The OpenNET Project: 200M поток и BGP FullView через cisco2811 + L3 свич в авральной ситуации

200M поток и BGP FullView через cisco2811 + L3 свич в авральной ситуации	[исправить]
Предыстория: "вдруг" отвалился пограничный маршрутизатор, переваривавший BGP FullView (далее FV) и 200M интернета. Поехать на объект, разбираться что с ним - времени минимум часа 1,5-2 уйдёт, если что-то серьёзное, то ещё больше. На том же объекте стоит cisco 2811 (768Мб RAM), и если FV она еще примет, то 200М ну никак не осилит. После примерно 5 минут размышлений решаю попробовать разрулить все это это 2-мя устройствами: cisco 2811 и L3 свичем. Порядок действий: 1.Звоню апстриму, благо люди знакомые и понимающие - договариваюсь, чтобы на мой линк повесили подсеть /29 вместо /30, дают подсетку 1.1.1.0/29 1.1.1.1 - на их стороне; 1.1.1.2 - на моей для BGP. 2.На L3 свиче приземляю нужный VLAN и прописываю IP 1.1.1.3/29 (L3 свич в моей сети участвует по OSPF-у). 3.На cisco 2811 настраиваем BGP, ключевой момент: router bgp xxx neighbor 1.1.1.1 route-map UP-1-OUT out route-map UP-1-OUT permit 100 match ip address prefix-list My-Networks set ip next-hop 1.1.1.3 My-Networks - prefix-list в котором перечислены префиксы, для которых подставлять нужный next-hop. Весь исходящий трафик лично я перенаправил через другой канал, оконченный на другой железке. И последний штрих - обеспечиваем отказоустойчивость, если вдруг наш L3 свитч перестаёт маршрутизировать (с недорогими моделями такое вполне может случиться) то надо как-то обеспечить работоспособность канала, было много идей и с условным анонсированием, и с редистрибуцией из другого протокола, но все это было как-то громоздко и неудобно. Решение нашлось простое и изящное - использовать VRRP ! Итак на ip интерфейсе свича настраиваем vrrp группу 1 на ip 1.1.1.3 с приоритетом например 100, а на cisco 2811 на соответствующем интерфейсе vrrp группу 1 на ip 1.1.1.3 с приоритетом например 50. для cisco выглядит так: int fast0/0.<n> vrrp 1 ip 1.1.1.3 vrrp 1 priority 50 Для полноты картины, дабы не "завалить" маршрутизатор в случае отказа L3 свича или разрыва с ним связи, настраиваем на порту свича, куда включён маршрутизатор, шейпер на величину приемлемую для маршрутизатора, в моем случае я настроил 40 Мбит. Итог. Схема проработала несколько дней (пока ремонтировали блок питания на отказавшем маршрутизаторе), практически без проблем. Преимущества: * такая схема может переварить трафика довольно много, при отсутствии трафика через cisco 2811 (напомню, что исход полностью ушёл в другой канал, в этот попало примерно 3-4% - те подсети, которых не было в анонсах второго апстрима) практически производительность свича. * быстро и дешево. * довольно высокая отказоустойчивость, свич L3 и маршрутизатор могут быть разнесены вообще по разным площадкам, в общем есть пространство для маневров. Из недостатков: * нельзя снять netflow со свича, ибо мой не умеет этого. * недорогие L3 свичи не умеют отдать по snmp трафик по IP интерфейсу, определить сколько потребляется интернета можно только косвенными путями.


15.09.2009 , Автор: fantom Ключи: cisco, switch, bgp, route, backup / Лицензия: CC-BY
Раздел: Корень / Маршрутизаторы Cisco, VoIP / Настройка маршрутизации (BGP, OSPF, RIP)

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, fozz (?), 10:53, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
а что мешало просто на L3-свитч принять трафик? ну порезали бы FV до дефолта.

2.2, fantom (??), 10:57, 16/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Отсутствие на L3 свиче BGP протокола. :) Ну нету его на ZyXel GS4012F.

1.3, fantom (ok), 11:06, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
К тому же мне нужен был именно фул, т.к. пара абонентов берет у меня фул.

1.4, ws (ok), 11:22, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>> * если откажет L3 свич надо как-то либо прекратить анонсировать соответствующие сети,

либо подставлять нормальный next-hop, как это проделать пока не придумал.

А прокинуть от пира связь на cisco 2811 через этот L3 свитч?

1.5, fantom (ok), 12:58, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
ebgp-multihop имеется ввиду? или что-то другое?

2.10, ws (ok), 14:55, 16/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Ни только ebgp-multihop (с этим вариантом можно было у апстрима не выпрашивать сетку /29). Другой вариант - прокинуть VLAN внешнего канала на cisco через этот L3 свитч (если я правильно представляю топологию вашей сети).
Смысл применения VRRP исходя из условий:
>> На том же объекте стоит cisco 2811 (768Мб RAM), и если FV она еще примет, то 200М ну никак не осилит.

что бы хоть как-то держать канал?

3.11, fantom (ok), 15:04, 16/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Можно было и прокинуть, но как показал опыт - у GS4012F иногда "зависает" L3 функционал, т.е. ВЛАН-ы он четез себя пропускает, как L2 работает, но вот управление становится недоступным и как маршрутизатор он больше неработает, соответственно проброс ВЛАН-а через GS4012F не даст желаемого эффекта; БГП будет жить нормально и заворачивать трафик на ИП, который недоступен - инета небудет. Уж лучше канал подрезать чем завалить все вообще.

1.6, fantom (ok), 13:05, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Недостаток с отказом L3 свича устранен, заметка исправлена.

1.7, nanodaemon (ok), 13:11, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
а зачем БГП если один фв и зачем погранец с одним БП ? ну а крутить бгп роутиром а трафик гнать через свищ - далеко не откровение. наверный каждый второй ( если не первый ) IX в рассее бгп крутит на писюке а трафик гонят на свище...

1.8, fantom (ok), 13:20, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
1. "а зачем БГП если один фв..." В заметке НЕ описана полная структура сети, замечание не по теме. 2. "зачем погранец с одним БП..." я прекрасно понимаю, что бывает "как надо" и бывает "как получилось"; вопрос не в этом, вопрос был "что делать, и можно ли обойтись тем, что есть?". Вариант принимать BGP на ПК или кошку через ebgp-multihop я встречал, это альтернативный вариант, лично мне мой подход нравится больше.

1.9, fantom (ok), 13:22, 16/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Кроме того отказ БП - частный случай, произошол отказ и неважно по какой причине...

1.13, test (??), 15:40, 17/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
* недорогие L3 свичи не умеют отдать по snmp трафик по IP интерфейсу, определить сколько потребляется интернета можно только косвенными путями. ээээ, уважаемый, помоему сейчас snmp умеет даже кофеварка....

2.14, fantom (??), 17:43, 17/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Нагрузку порта физического - да, без проблем. А вот если на vlan повесить IP - то трафик, отмаршрутизированный через этот IP посчитает и по snmp отдаст не каждый свич. Cisco это умеет, zyxel- НЕТ.

3.15, chesnok (ok), 22:12, 20/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
cisco l3 switch обычный "клозедник" со SVI интерфейса не покажет трафик по snmp

игнорирование участников | лог модерирования

Добавить комментарий

Имя:
E-Mail:
Заголовок:
Текст: