sh ip bgp nei ?

соседей узнавать в nei или summ

не пойму как узнать ip соседа

Он в конфигурации прописан

в конфигурации куча соседей прописано. какой из них

sh adjacency

sh adjacency

Это л2

соседей узнавать в nei или summ

какая полная команда?

sh ip bgp neighbors/ sh ip bgp summary

vrf по вкусу

о получилось.

спасибо

оказалось соседи не в vrf находятся, при этом маршруты передают в vrf corp. мутная схема

оказалось соседи не в vrf находятся, при этом маршруты передают в vrf corp. мутная схема

Может просто несколько address-family у нейборов работает? Помимо ipv4 еще и vpnv4?

Может просто несколько address-family у нейборов работает? Помимо ipv4 еще и vpnv4?

да. есть такое

да. есть такое

Ну тогда это не мутная, а вполне нормальная схема. Похоже у вас mpls l3vpn работает

да есть такой. только человек который это настроил, теперь не знает как маршрут отфильтровать или статический прописать.

С ним инсульт случился?

да есть такой. только человек который это настроил, теперь не знает как маршрут отфильтровать или статический прописать.

Route map?

не знаю, может шлангом прикидывается.

Route map?

можно подробнее?

Смотря где и что вы хотите отфильтровать

нужна схема, чтобы понимать, где лучше фильтр повесить

Если вы хотите, чтобы на определенном устройстве не принимались vpnv4 префиксы некоторые, в рамках vpnv4 adress-family повесть route-map на in надо

С vpnv4, видимо, на импорте-экспорте в врф

#sh ip route vrf corp | i 10.19.202.241 B 10.19.202.241/32 [200/0] via 10.145.88.2, 1w3d

нужно чтоб этот маршрут не приходил

не знаю, может шлангом прикидывается.

Стопудова прикидывается. Настроил L3VPN и не знает, как маршрут отфильтровать? Пусть читает тогда в интернетах) если настроил такое, то отфильтровать маршрут уж точно сможет

https://pastebin.com/WT759fLb

вот настройки bgp и там есть префикс лист ip prefix-list SAP_NOBGP seq 7 deny 10.19.202.241/32 но не срабатывает

вот настройки bgp и там есть префикс лист ip prefix-list SAP_NOBGP seq 7 deny 10.19.202.241/32 но не срабатывает

Ip route-map test deny 10 match ip prefix-list test2 ip route-map test2 permit 20 ip prefix-list test2 10.19.202.241/32

neighbor ... route map test

вот настройки bgp и там есть префикс лист ip prefix-list SAP_NOBGP seq 7 deny 10.19.202.241/32 но не срабатывает

Во-первых на ipv4 AF этот префикс-лист не надо вешать. Во-вторых у вас в prefix-list, как и в ACL, в конце неявный deny, так что такой префикс лист из одной строчки вообще всё зарубит. Нужно сделать как @askipin выше написал.

не, в конце там ip prefix-list SAP_NOBGP seq 20 permit 0.0.0.0/0 le 32

Парни, от меня интегратор хочет знать, есть ли у меня "прозрачная маршрутизация между физическими сегментами" - кто-нибудь может это перевести?

Ip route-map test deny 10 match ip prefix-list test2 ip route-map test2 permit 20 ip prefix-list test2 10.19.202.241/32

что-то сложно. боюсь поломать. пусть кто это делал и разбирается.

Этот префикс-лист не срежет такие же префиксы в других врф?

срежет

можно тогда сделать import-map в vrf

Парни, от меня интегратор хочет знать, есть ли у меня "прозрачная маршрутизация между физическими сегментами" - кто-нибудь может это перевести?

без nat?

без nat?

да вот тоже так подумал.. но звучит как-то глупо... прозрачная маршрутизация..

а что интегратор интегрирует?

