The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

200M поток и BGP FullView через cisco2811 + L3 свич в авральной ситуации 
Предыстория:
"вдруг" отвалился пограничный маршрутизатор, переваривавший BGP FullView (далее
FV) и 200M интернета.
Поехать на объект, разбираться что с ним - времени минимум часа 1,5-2 уйдёт,
если что-то серьёзное, то ещё больше.

На том же объекте стоит cisco 2811 (768Мб RAM), и если FV она еще примет, то
200М ну никак не осилит.

После примерно 5 минут размышлений решаю попробовать разрулить все это это 2-мя
устройствами: cisco 2811 и L3 свичем.

Порядок действий:

1.Звоню апстриму, благо люди знакомые и понимающие - договариваюсь, чтобы на мой линк повесили 
подсеть /29 вместо /30, дают подсетку 1.1.1.0/29 1.1.1.1 - на их стороне;
1.1.1.2 - на моей для BGP.

2.На L3 свиче приземляю нужный VLAN и прописываю IP 1.1.1.3/29 (L3 свич в моей
сети участвует по OSPF-у).

3.На  cisco 2811 настраиваем BGP, ключевой момент:

   router bgp xxx
   neighbor 1.1.1.1 route-map UP-1-OUT out

   route-map  UP-1-OUT permit 100
   match ip address prefix-list My-Networks
   set ip next-hop 1.1.1.3

My-Networks - prefix-list в котором перечислены префиксы, для которых подставлять нужный  next-hop.

Весь исходящий трафик лично я перенаправил через другой канал, оконченный на другой железке.

И последний штрих - обеспечиваем отказоустойчивость, если вдруг наш L3 свитч
перестаёт маршрутизировать
(с недорогими моделями такое вполне может случиться) то надо как-то обеспечить
работоспособность канала,
было много идей и с условным анонсированием, и с редистрибуцией из другого
протокола, но все это было
как-то громоздко и неудобно. Решение нашлось простое и изящное - использовать VRRP !

Итак на ip интерфейсе свича настраиваем vrrp группу 1 на ip 1.1.1.3 с приоритетом например 100, 
а на cisco 2811 на соответствующем интерфейсе vrrp группу 1 на ip 1.1.1.3 с
приоритетом например 50.

для cisco выглядит так:

   int fast0/0.<n>
   vrrp 1 ip 1.1.1.3
   vrrp 1 priority 50

Для полноты картины, дабы не "завалить" маршрутизатор в случае отказа L3 свича
или разрыва с ним связи,
настраиваем на порту свича, куда включён маршрутизатор, шейпер на величину
приемлемую для маршрутизатора,
в моем случае я настроил 40 Мбит.


Итог.

Схема проработала несколько дней (пока ремонтировали блок питания на отказавшем
маршрутизаторе), практически без проблем.

Преимущества:

* такая схема может переварить трафика довольно много, при отсутствии трафика через cisco 2811 
(напомню, что исход полностью ушёл в другой канал, в этот попало примерно 3-4% - те подсети, 
которых не было в анонсах второго апстрима) практически производительность свича.
* быстро и дешево.
* довольно высокая отказоустойчивость, свич L3 и маршрутизатор могут быть
разнесены вообще по разным
площадкам, в общем есть пространство для маневров.

Из недостатков:

* нельзя снять netflow со свича, ибо мой не умеет этого.
* недорогие L3 свичи не умеют отдать по snmp трафик по IP интерфейсу,
определить сколько потребляется
интернета можно только косвенными путями.
 
15.09.2009 , Автор: fantom
Ключи: cisco, switch, bgp, route, backup / Лицензия: CC-BY
Раздел:    Корень / Маршрутизаторы Cisco, VoIP / Настройка маршрутизации (BGP, OSPF, RIP)

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, fozz (?), 10:53, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  []     [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    а что мешало просто на L3-свитч принять трафик? ну порезали бы FV до дефолта.
     
