タグ付けされた質問 「routing」

私は2つのISPに加入しています。1つは高速で高価なもので、もう1つは安価ですが遅いものです。ケーブルとADSLの異なるテクノロジーを使用しているため、単一障害点はほとんどなく、すべての通信機器はUPSから給電されます。 英国のISPは、かなりランダムなパターンで低下します。長年にわたって、両方のISPが同時にダウンした瞬間に遭遇したことはないため、ここでネットアクセスを中断したくない場合は、2つのISP戦略が役立つことは明らかです。 ただし、問題は、この改善された可用性を活用するためにサイトのネットワークをどのように編成するかです。多くのISPでは、独自のASおよびルーティングプロトコルの実行が許可されていないため、ほとんどの場合、静的ルーティングを2つの出力パイプ間で宛先ごとに分割する必要があります。これは素晴らしいものではなく、あるISPが惑星の表面から落ちたときに手動で介入する必要があります。多数のスクリプトの助けを借りて、私はISPの停止を合理的な成功で多くの労力をかけずに処理し、通常どおりビジネスになりました。それは素晴らしいことではありません。一部のテクノロジーが欠落しているように感じます。 一般的に、より良い方法はありますか？ IPv6のみに適した方法はありますか（一方のISPにデュアルスタックがあり、もう一方のISPにトンネリングできます）。それはIPv6にとって明らかな恩恵です。

12 ipv6  routing 

RFC 1771では、AS_PATHのパス属性タイプを次のように定義しています。 AS_PATH (Type Code 2): AS_PATH is a well-known mandatory attribute that is composed of a sequence of AS path segments. Each AS path segment is represented by a triple <path segment type, path segment length, path segment value>. The path segment type is a 1-octet long field with …

11 routing  bgp  protocol-theory  rfc 

Cisco IOSと比較すると、ルータにループバックをいくつでも作成できますが、Junosでは、ルーティングインスタンスに作成できるループバックインターフェイスは1つだけです（同じループバックからの論理ユニットでも）。この設計の理由を提案または検討しました？Junosには、ループバックの代わりに使用できる別の論理インターフェースがありますか？

11 routing  juniper  juniper-junos  loopback 

私はネットワークをオーバーホールしている最中ですが、私が繰り返し返してきた問題は、ファイアウォールを集中化したまま、レイヤー3をコアに持ち込もうとすることです。 ここでの主な問題は、これまで見てきた「ミニコア」スイッチでは、ハードウェア内のACLの制限が常に低く、現在のサイズでもすぐにヒットする可能性があることです。現在、コア用に1組のEX4300-32Fを（うまくいけば）購入しようとしていますが、他のモデルや、ジュニパーとBrocadeのICXシリーズの他のオプションも検討しました。それらはすべて同じ低いACL制限を持っているようです。 コアスイッチはワイヤ​​スピードルーティングを維持できる必要があるため、これは完全に理にかなっているため、ACL処理によってあまり犠牲にしないでください。したがって、コアスイッチ自体ですべてのファイアウォールを実行することはできません。 ただし、主に完全に管理されたサーバーを使用しており、集中型（ステートフル）ファイアウォールを使用すると、顧客と直接対話することができないため、その管理に非常に役立ちます。できればそれを維持したいのですが、ほとんどのISPネットワークはこのようなことを行わないように感じます。そのため、ほとんどの場合、コアでルーティングを行うのは簡単です。 参考までに、ここに私が理想的に実行したいトポロジーを示します（ただし、FWをどこに当てはめるかは明らかではありません）。 現在のソリューション 現在、ルーターオンスティック構成です。これにより、NAT、ステートフルファイアウォール、VLANルーティングをすべて1か所で行うことができます。とても簡単です。 L2をネットワークの「最上部」、つまり境界ルーターまで拡張することで、（ほぼ）同じソリューションを続行できます。しかし、それからコアが提供できるワイヤスピードルーティングのすべての利点を失います。 IIRCコアスイッチは464 Gbpsのルーティングを実行できますが、運が良ければ、ボーダールーターはおそらく10または20 Gbpsを提供できます。これは現時点では技術的に問題ではなく、成長の問題です。今、コアルーティングキャパシティを活用するアーキテクチャを設計していないと、大きくなり、そのキャパシティを活用する必要がある場合、すべてをやり直すのは苦痛になるでしょう。私はそれを最初に正しくしたいです。 可能な解決策 アクセスするレイヤー3 L3をアクセススイッチに拡張し、ファイアウォールルールをより小さなセグメントに分割して、アクセススイッチのACLのハードウェア制限に合わせることができると思いました。だが： 私の知る限り、これらはステートフルACLではありません L3 to Accessは、私にとってははるかに柔軟性に欠けるようです。サーバーを移動したり、VMを他のキャビネットに移行したりすると、さらに苦痛になります。 各ラックの上部（そのうち6つのみ）でファイアウォールを管理する場合は、とにかく自動化が必要です。したがって、その時点では、ホストレベルでファイアウォールの管理を自動化することはそれほど大きな進歩ではありません。したがって、問題全体を回避できます。 アクセス/コア間の各アップリンクのブリッジ/透過ファイアウォール これには複数のファイアウォールボックスが必要であり、必要なハードウェアを大幅に増やす必要があります。そして、ファイアーウォールとして古いLinuxボックスを使用していても、大きなコアルーターを購入するよりも高価になる可能性があります。 ジャイアントコアルーター 必要なファイアウォールを実行でき、ルーティング容量がはるかに大きい、より大きなデバイスを購入できます。しかし、実際にはそのための予算がありません。デバイスに設計されていない何かを実行させようとしている場合は、おそらくもっと高いスペックに行かなければならないでしょう。それ以外の場合よりも。 一元化されたファイアウォールなし 私はフープを飛び越えているので、これは努力する価値がないかもしれません。これは常に良いものであり、「ハードウェア」ファイアウォールを必要とする顧客にとってセールスポイントになることもあります。 ただし、「ネットワーク全体」に集中型ファイアウォールを設定することは不可能であるようです。では、何百、何千ものホストがある場合に、専用のサーバーを使用する顧客に、どのように大規模なISPがハードウェアファイアウォールソリューションを提供できるのでしょうか。 誰もがこの問題を解決する方法を考えることができますか？私が完全に見逃したものか、上記のアイデアのバリエーションですか？ 更新2014-06-16： @Ronの提案に基づいて、私が直面している問題をかなりよく説明し、問題を解決するための良い方法を説明するこの記事を偶然見つけました。 他に提案がない限り、これは製品推奨タイプの問題だと思うので、それで終わりだと思います。 http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/

11 routing  firewall  design 

ある大陸のISPを別の大陸のISPに接続するにはどうすればよいですか？物理層の観点から？ たとえば、あるISPがアジアにあり、別のISPがヨーロッパにある場合、どのようにして光ファイバーケーブルを接続してトラフィックを交換しますか？また、それらはどのようにIXP（Internet Exchange Points）を介して物理的に接続しますか。 彼らは光ファイバーケーブルをこれらの場所までずっと引きずる必要がありますか？

11 routing  fiber  isp 

2つのbgpピア間でTcp接続が確立された後。どのピアが最初にオープンメッセージを送信しますか？アクティブピア（発信接続を開始している）またはパッシブピア（着信接続を受け入れているピア）。 それとも、このアクティブなパッシブ状態から独立していますか？ピアは、スケジューリングに基づいて最初のオープンメッセージを送信できますか？ ローカルルーターがオープンメッセージを送信する前にオープンメッセージを受信するとどうなりますか？ 良いBGPピアfsm図はありますか？RFC4271にはfsm図がありません:(

11 routing  bgp  protocol-theory 

ほとんどの参考資料は「RIPはスケーラブルではない」と言っているため、小規模なネットワークでのみ使用できます。しかし、「なぜ」と言う人は誰もいません。RIPで大規模ネットワークへの拡張を実際に妨げているのは何ですか。そして、OSPFはどのようにRIPの欠点を克服しますか？

11 routing  ospf  rip 

2つのトランジットネイバーがあり、自分のIPスペースをアナウンスするクアッガルーターがあります。最近、Public Peering Exchange（IXP）に参加したので、他のすべての参加者と一緒に、彼らのローカルネットワーク（/ 24）に参加しています。これまでのところ、すべてが正常に動作します。 セキュリティのために、他の参加者がすべての発信トラフィックを私にルーティングできないのではないでしょうか。たとえば、他の参加者がデフォルトルートをIXP IPにポイントするとどうなりますか。私がその参加者からのすべての発信トラフィックを正しく理解している場合は、私のルーターに送信され、トランジットアップリンクを使用してインターネットにルーティングされます。 なので対策は必要かなと思います。私の考えは： ファイアウォール（iptables）ルールをセットアップして、自分のIPスペースを宛先とするトラフィックのみが他のIXP参加者から受け入れられるようにします。IXP参加者からの他のトラフィックをドロップします。 どういうわけか、クアッガは各ネイバー（またはピアグループ）ごとに異なるカーネルルーティングテーブルを使用します。IXPネイバーのルーティングテーブルには、自分のIPスペース以外のエントリが含まれていないため、IPトランジットアップリンクを使用したルーティングは行われません。ip rule showquaggaがこれを自動的に行っていないことを示している出力を見ると？ 私は正しい軌道に乗っていますか？なぜ2. Quaggaに直接実装されていないのですか？ハードウェアルーター（cisco、juniper、..）はこの問題にどのように対処しますか？

11 routing  bgp 

人々がIPヘッダーを変更したり、送信元IPアドレスを変更したりできることは知っていますが、ネットワークデバイスがこれらのメッセージを検出するのは簡単なはずです。そうでない場合、なぜそんなに難しいのですか？オーバーヘッドが多すぎますか？

11 routing  router  ipv4  best-practices 

Shorewallで生成されたiptablesルールを実行するDebianルーターによって分離された2つのDebianホスト間でパスMTU検出を実行してみましょう。2つのホストはそれぞれ1つのイーサネットリンクを使用し、ルーターは2つの集約されたイーサネットリンク上でタグ付きVLANを使用します。 scamperの使用： root@kitandara:/home/jm# scamper -I "trace -M 10.64.0.2" traceroute from 10.1.0.5 to 10.64.0.2 1 10.1.0.1 0.180 ms [mtu: 6128] 2 10.64.0.2 0.243 ms [mtu: 6128] 良い：6128バイトが期待される結果です（安いRealtekイーサネットアダプターは、まともなサイズのジャンボフレームを処理できません）。 さて、iperfにスループットテストを実行させ、MTUについて教えてください。 root@kitandara:/home/jm# iperf -c 10.64.0.2 -N -m ------------------------------------------------------------ Client connecting to 10.64.0.2, TCP port 5001 TCP window size: 66.2 KByte (default) ------------------------------------------------------------ [ 3] …

11 routing  ipv4 

誰かがRIBとFIBの違いをもう少し説明できますか？私はサイトで同様の質問を見なかったので、これは良い追加だと思いました。RIBルートとFIB転送？それで全部ですか？

11 cisco  routing  switching  layer2  layer3 

私は最近、GREトンネリングを使用して中性子ネットワークを利用するOpenStack環境を引き継ぎました。ネットワークパフォーマンスに問題があり、特定のVMインスタンスのMTU設定がデフォルトの1500に設定されていることが問題であると判断しましたが、パケットのカプセル化を可能にするために、実際には1456に設定する必要があります。 GRE上のパケット内。 これを調査している間、私はこれらの2つのサイトに出くわしました： パスMTUディスカバリーとGRE パスMTUディスカバリー 2番目のURLには、次の図がありました。 この図のルータ周辺のF0 / 0およびF0 / 1表記は何を意味していますか？

11 routing  mtu 

私はyahoo.comにpingを実行していますが、結果に戸惑っています。 C:\Users\jon>ping -t yahoo.com Pinging yahoo.com [98.138.253.109] with 32 bytes of data: Reply from 98.138.253.109: bytes=32 time=195ms TTL=46 Reply from 98.138.253.109: bytes=32 time=230ms TTL=44 Reply from 98.138.253.109: bytes=32 time=175ms TTL=45 Reply from 98.138.253.109: bytes=32 time=208ms TTL=44 Reply from 98.138.253.109: bytes=32 time=180ms TTL=46 Reply from 98.138.253.109: bytes=32 time=206ms TTL=44 Reply from …

11 routing  nat 

MTUを一致させずに隣接関係を設定しようとすると、ルーターは隣接関係になれません。これはルーティングプロトコルをそれ自体から保護するためだと思いますが、それ自体が何から節約されているのか理解できません。MTUを一致させないと結果はどうなりますか？

10 routing  ospf  eigrp  mtu 

3550 L3スイッチを構成して、HTTPトラフィックを重要なマシンにリダイレクトしました。 これは私のシナリオです（ルーターの代わりにPC）： これはスイッチ構成です： CAT3550# show running-config Building configuration... . . ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 ! interface Vlan2 ip address 20.20.20.1 255.255.255.0 ip policy route-map pbr ! interface Vlan3 ip address 30.30.30.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.10.10.2 ip classless ip http server ! ! access-list …

10 cisco  routing  ping  switch