Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 13:11



Ответить на тему  [ Сообщений: 13 ] 
И ещё одна задачка с CE2009: про BGP 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Вы – помощник администратора большой распределённой сети. Руководство поставило задачу, оттестировать работу нового приложения, которое расположится в сети 1.1.1.0/24, за маршрутизатором R3 (см. схему)

В Вашей сети работает только протокол BGP. Полностью настраивать вы можете только маршрутизатор R3. Анонсируйте сеть 1.1.1.0/24 при помощи R3, только в своей автономной системе и только на время с 23:00 31 декабря 2009 по 03:00 1 января 2010г. Для проверки анонсируйте c R3 какую-нибудь другую (любую) сеть так, чтобы она была видна и в AS64999.
Создайте базовую конфигурацию BGP на R1-R4, никаких фильтров на R1,R2,R4 быть не должно, анонсируйте сеть 1.1.1.0/24 только в своей автономной системе. Анонсируйте любую другую сеть и в соседнюю автономную систему тоже

PS Задача взята из жизни. Представьте, что всё уже настроено, есть куча IBGP соседей, у них eсть выходы в другие автономки. Вы их настраивать не можете, но должны анонсировать сетку. Только для своей автономки и не дай Бог она вылезет куда то наружу :)

_____________________________________________________________
Задача не сложная, однако и её в сжатые сроки никто не решил, что странно. Посидев часик люди решали. Решается просто :)
Кто точно знает - потерпите чуток. Через 2 дня можно выкладывать полное решение :)


Вложения:
BSCI.jpeg
BSCI.jpeg [ 16.56 КБ | Просмотров: 36333 ]
27 окт 2009, 10:32
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
Наверно народе который по security больше к тебе шел на CE. Потому что задачка, если знать основы бгп, минуты на 3-5 макс :)


27 окт 2009, 12:19
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
s/народе/народ/


27 окт 2009, 12:21
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да все мои задачки, как ты видишь, на 3 минуты :)

А шил не ко мне, в ФастЛейн.

Мало того, повальное большинство (около 75%) просили именно задачу по маршрутизации, т.е. эту :)


27 окт 2009, 13:40
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
Ну про вланы я вспоминал как сделать мин 30-40 на ЦЕ :) Так что для меня не все на 3 мин были :)


27 окт 2009, 13:56
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
странно что никто ниче не написал:

0) конфигурим тайм-ранж ( тут периодик, в задаче делаем absolute ( конфиг со стенда - лень править :Р ) - сотв анонсим каждый день с 11 до 12:16 , так же в стенде вместо 1.1.1.0/24 юзалась сетка 50.50.50.0/24 )
time-range TEST
periodic daily 11:00 to 12:16
1) конфигурим acl для сетки 50.50.50.0/24
ip access-list extended TEST
permit ip host 50.50.50.0 host 255.255.255.0 time-range TEST

2)конфигурим acl для остальных сеток, кроме 50.50.50.0/24
ip access-list extended TEST2
deny ip host 50.50.50.0 host 255.255.255.0
permit ip any any

3) делаем route-map
route-map TIME_TEST permit 10
match ip address TEST
set community local-AS additive
!
route-map TIME_TEST permit 20
match ip address TEST2

local-as - чтоб ток в нашей AS-ке ( тут память подводит какая из них для только нашей АСки а какая для АС+бгп конфедирации: no-export или local-as )

4) настройка bgp:
router bgp 1.65000
bgp asnotation dot
bgp log-neighbor-changes
neighbor LOCAL_AS peer-group
neighbor LOCAL_AS remote-as 1.65000
neighbor LOCAL_AS update-source Loopback0
neighbor 192.168.250.3 peer-group LOCAL_AS
neighbor 192.168.250.4 peer-group LOCAL_AS
!
address-family ipv4
no synchronization
network 50.50.50.0 mask 255.255.255.0
network 51.51.51.0 mask 255.255.255.0
neighbor LOCAL_AS send-community both
neighbor LOCAL_AS route-map TIME_TEST out
neighbor 192.168.250.3 activate
neighbor 192.168.250.4 activate
distance bgp 200 200 200
no auto-summary
exit-address-family
!

соседа 2, а не 3 но не суть дела. Основные шаги - задаем send community both ( можно и standart но станд не ток для этого юзался, тут обе нужны :Р )
задаем route-map на out маршруты.