     
  • 2.2, fantom (??), 10:57, 16/09/2009 [^] [^^] [^^^] [ответить]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    Отсутствие на L3 свиче BGP протокола. :)
    Ну нету его на ZyXel GS4012F.
     

  • 1.3, fantom (ok), 11:06, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  []     [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    К тому же мне нужен был именно фул, т.к. пара абонентов берет у меня фул.
     
  • 1.4, ws (ok), 11:22, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    >> * если откажет L3 свич надо как-то либо прекратить анонсировать соответствующие сети,

    либо подставлять нормальный next-hop, как это проделать пока не придумал.

    А прокинуть от пира связь на cisco 2811 через этот L3 свитч?

     
  • 1.5, fantom (ok), 12:58, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  []     [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    ebgp-multihop имеется ввиду? или что-то другое?
     
     
  • 2.10, ws (ok), 14:55, 16/09/2009 [^] [^^] [^^^] [ответить]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    Ни только ebgp-multihop (с этим вариантом можно было у апстрима не выпрашивать сетку /29). Другой вариант - прокинуть VLAN внешнего канала на cisco через этот L3 свитч (если я правильно представляю топологию вашей сети).
    Смысл применения VRRP исходя из условий:
    >> На том же объекте стоит cisco 2811 (768Мб RAM), и если FV она еще примет, то 200М ну никак не осилит.

    что бы хоть как-то держать канал?

     
     
  • 3.11, fantom (ok), 15:04, 16/09/2009 [^] [^^] [^^^] [ответить]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    Можно было и прокинуть, но как показал опыт - у GS4012F иногда "зависает" L3 функционал, т.е. ВЛАН-ы он четез себя пропускает, как L2 работает, но вот управление становится недоступным и как маршрутизатор он больше неработает, соответственно проброс ВЛАН-а через GS4012F не даст желаемого эффекта;
    БГП будет жить нормально и заворачивать трафик на ИП, который недоступен - инета небудет.
    Уж лучше канал подрезать чем завалить все вообще.
     

  • 1.6, fantom (ok), 13:05, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  []     [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    Недостаток с отказом L3 свича устранен, заметка исправлена.
     
  • 1.7, nanodaemon (ok), 13:11, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    а зачем БГП если один фв и зачем погранец с одним БП ?

    ну а крутить бгп роутиром а трафик гнать через свищ - далеко не откровение. наверный каждый второй ( если не первый ) IX в рассее бгп крутит на писюке а трафик гонят на свище...

     
  • 1.8, fantom (ok), 13:20, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    1. "а зачем БГП если один фв..."
    В заметке НЕ описана полная структура сети, замечание не по теме.
    2. "зачем погранец с одним БП..." я прекрасно понимаю, что бывает "как надо" и бывает "как получилось"; вопрос не в этом, вопрос был "что делать, и можно ли обойтись тем, что есть?".

    Вариант принимать BGP на ПК или кошку через ebgp-multihop я встречал, это альтернативный вариант, лично мне мой подход нравится больше.

     
  • 1.9, fantom (ok), 13:22, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    Кроме того отказ БП - частный случай, произошол отказ и неважно по какой причине...
     
  • 1.13, test (??), 15:40, 17/09/2009 [ответить] [﹢﹢﹢] [ · · · ]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    * недорогие L3 свичи не умеют отдать по snmp трафик по IP интерфейсу, определить сколько потребляется
    интернета можно только косвенными путями.

    ээээ, уважаемый, помоему сейчас snmp умеет даже кофеварка....

     
     
  • 2.14, fantom (??), 17:43, 17/09/2009 [^] [^^] [^^^] [ответить]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    Нагрузку порта физического - да, без проблем.
    А вот если на vlan повесить IP - то трафик, отмаршрутизированный через этот IP посчитает и по snmp отдаст не каждый свич.
    Cisco это умеет, zyxel- НЕТ.
     
     
  • 3.15, chesnok (ok), 22:12, 20/09/2009 [^] [^^] [^^^] [ответить]      [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
    		• +/
    cisco l3 switch обычный "клозедник" со SVI интерфейса не покажет трафик по snmp
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру