Anticisco
http://anticisco.ru/forum/

И ещё одна задачка с CE2009: про BGP
http://anticisco.ru/forum/viewtopic.php?f=3&t=345
Страница 1 из 1

Автор:  Fedia [ 27 окт 2009, 10:32 ]
Заголовок сообщения:  И ещё одна задачка с CE2009: про BGP

Вы – помощник администратора большой распределённой сети. Руководство поставило задачу, оттестировать работу нового приложения, которое расположится в сети 1.1.1.0/24, за маршрутизатором R3 (см. схему)

В Вашей сети работает только протокол BGP. Полностью настраивать вы можете только маршрутизатор R3. Анонсируйте сеть 1.1.1.0/24 при помощи R3, только в своей автономной системе и только на время с 23:00 31 декабря 2009 по 03:00 1 января 2010г. Для проверки анонсируйте c R3 какую-нибудь другую (любую) сеть так, чтобы она была видна и в AS64999.
Создайте базовую конфигурацию BGP на R1-R4, никаких фильтров на R1,R2,R4 быть не должно, анонсируйте сеть 1.1.1.0/24 только в своей автономной системе. Анонсируйте любую другую сеть и в соседнюю автономную систему тоже

PS Задача взята из жизни. Представьте, что всё уже настроено, есть куча IBGP соседей, у них eсть выходы в другие автономки. Вы их настраивать не можете, но должны анонсировать сетку. Только для своей автономки и не дай Бог она вылезет куда то наружу :)

_____________________________________________________________
Задача не сложная, однако и её в сжатые сроки никто не решил, что странно. Посидев часик люди решали. Решается просто :)
Кто точно знает - потерпите чуток. Через 2 дня можно выкладывать полное решение :)

Вложения:
BSCI.jpeg
BSCI.jpeg [ 16.56 КБ | Просмотров: 36344 ]

Автор:  Hando [ 27 окт 2009, 12:19 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

Наверно народе который по security больше к тебе шел на CE. Потому что задачка, если знать основы бгп, минуты на 3-5 макс :)

Автор:  Hando [ 27 окт 2009, 12:21 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

s/народе/народ/

Автор:  Fedia [ 27 окт 2009, 13:40 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

Да все мои задачки, как ты видишь, на 3 минуты :)

А шил не ко мне, в ФастЛейн.

Мало того, повальное большинство (около 75%) просили именно задачу по маршрутизации, т.е. эту :)

Автор:  Hando [ 27 окт 2009, 13:56 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

Ну про вланы я вспоминал как сделать мин 30-40 на ЦЕ :) Так что для меня не все на 3 мин были :)

Автор:  Hando [ 29 окт 2009, 11:45 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

странно что никто ниче не написал:

0) конфигурим тайм-ранж ( тут периодик, в задаче делаем absolute ( конфиг со стенда - лень править :Р ) - сотв анонсим каждый день с 11 до 12:16 , так же в стенде вместо 1.1.1.0/24 юзалась сетка 50.50.50.0/24 )
time-range TEST
periodic daily 11:00 to 12:16
1) конфигурим acl для сетки 50.50.50.0/24
ip access-list extended TEST
permit ip host 50.50.50.0 host 255.255.255.0 time-range TEST

2)конфигурим acl для остальных сеток, кроме 50.50.50.0/24
ip access-list extended TEST2
deny ip host 50.50.50.0 host 255.255.255.0
permit ip any any

3) делаем route-map
route-map TIME_TEST permit 10
match ip address TEST
set community local-AS additive
!
route-map TIME_TEST permit 20
match ip address TEST2

local-as - чтоб ток в нашей AS-ке ( тут память подводит какая из них для только нашей АСки а какая для АС+бгп конфедирации: no-export или local-as )

4) настройка bgp:
router bgp 1.65000
bgp asnotation dot
bgp log-neighbor-changes
neighbor LOCAL_AS peer-group
neighbor LOCAL_AS remote-as 1.65000
neighbor LOCAL_AS update-source Loopback0
neighbor 192.168.250.3 peer-group LOCAL_AS
neighbor 192.168.250.4 peer-group LOCAL_AS
!
address-family ipv4
no synchronization
network 50.50.50.0 mask 255.255.255.0
network 51.51.51.0 mask 255.255.255.0
neighbor LOCAL_AS send-community both
neighbor LOCAL_AS route-map TIME_TEST out
neighbor 192.168.250.3 activate
neighbor 192.168.250.4 activate
distance bgp 200 200 200
no auto-summary
exit-address-family
!

соседа 2, а не 3 но не суть дела. Основные шаги - задаем send community both ( можно и standart но станд не ток для этого юзался, тут обе нужны :Р )
задаем route-map на out маршруты.

Проверка:

R0#sh clock
11:40:40.532 UTC Thu Oct 29 2009
R0#sh time
R0#sh time-range
time-range entry: TEST (active)
periodic daily 11:00 to 12:16
used in: IP ACL entry
R0#

на соседе в той же АСке
R3(config)#do sh ip bgp 50.50.50.0
BGP routing table entry for 50.50.50.0/24, version 33
Paths: (1 available, best #1, table default, not advertised outside local AS)
Not advertised to any peer
Local
192.168.250.1 (metric 2) from 192.168.250.1 (192.168.250.1)
Origin IGP, metric 0, localpref 100, valid, internal, best
Community: local-AS
R3(config)#

из соседней АСки:
R4#sh ip bgp | i (51.51.51.0|50.50.50.0)
*> 51.51.51.0/24 172.16.0.2 0 1.65000 i
R4#


меняем clock, ждем сек 10-30 пока update пройдет:
R0# clock set 12:20:00 29 oct 2009
R0#
Oct 29 12:20:00.003: %SYS-6-CLOCKUPDATE: System clock has been updated from 11:44:04 UTC Thu Oct 29 2009 to 12:20:00 UTC Thu Oct 29 2009, configured from console by hando on console.
R0#sh time
R0#sh time-range
time-range entry: TEST (inactive)
periodic daily 11:00 to 12:16
used in: IP ACL entry
R0#

на соседе:
R3(config)#do sh ip bgp 50.50.50.0
% Network not in table
R3(config)#

Автор:  LAG [ 29 окт 2009, 15:12 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

Так все 2 дня ждали ;) А когда они 2 дня наступят непонятно :)

R3:
router bgp 65000
no synchronization
bgp log-neighbor-changes
network 1.1.1.1 mask 255.255.255.255
network 200.0.0.3 mask 255.255.255.255
neighbor 192.168.2.2 remote-as 65000
neighbor 192.168.2.2 send-community
neighbor 192.168.2.2 route-map for-AS65000 out
neighbor 192.168.3.1 remote-as 65000
neighbor 192.168.3.1 send-community
neighbor 192.168.3.1 route-map for-AS65000 out
neighbor 192.168.3.2 remote-as 65000
neighbor 192.168.3.2 send-community
neighbor 192.168.3.2 route-map for-AS65000 out
no auto-summary

access-list 101 permit ip host 1.1.1.1 any time-range new-2009-year
access-list 102 permit ip host 200.0.0.3 any
!
route-map for-AS65000 permit 10
match ip address 101
set community no-advertise
!
route-map for-AS65000 permit 20
match ip address 102
set community internet

time-range new-2009-year
absolute start 00:23 31 December 2009 end 03:00 01 January 2009
!
!
event manager applet UpInterface
event timer cron name UpInterface cron-entry "00 23 * * *"
action 1.0 cli command "enable"
action 1.5 cli command "conf t"
action 2.0 cli command "int loopback 1"
action 3.5 cli command "no shutdown"
---
R2:
router bgp 65000
no synchronization
bgp log-neighbor-changes
network 200.0.0.2 mask 255.255.255.255
neighbor 172.16.2.2 remote-as 64999
neighbor 192.168.2.2 remote-as 65000
neighbor 192.168.3.1 remote-as 65000
neighbor 192.168.4.1 remote-as 65000
no auto-summary
---

Автор:  LAG [ 29 окт 2009, 15:33 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

s/absolute start 00:23 31 December 2009 end 03:00 01 January 2009/absolute start 00:23 31 December 2009 end 03:00 01 January 2010
:)
в тестовой конфигурации был 2009 год и ноябрь :) в тексте подправил время.

Автор:  Hando [ 29 окт 2009, 15:34 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

а зачем каждый день в 23:00 lo0 апать ?Оо

Автор:  LAG [ 29 окт 2009, 15:40 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

1-го января надо убрать эту запись из крона :)
зато в 31-го в 23-00 поднимется интерфейс - это вообще спорный момент - надо бы допилить чтобы выполнялось только 1-н раз.

Автор:  LAG [ 29 окт 2009, 15:41 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

Это был не lo0, a lo1 - 1.1.1.1/32

Автор:  Hando [ 29 окт 2009, 15:42 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

все равно не понял :( мы ж time-rangem говорим когда адвертайзить сети. Нафига еще изврат с ЕЕМ

Автор:  LAG [ 29 окт 2009, 15:49 ]
Заголовок сообщения:  Re: И ещё одна задачка с CE2009: про BGP

Да это я не внимательно прочитал условие задачи - я так понял, что интерфейс с 1.1.1.1/32 должен подняться в 23-00 31 декабря. Этого вообще не было в условиях задачи - так что можно этот кусок стереть спокойно.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/