Dosazitelnost BGP routeru

[Zbyněk Burget]

Dne 8. 2. 2016 v 9:35 Jozef Drahovsky napsal(a):
>
> Dňa 08.02.2016 o 01:42 Zbyněk Burget napísal(a):
>>
>> Mame IP adresy (IPv4 /22 - jsme kvuli tomu LIR; IPv6 /29). Mame ASN.
>> Mame dva providery, prozatim z duvodu testovani a doladeni konfigurace
>> mame BGP session navazanou jen s jednim. Edge router je postaveny na
>> FBSD / bird (za danych okolnosti je rozhodujici cena).
>> Routing nam funguje (aspon se tak tedy tvari). Nase ASN zatim jeste
>> neni vypropagovane do sveta, abychom mohli bezpecne experimentovat,
>> ale peery naseho peeru se uz o nejakou castecnou propagaci postaraly.

Jen pro dokrtesleni situace:
Puvodni stav byl dve samostatne site ve dvou lokalitach s dvema 
samostatnymi konektivitami od jednoho ISP. Z duvodu predevsim backupu 
konektivity jsme poridili konektivitu od druheho ISP uplne jinou 
technologii a uplne jinou trasou. Puvodni ISP je pripojeny do 
peering.cz, novy ISP je br-ix - brnensky peeringovy uzel - provozuje VUT.
Dve lokality siti BUDOU propojeny - pracuje se na tom.
Site zatim bezi pres puvodniho providera, takze mame prostor na 
experimenty. V tomto stavu to bude jeste predpokladam tak cca tyden, 10 
dni a pak pres to pustime provoz z te lokality. Nasledne podle 
zkusenosti zapneme i druhy edge router v druhe lokalite proti tam 
stavajicimu ISP - tam uz prostor na experimenty nebude, protoze se do 
toho musi preklopit cely tamni provoz.
Propojeni obou lokalit bude realizovane az nalsedne potom, takze nejakou 
chvili pojedeme obe lokality jeste samostatne.
>
> Takze rekapitulacia:
> mate vlastne AS i ked lokalne -  to je ok a nutna podmienka

ASN mame verejne - pridelene od RIPE

> mate dvoch providerov a u kazdeho ip adresu na peer ich BGP routra
> odhadujem, ze obe su IPv4 su a verejne

Ano, ale...
v danem okamziku - vylozene testovaci provoz - mame zapnuty jen jeden z 
tech dvou BGP routeru a navazanou BGP session jen s jednim providerem.

> mate od kazdeho providera IPv4 adresu pre vas interface BGP rutra, tu
> mam otazku
> lebo pisete, ze ide o lokalnu ip adresu. Od oboch je lokalna alebo od
> jedneho lokalna a od druheho verejna?

Obe adresy jsou verejne, ale...
puvodniho ISP zatim neresime z vyse uvedeneho duvodu
Resime ted pouze BGP vuci br-ix - adresa od nich sice je verejna, ale 
neni routovana do internetu. Slouzi tedy jen pro ucely routovani a BGP.

> ma vas BGP router pingatelnu konektivitu na kazdy bgp peer router?

Ano, ale pouze na nej (resp. na IP adresy v danem bloku). Skrz BGP 
router je internet normalne dostupny.


>
> mate od jedneho providera siet IPv4  z neho je jedna IP adrersa GW na 3
> interface rutra.
> Takto siet sa oznamuje do sveta nie solo, ale v ramci agregacie daneho
> providera.

Nase IP adresy mame navazany na nas AS - oznamovany do sveta by mely byt 
jak adresy, tak AS. ...nebo jsem nepochopil tuto vetu.

>
> Ina situacia ma byt v narodnom peeringovom centre kde vasu siet ivp4
> oznamuje individualne informaciou od vasho BGP routra

Ted jsme prave v situaci, kdy jsme pripojeni do peeringoveho uzlu. Nase 
sit prozatim neni nasim peerem oznamovana do sveta (abychom si 
nevyrobili nejaky problem pri nejakch experimentech - shazovani a 
nahazovani BGP session), ale o propagaci se uz postaraly dalsi BGP 
routery v peeringovam centru.

> Takto by mali vasu siet oznamovat oba provideri z vasho BGP routra.
> Dufam ze mate moznosti sa pozret na aktualne tabulky a odskusat co sa
> stane ked jeden a potom druhy interface zhodite.
>
>
> Domnievam sa, ze vsetku zakladnu konektivitu mate postavenu na IPv4 a
> nie IPv6, cize BGP route komunikuju v IPv4.
>
> IPv6 mozete riesit viacero sposobmy od tunelovania az po uplne paralelny
> svet, ze vsetky interface budu mat aj IPv6 adresu
> a bude fungovat aj ked vsetky IPv4 adresy vymazete, ale to musia
> podporovat aj obaja provideri.

Routovaci daemon bezi zvlast pro IPv4 a zvlst pro IPv6. Takze b) by melo 
byt spravne.


> Ked sa pozrem do SIX ak piruju tak vsetci na IPv4 ale nie vsetci aj na
> IPv6.
> pozrite si rozdiel v mapach IPv4 a IPv6
> http://www.six.sk/index.php?page=isp_ipv4
>
> Ako to mate v CZ to momentalne netusim https://www.peering.cz/traffic
> web nie je tak dobre spraveny ako v SK
>
>
>> Co ovsem resime je problem, ze vnejsi interface edge routeru ma
>> neroutovatelne adresy. U FBSD bohuzel nejde stroji vysvetlit, ze
>> chceme, aby pro navazovani spojeni pouzival nejakou konkretni IP
>> adresu. Nebo pokud mu to vysvetlit jde, ja nikde nenasel jak.
>> V tomhle nam ale BGP asi nijak nepomuze. Resp. aspon mne vubec
>> nenapada jak :-(
>
> V principe nevadi, ze pouzivate lokalne IP adresy na BGP routri ,ale BGP
> router providera musi byt z tej lokalnej adresy dostiahnutelny, cize
> provider ju musi podporovat aspon na vsej linke.

Ne, nejedna se o lokalni IP adresy, jedna se o verejne, ale do internetu 
neroutovane.

> Otazka: mate na interface k providerom viacero IP adres, kedze pisete,
> ze pouziva aj nejaku inu IP adresu nez ma interface?

Na iface k ISP je jen jedna adresa. Druha, verejna, do internetu 
routovana, je na vnitrni strane routeru. Jde tedy primarne o to, jak 
donutit router (FreeBSD) k tomu, aby pri navazovani spojeni z nej byla 
jako odchozi adresa pouzita ta z vnitrniho interface. To bohuzel na 
systemove urovni FreeBSD neumoznuje. Prozatim mame vyreseno pomoci 
pf/nat. A bud se ten pf proste bude zapinat jen ve chvilich, kdy z toho 
routeru budeme potrebovat neco delat (upgrady) nebo ho nechame zapnuty 
porad (uvidime, jestli ty 4 pravidla, co tam jsou, budou mit nejaky 
dopad na vykon routeru).
Spojeni "skrz" router nemaji problem. To bezi. Moje otazka je tedy 
primarne smerovana na FreeBSD, jako system. To, ze na nem bezi BGP je 
momentalne vedlejsi. To bych hned na zacatku vlakno oznacil jako OT 
(manzto jsme se ted asi uz stejne dostali). Snad nacelnik promine a moc 
nam nepoznadava. ;-)https://www.peering.cz/traffic




Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674