.15.127.4/32 ! ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/24 ip prefix-list DobryjHosting-gw-1-in permit 0.0.0.0/23 ! route-map DobryjHostingNetwork permit 10 match ip address prefix-list DobryjHostingNetwork ! route-map DobryjHostingNetwork permit 20 match ip address prefix-list DobryjHosting-ddos-hole set as-path prepend 200 ! route-map DobryjHostingNetwork-for-gw-1 permit 10 match ip address prefix-list DobryjHosting-ddos-hole ! route-map DobryjHosting-gw-1-in permit 10 match ip address prefix-list DobryjHosting-gw-1-in ! line vty access-class 1

root писал(а):И честно сказать я пока удивлен какого черта он у тя вообще анонсит этот маршрут, если он сам не знает где этот хост. Либо ты все же что то недообъяснял, либо я пока не могу сообразить, т.к. всегда сложно "лечить по фотографии" .
Покажи на роутере D вывод команд:
Код: Выделить всё
route -n get 194.15.127.4

Код: Выделить всё
arp -n 194.15.127.4

Ну да виноват каюсь небыло его в карте, исправил прописав его в конфиг зебры ip route 194.15.127.4/32 eth0
в результате он появился в маршрутной карте:

Код: Выделить всё: [root@gw2 ~]# netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 194.15.127.4 0.0.0.0 255.255.255.255 UH 0 0 0 eth0 62.149.4.48 0.0.0.0 255.255.255.252 U 0 0 0 eth1 194.15.127.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 62.149.4.49 0.0.0.0 UG 0 0 0 eth1

Код: Выделить всё: [root@gw2 ~]# arp -n 194.15.127.4 Address HWtype HWaddress Flags Mask Iface 194.15.127.4 ether AA:00:F6:F4:06:01 C eth0 [root@gw2 ~]#

Мне почему то казалось что quagga сама должна это сделать, ведь на основном роутере она исправила маршрут и убрала этот апи из своей маршрутной карты

но сути это не поменяло хост как работал на выход через первый роутер так и работает:

Код: Выделить всё: sh-3.2# traceroute ya.ru traceroute to ya.ru (87.250.250.203), 30 hops max, 40 byte packets 1 194.15.127.1 (194.15.127.1) 0.295 ms 0.596 ms 0.587 ms 2 gw1.dobrohost.cc.colocall.com (62.149.4.61) 0.758 ms 0.986 ms 0.964 ms 3 hobbit.colocall.net (62.149.2.99) 0.951 ms 0.928 ms 1.117 ms 4 yandex-10G-gw.ix.net.ua (195.35.65.88) 0.625 ms 0.605 ms 0.573 ms 5 panas-vlan601.yandex.net (87.250.233.69) 7.797 ms 7.788 ms 7.765 ms 6 l3-dante-panas.yandex.net (213.180.213.118) 20.162 ms 20.116 ms 20.039 ms 7 213.180.213.102 (213.180.213.102) 20.614 ms 20.925 ms 20.852 ms 8 l3-s3600-s1300.yandex.net (213.180.213.75) 21.584 ms 21.565 ms 21.543 ms 9 www.yandex.ru (87.250.250.203) 21.510 ms 21.147 ms 21.116 ms sh-3.2#

и всё бы ничего если бы хост оставался доступен снаружи (бог с ним что исходящий идёт через первый роутер) задача то отправить на фильтрацию входящий трафик (он то перетекает) но вот хост становится не доступен и трасса к нему рвётся именно на роутере D

Код: Выделить всё: Трассировка маршрута до 194.15.127.4 завершена! 1 62.152.63.129 (62.152.63.129) 0.537 ms 0.388 ms 0.298 ms 2 te4-3-11-alpha.msk.citytelecom.ru (217.65.1.245) 19.900 ms 19.815 ms 19.789 ms 3 te2-4-23-alpha.ua.citytelecom.ru (217.65.1.242) 19.728 ms 19.769 ms 19.735 ms 4 31.28.1.246 (31.28.1.246) 19.783 ms 19.784 ms 19.739 ms 5 gw.itsystems-ua.ll.colocall.com (62.149.20.65) 19.853 ms 19.859 ms 19.846 ms 6 athena.colocall.net (62.149.2.108) 20.163 ms 20.035 ms 20.042 ms 7 62.149.4.50 (62.149.4.50) 20.066 ms 20.011 ms 20.021 ms 8 * * * 9 * * * 10 * * *

root писал(а):эмм и где этот свич ? что то я не наблюдаю его на схеме.

под роутерами C и D

root писал(а):так если там шлюз 178.170.233.1, то ясно что исходящий трафик пойдет в первую очередь на роутер С. А ты как хочешь ? Чтобы на роутер D шел ?

что бы трафик с того хоста который переведён на роутер D (в нашем примере 194.15.127.4) и шёл на роутер D

root писал(а):а вот теперь давай разберемся, что именно должно быть автоматически ? Меняться def gw у хоста ?

Что бы исходящий трафик попадал на роутер D , увы я не знаю какими средствами этого добится но мне так думалось что роутер С в состоянии как то редиректить трафик и переадресовывать его на роутер D (так как поменять шлюз на самом хосте далеко не всегда возможно) не исключаю что для этого нужно поднимать ещё что то что будет управлять этим трафиком , но решить вопрос каким либо методом нужно.

P.S. я повторюсь что по сути не столь важно куда пойдёт исходящий трафик (если он идёт через роутер С то главное сохранить работоспособность хоста)

Извиняюсь если сказал бред, но я пока что изучаю все эти моменты и не исключаю что вопросы и пожелания мои могут казаться смешными)

root писал(а):а что тебя смущает ? Redirect Host ? Отруби на роутере С вывод сообщений о редиректах.

А подскажите как это сделать?

**dobrohost** » 11 дек 2011, 11:52

Мне так кажется что мою проблему решит или "Умный свитч" умеющий BGP или же ещё один роутер установленый на стык между роутерами C и D и свитчем, правильно ли я предпологаю?

**dobrohost** » 11 дек 2011, 14:14

Вот появилась возможность завладеть железкой аля Cisco WS-C3550-48-EMI

Погуглив по её характеристикам понял что с BGP она не дружит, но дружит с OSPF, следующий вопрос такого плана реально ли будет подружить Роутеры C и D с этим свитчем с целью управления исходящим трафиком?

Насколько я понял Quagga поддерживает редистрибуцию из BGP в OSPF но всё же хочется услышать мнение профессионала, стоит ли заморачиваться?

P.S. Сразу оговорюсь по поводу девайса Cisco С3570 , да он умеет BGP но увы для моих масштабов он дорог, хотелось бы обойтись малой кровью)

Subnets.ru

Переброс /32 на второй канал

Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Re: Переброс /32 на второй канал

Кто сейчас на конференции