© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Wir haben z.Zt. folgende Situation:
Unser einziger Upstream ist AS10000 (Beispiel-ASN). AS10000 announced
unser /20 zu dessen Upstreams und Peers. AS10000 musste vor einigen
Wochen Insolvenz anmelden und wird in den naechsten Tagen die Leitung
abstellen. Wir haben keine BGP-Session mit AS10000, und benutzen deren
Access Router als Gateway (ueblicherweise die .1 aus jedem /24)
Wir haben uns in der Zwischenzeit um einen neuen Upstream und eine
eigene ASN gekuemmert, moechten jetzt den Upstream austauschen. Am
besten bevor die Leitung des alten Upstreams abgeschaltet wird. Wir
haben eine BGP-Session mit dem neuen Upstream, AS20000, aber es werden
noch keine Routen announced.
Problem 1) Wir koennen AS10000 nicht dazu bringen, unser /20 nicht mehr
zu announcen. Die Firma hat keine Mitarbeiter mehr, die die Router
konfigurieren koennten.
Problem 2) Wir koennen nicht einfach unser /20 via AS20000 announcen, da
sich a) die Gateway-Adressen (.1) von AS10000 im selben Ethernet-Segment
befinden und b) der AS-Path zu AS10000 kuerzer ist, als zu unserem
eigenen AS. Pakete wuerden weiterhin via AS10000 eintreffen. Wenn wir
AS10000 aus unserem Switch ausstoepseln wuerden, koennten wir zwar die
Gateway-Adressen auf unserem eigenen Router hochfahren, wuerden aber die
Anbindung an AS10000 verlieren. Somit waere unser Netz offline.
Ich frage mich, ob es neben den BGP-Varianten
1. AS10000 muesste das /20 mehrfach prependen, und wir announcen via
AS20000, damit wird der neue Pfad ueber AS20000 bevorzugt. Oder
2. Wir announcen unser /20 temporaer als 2x /21, kleinere Prefixe werden
den groesseren vorgezogen, damit wuerde der Traffic via AS20000
eintreffen (wie von uns gewuenscht),
zur Loesung des Problems vielleicht noch einen anderen Weg gibt, z.B.
mit Hilfe einer FreeBSD-Bridge und ipfw. Ich stelle mir das in etwa so
vor: die Bridge kommt zwischen unseren Switch und AS10000. Dort
verhindert Sie allen ausgehenden Traffic von unserem /20. Auf unserem
neuen Router, der mit AS20000 verbunden ist, werden die Gateway-Adressen
hochgefahren, der Traffic geht daher ueber AS20000 hinaus, wie von uns
gewuenscht. Traffic trifft nach wie vor von AS10000 auf der Bridge ein
und soll auch die entsprechenden Stationen erreichen koennen. Da unser
/20 nicht mit AS10000 kommunizieren darf (d.h. die .1 aus jedem /24 soll
dort nicht gefunden werden koennen), muesste hier eventuell NAT zum
Einsatz kommen? Oder waere das ein Fall fuer proxy arp? Ich glaube, ich
braeuchte so etwas wie "arp redirection" ;-)
Wenn sich der Gateway auf Seiten von AS10000 naemlich als x.x.x.1
meldet, der entsprechende Ziel-Host aber schon x.x.x.1 unter einer
anderen MAC-Adresse kennt, koennte das bestimmt Probleme geben.
Ich hoffe, ich hab mich klar ausgedrueckt. Man haette das ganze bestimmt
auch in weniger Saetzen formulieren koennen, aber ich musste mir
waehrend des Schreibens auch erst wieder ueber das Problem bewusst
werden. :-)
Danke & Gruss
Markus
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 15 Mar 2003 - 19:01:08 CET