Проверка:

R0#sh clock
11:40:40.532 UTC Thu Oct 29 2009
R0#sh time
R0#sh time-range
time-range entry: TEST (active)
periodic daily 11:00 to 12:16
used in: IP ACL entry
R0#

на соседе в той же АСке
R3(config)#do sh ip bgp 50.50.50.0
BGP routing table entry for 50.50.50.0/24, version 33
Paths: (1 available, best #1, table default, not advertised outside local AS)
Not advertised to any peer
Local
192.168.250.1 (metric 2) from 192.168.250.1 (192.168.250.1)
Origin IGP, metric 0, localpref 100, valid, internal, best
Community: local-AS
R3(config)#

из соседней АСки:
R4#sh ip bgp | i (51.51.51.0|50.50.50.0)
*> 51.51.51.0/24 172.16.0.2 0 1.65000 i
R4#


меняем clock, ждем сек 10-30 пока update пройдет:
R0# clock set 12:20:00 29 oct 2009
R0#
Oct 29 12:20:00.003: %SYS-6-CLOCKUPDATE: System clock has been updated from 11:44:04 UTC Thu Oct 29 2009 to 12:20:00 UTC Thu Oct 29 2009, configured from console by hando on console.
R0#sh time
R0#sh time-range
time-range entry: TEST (inactive)
periodic daily 11:00 to 12:16
used in: IP ACL entry
R0#

на соседе:
R3(config)#do sh ip bgp 50.50.50.0
% Network not in table
R3(config)#


29 окт 2009, 11:45
Профиль WWW

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
Так все 2 дня ждали ;) А когда они 2 дня наступят непонятно :)

R3:
router bgp 65000
no synchronization
bgp log-neighbor-changes
network 1.1.1.1 mask 255.255.255.255
network 200.0.0.3 mask 255.255.255.255
neighbor 192.168.2.2 remote-as 65000
neighbor 192.168.2.2 send-community
neighbor 192.168.2.2 route-map for-AS65000 out
neighbor 192.168.3.1 remote-as 65000
neighbor 192.168.3.1 send-community
neighbor 192.168.3.1 route-map for-AS65000 out
neighbor 192.168.3.2 remote-as 65000
neighbor 192.168.3.2 send-community
neighbor 192.168.3.2 route-map for-AS65000 out
no auto-summary

access-list 101 permit ip host 1.1.1.1 any time-range new-2009-year
access-list 102 permit ip host 200.0.0.3 any
!
route-map for-AS65000 permit 10
match ip address 101
set community no-advertise
!
route-map for-AS65000 permit 20
match ip address 102
set community internet

time-range new-2009-year
absolute start 00:23 31 December 2009 end 03:00 01 January 2009
!
!
event manager applet UpInterface
event timer cron name UpInterface cron-entry "00 23 * * *"
action 1.0 cli command "enable"
action 1.5 cli command "conf t"
action 2.0 cli command "int loopback 1"
action 3.5 cli command "no shutdown"
---
R2:
router bgp 65000
no synchronization
bgp log-neighbor-changes
network 200.0.0.2 mask 255.255.255.255
neighbor 172.16.2.2 remote-as 64999
neighbor 192.168.2.2 remote-as 65000
neighbor 192.168.3.1 remote-as 65000
neighbor 192.168.4.1 remote-as 65000
no auto-summary
---


29 окт 2009, 15:12
Профиль

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
s/absolute start 00:23 31 December 2009 end 03:00 01 January 2009/absolute start 00:23 31 December 2009 end 03:00 01 January 2010
:)
в тестовой конфигурации был 2009 год и ноябрь :) в тексте подправил время.


29 окт 2009, 15:33
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
а зачем каждый день в 23:00 lo0 апать ?Оо


29 окт 2009, 15:34
Профиль WWW

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
1-го января надо убрать эту запись из крона :)
зато в 31-го в 23-00 поднимется интерфейс - это вообще спорный момент - надо бы допилить чтобы выполнялось только 1-н раз.


29 окт 2009, 15:40
Профиль

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
Это был не lo0, a lo1 - 1.1.1.1/32


29 окт 2009, 15:41
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
все равно не понял :( мы ж time-rangem говорим когда адвертайзить сети. Нафига еще изврат с ЕЕМ


29 окт 2009, 15:42
Профиль WWW

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
Да это я не внимательно прочитал условие задачи - я так понял, что интерфейс с 1.1.1.1/32 должен подняться в 23-00 31 декабря. Этого вообще не было в условиях задачи - так что можно этот кусок стереть спокойно.


29 окт 2009, 15:49
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB