Leiten Sie eingehenden Datenverkehr an einen anderen Router weiter, auf dem BGP nicht ausgeführt wird

7

Menschen,

Ich habe zwei Router im Kern meines ISP. Das erste davon ist ein etwas altes Cisco-Gerät, in dem ich eBGP-Sitzungen mit meinen Upstreams, IX und Downstreams habe. Die zweite ist eine MikroTik CCR, die für meine Kunden als DHCP-Server, Firewall usw. fungiert.

Aufgrund der Erweiterung unseres Netzwerks ist der alte Cisco-Router nicht in der Lage, den gesamten aktuellen Datenverkehr flüssig zu verarbeiten. Aus internen Gründen können wir ihn jedoch vorerst nicht auf einen anderen Gang umstellen.

Ich denke darüber nach, den gesamten eingehenden Datenverkehr direkt an MikroTik-Geräte umzuleiten, sodass diese nicht von Cisco weitergeleitet werden müssen. Aber ich bin nicht sicher, ob es möglich ist.

Ich verwende für jeden meiner Upstreams einen / 29-Bereich, sodass der MikroTik-Router innerhalb des gleichen Bereichs wie die Grenzrouter meines und des Upstreams adressiert werden kann. Ex.:

  • Upstreams 1. Router: 198.51.100.1/29
  • Upstreams 2. Router: 198.51.100.2/29
  • Mein Cisco-Router: 198.51.100.6/29
  • Mein MikroTik-Router: 198.51.100.5/29

Netzwerkdiagramm - Kern

192.0.2.1 ist das Standard-Gateway für den MikroTik-Router (192.0.2.2).

Es wäre einfach, dies mit as-path prepend zu lösen, wenn MikroTik-Geräte mit BGP betrieben würden, aber dies ist aus technischen und kommerziellen Gründen nicht der Fall und kann es auch nicht sein.

Ich dachte, die Umleitung könnte erfolgen, indem das BGP-Next-Hop-Attribut der angekündigten Präfixe wie folgt in die IP-Adresse des MikroTik-Routers geändert wird (in Übereinstimmung mit dem obigen Netzwerkdiagramm):

route-map CHANGE_NEXTHOP permit 10
 set ip next-hop 198.51.100.5
!
router bgp XXXXXX
 neighbor 198.51.100.1 route-map CHANGE_NEXTHOP out
 neighbor 198.51.100.2 route-map CHANGE_NEXTHOP out
!

Auf diese Weise würde der Upload-Verkehr durch eine direkte Verbindung zwischen beiden Routern fließen, während der Download-Verkehr von Upstreams direkt zum MikroTik-Router fließen würde.

Ich habe jedoch irgendwo gelesen, dass dies nur möglich ist, wenn BGP-Sitzungen Multihop sind, nicht wenn Nachbarn direkt verbunden sind. Darüber hinaus ist das Ändern des nächsten Hops nach meinem Verständnis nur eine Funktion von iBGP.

Ich bin weit davon entfernt, ein Cisco-Experte zu sein, habe viel gesucht, aber keine schlüssige Antwort auf meine Zweifel gefunden. Könnte mir jemand sagen, ob es möglich ist, das zu tun, was ich in der obigen Konfiguration beschrieben habe? Ausschnitt oder eine Lösung für meine schwierige Situation vorschlagen?

Leider habe ich derzeit keine Möglichkeit, es in einem Labor auszuführen (auch nicht mit virtuellen Maschinen), um zu testen, ob es wie beabsichtigt funktioniert.

Ich werde für diese und alle weiteren Informationen, die Sie zur Verfügung stellen, dankbar sein.

routing bgp Tiago.SR
quelle
Vielleicht verstehe ich falsch, was Sie erreichen möchten, aber wie würde die Konfiguration Ihrer Beschreibung dazu beitragen, dass Sie auf diesem Cisco-Router kein eBGP ausführen müssen? Ein Netzwerkdiagramm kann hier sehr hilfreich sein, aber was Sie hier tun, funktioniert nicht so, wie Sie es beabsichtigen. Was ist 192.51.100.5?
Teun Vink
Sind sie alle mit demselben Segment verbunden und führen Sie ein internes Routing-Protokoll zwischen dem Cisco-Router und dem MikroTik-Gerät aus? Es wäre auch hilfreich zu wissen, ob dies ein Ethernet-Segment oder etwas anderes ist. Das Standardverhalten für Ethernet scheint darin zu bestehen, die angekündigte Adresse für den nächsten Hop nicht zu ändern, wenn sie im selben Segment wie die Adresse für den nächsten Hop angekündigt wird. Ich habe dies in einem kleinen Labor mit 4 Routern versucht, die über einen Switch verbunden sind, und auf dem Cisco-Router habe ich eine statische Route verwendet, die auf MikroTik als nächsten Hop für damit verbundene Netzwerke zeigt, und angekündigte Routen haben MikroTik automatisch als nächsten Hop erhalten.
Jimmy
@TeunVink Ich muss eBGP auf dem Cisco-Router behalten, aber es kann nicht mehr mit dem gesamten aktuellen Netzwerkverkehr umgehen. Es gibt keine 192.51.100.5 ... aber 198.51.100.5 ist mein MikroTik-Router, wie beschrieben.
Tiago.SR
@ Jimmy Cisco Router ist direkt mit meinen dedizierten Schaltkreisen mit Upstreams verbunden. Der MikroTik-Router kann über VLAN und Bridge zum gleichen Ethernet-Segment hinzugefügt werden und wird zum 198.51.100.5. Es ist Ethernet. Ich versuche, dieses Standardverhalten zu ändern, indem ich den Next-Hop manuell auf die IP-Adresse des MikroTik-Routers unter set ip next-hop...Cisco einstelle . Ich werde ein Netzwerkdiagramm zeichnen und den ursprünglichen Beitrag so schnell wie möglich aktualisieren.
Tiago.SR
1
Die AFAIK Next-Hop-Modifikation kann auf die beschriebene Weise zum Verkehrsausgleich verwendet werden. Im Allgemeinen muss es funktionieren, zumindest aus Sicht von Mikrotik, aber es hängt von der Konfiguration des Upstream-Routers ab. Zum Beispiel können Filter im Upstream solche Ansagen verbieten.
mmv-ru

Antworten:

1

Es kann eine Möglichkeit geben, dies zu erreichen, indem die folgende BGP-Regel für den nächsten Hop ausgenutzt wird:

Aus RFC 4271, 5.1.3 NEXT_HOP:

Wenn Sie eine Nachricht an einen externen Peer senden, ist X und der Peer einen IP-Hop vom Sprecher entfernt:

- Wenn die angekündigte Route von einem internen Peer gelernt wurde oder lokal stammt, kann der BGP-Sprecher eine Schnittstellenadresse des internen Peer-Routers (oder des internen Routers) verwenden, über die das angekündigte Netzwerk für den Sprecher für das Attribut NEXT_HOP erreichbar ist , vorausgesetzt, Peer X teilt ein gemeinsames Subnetz mit dieser Adresse. Dies ist eine Form des NEXT_HOP-Attributs "von Drittanbietern".

Könnten Sie dies versuchen:

  • Entfernen Sie die OSPF-Nachbarschaft zwischen Cisco und Mikrotik im Netzwerk 192.168.2.0/30

  • Erstellen Sie die OSPF-Nachbarschaft zwischen den Cisco- und Mikrotik-Routern über das gemeinsam genutzte Netzwerk 198.51.100.0/29

  • Stellen Sie sicher, dass die Routen, die der Cisco-Router über OSPF lernt, einen nächsten Hop von 198.51.100.5 haben

  • Löschen Sie die BGP-Sitzungen. Der Cisco-Router sollte jetzt Routen zu internen Subnetzen mit einem BGP NEXT_HOP von 198.51.100.5 ankündigen

Dieser Artikel zeigt ein Beispiel:

http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/26634-bgp-toc.html

BGP Next Hop (Multiaccess-Netzwerke)

Geben Sie hier die Bildbeschreibung ein

Dieses Beispiel zeigt, wie sich der nächste Hop in einem Multiaccess-Netzwerk wie Ethernet verhält.

Angenommen, RTC und RTD in AS300 führen OSPF aus. RTC führt BGP mit RTA aus. RTC kann das Netzwerk 180.20.0.0 über 170.10.20.3 erreichen. Wenn RTC ein BGP-Update in Bezug auf 180.20.0.0 an RTA sendet, verwendet RTC als nächsten Hop 170.10.20.3. RTC verwendet keine eigene IP-Adresse, 170.10.20.2. RTC verwendet diese Adresse, da das Netzwerk zwischen RTA, RTC und RTD ein Multiaccess-Netzwerk ist. Die RTA-Verwendung von RTD als nächster Hop, um 180.20.0.0 zu erreichen, ist sinnvoller als der zusätzliche Hop über RTC. Hinweis: RTC kündigt 180.20.0.0 für RTA mit einem nächsten Hop 170.10.20.3 an. Wenn das gemeinsame Medium für RTA, RTC und RTD nicht Multiaccess, sondern NBMA ist, treten weitere Komplikationen auf.

Karl Billington
quelle
0

Ich gehe davon aus, dass Sie den INBOUND-Internetverkehr beeinflussen möchten und wissen, wie Sie mit Ihrem OUTBOUND-Verkehr umgehen.

Der einfachste Weg, dies zu erreichen, besteht darin, auf Ihrem Cisco-Router " as-path prepending " durchzuführen, wenn Werbung für den Upstream geschaltet wird . Dann würde Ihr INBOUND-Internetverkehr definitiv den kürzesten Weg zu Ihnen nehmen, der über den MikroTik-Router führt.

Ein Beispiel finden Sie hier .

Mo Moghaddas
quelle
Vielen Dank, Sie haben es fast verstanden, außer dass in der MikroTik-Ausrüstung kein BGP ausgeführt wird und dies nicht geändert werden kann. Es liegt hauptsächlich an diesem Detail, dass ich keine Lösung für dieses Problem finde.
Tiago.SR
Während das Voranstellen von AS-PATH häufig als Lösung für die Weiterleitung des Datenverkehrs an einen bestimmten BGP-Router angeführt wird, ist es nicht sehr effizient. Backup "Router.
JFL
@JFL, das ist nicht ganz richtig - AS Path Pre-Pending ist eine absolut gültige Methode, um eingehenden Datenverkehr zu deaktivieren. Der einzige Datenverkehr, der davon nicht betroffen ist, besteht darin, dass der direkt angeschlossene Upstream-AS und seine Clients die Local-Preference häufig intern verwenden, um Datenverkehr über ihren Link an Sie zu senden, und nicht über einen anderen AS
Benjamin Dale,
0

Erstellen Sie eine vrrp-Adresse für Cisco und Mikrotik und machen Sie diese zum Standard-Gateway des Core-Switch. Stellen Sie die Mikrotik als Mitglied mit höherer Priorität ein.

Die Mikrotik sollte eine Standardroute haben, die vom Cisco-Router empfangen wird, und eine von "Mein Netzwerk", wobei "Mein Netzwerk" als bevorzugte Route bevorzugt wird. Dies kann über OSPF erfolgen oder statisch zugewiesen werden.

Lassen Sie eine IP-SLA-Sonde entweder von der Mikrotik oder von Cisco die Upstream-Konnektivität zu "meinem Netzwerk" überprüfen. Wenn es ein Upstream-Problem gibt, reduzieren Sie die vrrp-Priorität auf dem Mikrotik-Router, damit der Datenverkehr stattdessen über den Cisco geleitet wird.

Im Setup haben Sie Redundanz und Sie würden keine Probleme mit eingehendem Verkehr über den Cisco haben, vorausgesetzt, Sie natieren eingehenden Verkehr auf dem Cisco. Eingehender und ausgehender Verkehr werden unterschiedliche Wege gehen.

MFT
quelle
0

MicroTik unterstützt BGP . Um eingehenden Datenverkehr umzuleiten, müssen Sie möglicherweise BGP ausführen.

Ronnie Royston
quelle