タグ付けされた質問 「bgp」

推奨されるBGP構成の詳細を明確にするために、アップストリームにリクエストを提出しました。現在、私はPIアドレスを介してアップストリームとデュアルホーミングしています。自分のASでBGPを介してアドバタイズし、デフォルトルートを渡すように要求しました。 彼らの推奨構成は、2つのクロスコネクト（プライマリ/セカンダリルータのそれぞれから1つずつ）をそれぞれプライマリ/セカンダリルータに接続することです。私のプライマリは彼らのプライマリと対等であり、私のセカンダリは彼らのピアと対等です。これは問題ありません（私のプライマリがダウンしていて、セカンダリがダウンしている場合の接続不可のシナリオを除いて）。 しかし、私の混乱はこれです。私のプロバイダーは、デフォルトのみを使用することで、アクティブ/スタンバイ構成になること、およびアクティブ/アクティブの完全なルートセットが必要であることを示唆しています。 私の理解では、私が単一のISP経由でのみホームしている場合、すべてのトラフィックが同じ経路をたどっているため、完全なフィードは事実上無意味になります。これがアクティブ/スタンバイ構成になる原因は何ですか？確かに、セカンダリルーターは、トラフィックがヒットした場合、最初にトラフィックをプライマリに送信するのではなく、ローカルのデフォルトゲートウェイを送信しますか？ 別の観点から見ると、両方のルーターがアップストリームからの同じルートのセットを持っているため、ルート全体が動作をどのように変更するか（トラフィックエンジニアリングのシナリオを無視して）はわかりません。

8 bgp  dual-homed 

（GNS3で）12.4（23）を実行する3つのCisco 3640を直列に接続しています（R1-> R2-> R3）。R1とR2はeBGPピア、R2とR3はiBGPピアです。R1はネットワーク192.168.1.0/24をアドバタイズします。R2はこのルートを受信しますが、R3にアドバタイズしません。 eBGPから学習したルートをiBGPにアドバタイズしないでください。 入力したとおりの完全な構成は次のとおりです。 loop0(R1)s0/0 <--> s0/0(R2)s0/1 <--> s0/1(R3) R1: configure terminal interface s0/0 ip address 172.16.1.1 255.255.255.252 no shutdown interface loopback0 ip address 192.168.1.1 255.255.255.0 router bgp 1 neighbor 172.16.1.2 remote-as 2 network 192.168.1.0 mask 255.255.255.0 R2: configure terminal interface s0/0 ip address 172.16.1.2 255.255.255.252 no shutdown …

8 cisco  routing  router  bgp 

コマンドの私の理解： clear ip bgp * soft out コマンドが発行されたルーターは、BGPについて知っているすべてのものをそのネイバーに再アドバタイズするということです。私が見ると、2つのルーターが最初に隣接関係を切断することなく、まったく新しい隣接関係を作成しているように見えます（これは、BGP信頼性メトリックに悪影響を及ぼします）。 私の質問はこれです：コマンドが成功したことをどのように確認できますか？発行するとき show ip bgp nei [ルートリフレッシュ]列には、送信済み0と受信済み0が引き続き表示されます。プロバイダーデバイス（BGPネイバー）にアクセスできませんが、プロバイダーが変更を受信したことを確認する必要があります。助言がありますか？

8 bgp  routing 

最近、顧客はRIPv2ルートをBGPに再配布することを強く求めていました。これは、CEルーターが完全に管理される標準のMPLS VPNソリューションを超えています。 このアプローチは扱いにくく、最適とは言えません。CEルーターでBGPネットワークステートメントを選択して、カスタマーLANのさまざまなサブネットへのルートをアドバタイズしたいのですが、このシナリオに関する長所と短所は誰でも提供できますか？

8 bgp  redistribution 

したがって、計画は、完全なルートを持つ2つのISPの1つへのeBGPセッションを持つ2つのコアルーターです。両方のルーターは完全なテーブルを相互に公開するため、iBGPを介してよりインテリジェントにトラフィックフローを制御できます。 議論のために、3つのアクセスルータには各コアルータへのパスがあります。私はiBGPを構成し、各コアルーターからのデフォルトルートを公開して、ハードウェア障害に対する回復力を備え、フィルターを使用して実際にどのルートがアクセスデバイスに送信されるかを制御します。 人々は一般的にIGPにOSPFを使用していると聞きましたが、もちろん、ケース固有の要素があります。 私の質問は、iBGPをOSPFに置き換えることの利点は何でしょうか？

8 routing  bgp  ospf  network-core  igp 

次のシナリオがあります：私のAS：64501には2つのルーターR3（冗長）とR4（メイン）があります。 ISP AS：64500には3つのルーターR1、R2、R5があります ISPとのeBGPピアリングを行っています。ISP構成にはアクセスできません。ネット（R3、R4）の構成にしかアクセスできません。 ISPからの着信トラフィックが常にメインルーター（R4）に送信され、メインにアクセスできない場合にのみ、トラフィックをGeo冗長（R3）に送信する必要があります。 Geo-redundant router（R3）から送信されたAS-PATH Prependを使用してそれを行うことができ、それは機能しています： ただし、この場合、R5からのISPのトラフィックは、図に示すように（R1-R2-R4を介して）送信されます-ストレート（R5-R2-R4）ではなく、さらに1ホップ。これは、iBGPがAS-PATHプリペンドを使用していないために発生します。したがって、ルートR1 <-> R3が付加されるため、R1はR2経由のルートを優先します。しかし、R1はas-pathプリペンドなしでiBGPルートアップデートをR5に送信しています。したがって、R5の場合、Myネットワークへの2つの等しいルートがあり、R1のIPアドレスはR2のIPよりも低いため、R1経由のルートを選択しています。 質問＃1：どういうわけかデバイスを自分のネットワークでのみ構成できるので、トラフィックはMEDやコミュニティなしでこのように通過しますか？ 質問＃2：マイネットワークとISPネットワークでデバイスを何らかの方法で構成できるので、MEDやコミュニティなしでトラフィックはこのように通過しますか？ ありがとうございました。

7 routing  bgp 

人、 ISPのコアに2つのルーターがあります。その1つは少し古いシスコのギアです。アップストリーム、IX、およびダウンストリームとのeBGPセッションがあります。2つ目はMikroTik CCRで、これはDHCPサーバー、ファイアウォールなどの機能を顧客に提供します。 ネットワークの拡大により、古いCiscoルーターは現在のすべてのトラフィックを流動的に処理することができませんが、内部的な理由により、現時点では別のギアに変更することはできません。 すべての着信トラフィックをMikroTikギアに直接リダイレクトすることを検討しています。このような方法で、Ciscoがルーティングする必要はありません。しかし、それが可能かどうかはわかりません。 私は各アップストリームで/ 29範囲を使用しているので、自分とアップストリームの境界ルーターと同じ範囲内でMikroTikルーターをアドレス指定できます。例： アップストリームの最初のルーター：198.51.100.1/29 アップストリームの2番目のルーター：198.51.100.2/29 私のCiscoルーター：198.51.100.6/29 私のMikroTikルーター：198.51.100.5/29 192.0.2.1はMikroTikルーター（192.0.2.2）のデフォルトゲートウェイです。 MikroTikギアがBGPを実行している場合は、as-pathプリペンドを使用してこれを簡単に解決できますが、技術的および商業的な理由から、そうすることはできません。 アドバタイズされたプレフィックスのBGPネクストホップ属性を次の方法でMikroTikルーターのIPアドレスに変更することで、リダイレクトを実行できると思いました（上記のネットワーク図に準拠）。 route-map CHANGE_NEXTHOP permit 10 set ip next-hop 198.51.100.5 ! router bgp XXXXXX neighbor 198.51.100.1 route-map CHANGE_NEXTHOP out neighbor 198.51.100.2 route-map CHANGE_NEXTHOP out ! このように、アップロードトラフィックは両方のルーター間の直接接続を介して流れますが、ダウンロードトラフィックは上流からMikroTikルーターに直接流れます。 ただし、これは、BGPセッションがマルチホップである場合にのみ可能であり、ネイバーが直接接続されている場合ではないことをどこかで読みました。さらに、私が理解したところによると、ネクストホップの変更はiBGPのみの機能です。 私はシスコのエキスパートにはほど遠く、多くの検索を行いましたが、私の疑問に対する決定的な答えは見つからなかったため、上記の構成で説明したことを実行できるかどうか誰かに教えてもらえますか？私のトリッキーな状況に対するスニペットまたは解決策を提案しますか？ 残念ながら、私は現在、それをラボで（仮想マシンを使用してでも）実行し、意図したとおりに機能するかどうかをテストする方法がありません。 これとあなたが提供するさらなる情報に感謝します。

7 routing  bgp 

インターネットゲートウェイとしてpalo-altoファイアウォールを使用します。16個の静的IPアドレスがあります。1つは送信トラフィック（ユーザーがインターネットを閲覧する）に使用されます。残りは受信トラフィック（メールサーバー、ウェブサーバーなど）に使用されます。冗長な目的で、2番目のISPにサブスクライブします。新しいISPから16の新しい静的IPアドレスを購入します。そして、ここに構成の地獄があります。BGP、PIアドレス、AS番号などについて2日間読んでいます。しかし、私は何も理解していません。実践と全体的な理解なしの理論は何もありません。私はこれらのISPに電話をかけましたが、どちらのプロバイダーもルートを構成せず、AS番号を販売しないと言っています。自分で解決してみてください。私たちの小さなアジアの国では、LISPや他のクラウドベースルーティングソリューションはありません。次に何をしたらいいかわかりません。APNICに直接AS番号をリクエストする必要がありますか？ポリシーベースのルールでは、送信トラフィックの冗長性のみを構成できます。小規模なホスティングを冗長化するための信頼できるソリューションはありますか？AS番号とPIアドレスなしでBGPを構成することは可能ですか？

7 routing  bgp  redundancy  isp  palo-alto 

今日一緒に仕事をしているジュニパーボックスで、きちんとした小さな動作を見つけました。 Cisco ASRからMXに移行しましたが、認証が設定されているすべてのインターネットエクスチェンジピアが起動しませんでした。MX480で、ローカル認証が設定されていても設定されていないことを示すログメッセージを受け取りました。（以下のラボ構成を参照） group R01-DSN-PEERS { type external; authentication-algorithm md5; authentication-key-chain STUPID; neighbor 192.168.100.1 { peer-as 6996; } } key-chain STUPID { key 0 { secret "$9$uEns1crM8xbY45Qt0O1cS"; ## SECRET-DATA start-time "2015-1-1.01:01:00 +0000"; } } 反対側、私は次のように見えることがわかりました： router bgp 6996 neighbor 192.168.100.0 password _secret_stuff_ 注：はい、反対側のネイバーは適切に構成されています。これは単にあなたにアイデアを与えるためです-以前にインストールされたASRはピアが確立されていました。 キーチェーンなしで、ネイバーに直接認証を設定することで、それを機能させることになりました。以下を参照してください： group R01-DSN-PEERS { type external; neighbor …

7 cisco  bgp  juniper-junos  authentication  bgp-ipv6 

私はBGPに少し慣れていないので、構成の変更について少し支援が必要です。現在、すべてのサイトへのすべてのトラフィックにMPLS接続を使用しています。今後はデータセンターのバックアップリンクを他のスポークサイトから分離し、対応するためにコアデータセンターにMPLSレッグを追加します。現在のセットアップとルーター構成の画像を参照してください。 ISPにClosed User Group（CUG）を含む新しいMPLSレッグを注文しました。この新しいサービスは、データセンター間のトラフィックのみを対象としています。既存のMPLSレッグは、リモートサイト専用に使用されます。（ハブスポーク） 私の質問は、ISP（AS207）からの同じAS番号を持つこの新しいCUGでコアルーターをプログラムする方法です。新しいネットワークとネイバーを既存のAS 65001に追加するだけですか？バックアップDC MPLSは新しいCUGに統合されるため、コアルータを変更するだけでよいと思います。 これは制作ネットワークなので、このプログラムを変更するのは少し不安です。

7 cisco  routing  bgp  mpls 

2つのデバイス間でiBGPを構成しています。bgpセッションが起動した後、RouterBからRouterAに送信されるルートの数は、最初はおよそ100kに増加しますが、何らかの理由で160にしか減少しません。 これが発生する理由はありますか？これは、両方のルーターの単にibgp構成です。 例 開始： Neighbor Address AS# State Time Rt:Accepted Filtered Sent ToSend e.e.e.e xxxxx ESTAB 1h34m48s 493723 0 1 0 i.i.i.i xxxx ESTAB 0h 0m19s 301708 0 120998 71776 次で終わる： Neighbor Address AS# State Time Rt:Accepted Filtered Sent ToSend e.e.e.e xxxxx ESTAB 1h35m 4s 493722 0 1 0 i.i.i.i …

7 routing  bgp  brocade 

私のBGPトランジットの顧客の1人が、DDoS攻撃に苦しんでいるときにネットワーク内のトラフィックをブラックホール化しやすくするための解決策を求めてきました。通常、BGPブラックホール化はターゲットをブラックホール化することによって行われますが、攻撃のターゲットがオフラインにならないように、ソースアドレスに基づくブラックホールの解決策を探しています。 ターゲットアドレスに基づいてブラックホールソリューションを構築することはそれほど難しいことではありません。別のBGPセッションを介して、より具体的なルートとしてターゲットをアナウンスするか、特定のコミュニティでタグ付けしてから、ルーティングポリシーを使用して、いくつかの破棄インターフェースへのネクストホップ。 攻撃のソース（顧客のIP空間内にない）がブラックホール化されているブラックホールソリューションを構築することは、少し難しいようです。宛先のフィルタリングと同じソリューションを使用する場合、私の問題は、特定のソースからこの特定の顧客へのトラフィックのみを破棄したいということです。そのため、ルーティングテーブルに破棄ルートを挿入することは、他の顧客に影響を与えるため、もはや受け入れられません。上手。したがって、この特定の顧客にのみ適用されるフィルターを作成する方法が必要です。 私が考えていた最初の解決策は、BGPFlowspecを使用することでした。残念ながら、彼の装置はそれをサポートしていないので、これはこの特定の顧客にはうまくいきません。 したがって、私が探しているのは、ルーティングプロパティに基づいて動的ファイアウォールフィルターを作成する方法です。おそらく、専用のBGPブラックホールセッションを介して特定のルートを受信するときに、お客様または当社が設定したコミュニティです。次に、このフィルターを顧客のインターフェースに適用して、不要なトラフィックをブロックできます。残念ながら、この方法でファイアウォールフィルター（またはプレフィックスリスト）を作成する簡単な方法は見つかりませんでした。 私はhttp://thomas.mangin.com/posts/bgp-firewall.htmlを見つけましたが、これはSCU / DCUを誤用して、多かれ少なかれ私が探しているものを達成しますが、それは少しハックのように聞こえます。 私が考えることができる他のソリューションの1つは、ルート上に静的フィルターを作成し、このフィルターで使用されるプレフィックスリストを変更できるようにするインターフェイスを構築することです。ただし、お客様がブラックホールを追加するたびにルーターの構成変更をプッシュすることは、私が本当に望んでいることではありません。BGPを使用するソリューションが推奨されます。 私たちの側では、ルーティングはジュニパーで行われます。ソリューションとしては、さまざまなプラットフォームで使用できるものを用意したいので、基本的には、個別のセッションを介してBGPを使用するか、特定のコミュニティを介してルートにタグを付けるだけです。これにより、他のお客様にも使用できます。 （SCU / DCU以外の）これに対する素晴らしい解決策がある場合、私は本当に興味があります。

7 routing  bgp  firewall  juniper-junos 

2つの直接接続されたiBGPとIGPネイバー間のインターフェイスでBFDを実行する場合、高速のIGP反応時間にはBFDを使用し、より高速なBGP反応時間にはBGPネクストホップトラッキングを使用する方が（両方のBFDではなく）より安定/信頼できますか？ これは、IGPおよびBGPリンク障害の通知にBFDが使用されている場合、インターフェイスがダウンすると、BGPセッションがIGPを切断してSPFを実行するためです。IGPがSPFを実行し、たとえば調整されたIGP展開を使用して200ミリ秒で完了する場合、そのiBGPネイバーへの到達可能性が復元される可能性があるため、iBGPセッションが残っている可能性があります。 私は次のことを提案しています（これは、シスコのドキュメントを調査する方法であるためです）。 リンクがダウンすると、BFDはこれをIGPに通知し、IGPはiBGPネイバーへの新しいパスを再計算します（これらのシナリオではECMPまたはUn-ECMPまたはIP Fast Re-Routeがないと仮定すると、リンク障害がiBGPセッションを中断することはありません）私は信じている？）。このシナリオでは、IGPによって新しいパスが計算されると、iBGPピアリングが中断されることなく続行されます。計算できない場合（他のパスが利用できない場合）bgp nexthop trigger delay 1、高速IGPコンバージェンスと一致するように低いNHT値を設定すると、BGPセッションがトリガーされ、iBGPネイバーへのパスが確実になくなります。では、iBGPネイバーにBFDを使用せず、代わりにBGP NHTを使用することには意味がありますか？

7 cisco  bgp  bfd 

2バイトのBGPメッセージ長。では、なぜbgpメッセージの最大サイズを65535にできないのでしょうか。なぜ4096なのですか？

7 bgp 

BGPのインポートリストとエクスポートリストの両方に新しいポリシーを追加していました。次に、bgpセッションのリセットを観察しました。誰か私にこれを説明できますか？ 私が行った唯一の変更は、新しいポリシーを付加して、ネイバーからアドバタイズされたすべてを拒否し、ネイバーに何もアドバタイズしないことでした。 例：古い設定： set protocols bgp group ext import policy-A set protocols bgp group ext export policy-B 新しい設定： set protocols bgp group ext import nothing policy-A set protocols bgp group ext export nothing policy-B

7 bgp  juniper  juniper-junos