можно тогда сделать import-map в vrf

ip prefix-list corp_filter permit 10.19.202.241/32 ! route-map corp_filter deny 10 match ip address prefix-list corp_filter route-map corp_filter permit 65000 ! vrf definition corp address-family ipv4 import map corp_filter как-то так

а что интегратор интегрирует?

SIEM

SIEM

тогда я за нат）

тогда я за нат）

ну.. у меня других идей нет, гугл даже не спасает

Парни, от меня интегратор хочет знать, есть ли у меня "прозрачная маршрутизация между физическими сегментами" - кто-нибудь может это перевести?

Нашел тут такую штуку. прозрачная маршрутизация Технология пересылки данных из одной сети в другую. Ее суть состоит в следующем: вначале идентифицируется сеть, в которой находится получатель информации, а затем осуществяшется маршрутизация пакетов без явного указания конечных пунктов их доставки. [Л.М. Невдяев. Телекоммуникационные технологии. Англо-русский толковый словарь-справочник. Под редакцией Ю.М. Горностаева. Москва, 2002]

ip prefix-list corp_filter permit 10.19.202.241/32 ! route-map corp_filter deny 10 match ip address prefix-list corp_filter route-map corp_filter permit 65000 ! vrf definition corp address-family ipv4 import map corp_filter как-то так

в ip prefix-list corp_filter фильтр я должен добавить все сети который надо отфильтровать? остальные при этом не потеряются, приёдут по bgp?

Нашел тут такую штуку. прозрачная маршрутизация Технология пересылки данных из одной сети в другую. Ее суть состоит в следующем: вначале идентифицируется сеть, в которой находится получатель информации, а затем осуществяшется маршрутизация пакетов без явного указания конечных пунктов их доставки. [Л.М. Невдяев. Телекоммуникационные технологии. Англо-русский толковый словарь-справочник. Под редакцией Ю.М. Горностаева. Москва, 2002]

это я тоже находил, но тут просто про маршрутизацию... надо загуглить НЕпрозрачная маршрутизация ))

Ну может попробовать самому интегратору позадавать наводящие вопросы? Пусть сами объяснят что они имеют в виду. :)

в ip prefix-list corp_filter фильтр я должен добавить все сети который надо отфильтровать? остальные при этом не потеряются, приёдут по bgp?

ну в первой строчке роут-мапа, который вешается потом на импорт в vrf, мы денаим все префиксы, указанные в префикс-листе. Соответственно да, всё, что вы там укажете, будет отфильтровано. Чтобы всё остальное потом не потерялось, есть строка route-map corp_filter permit 65000

это я тоже находил, но тут просто про маршрутизацию... надо загуглить НЕпрозрачная маршрутизация ))

пошел рассчитывать коэффициент прозрачности сети）

Ну может попробовать самому интегратору позадавать наводящие вопросы? Пусть сами объяснят что они имеют в виду. :)

не.. самому нельзя... тут всё сложно... через 10 рук информация доходит.. делаю ставку на NAT, других идей всё равно нет.

ну в первой строчке роут-мапа, который вешается потом на импорт в vrf, мы денаим все префиксы, указанные в префикс-листе. Соответственно да, всё, что вы там укажете, будет отфильтровано. Чтобы всё остальное потом не потерялось, есть строка route-map corp_filter permit 65000

хорошо. попробую через пару часов

хорошо. попробую через пару часов

Ну вы если не уверены, чтобы не ошибиться где-нибудь случайно (все же железки разные бывают, мало ли где какие особенности) все же поищите поддержки у более опытных коллег, которые всё это добро настраивали. Или хотя бы перед применением сбросьте им конфигу, чтобы проверили, что всё ок

Ну вы если не уверены, чтобы не ошибиться где-нибудь случайно (все же железки разные бывают, мало ли где какие особенности) все же поищите поддержки у более опытных коллег, которые всё это добро настраивали. Или хотя бы перед применением сбросьте им конфигу, чтобы проверили, что всё ок

в том то и дело, что не могу найти общий язык... "проблема на вашей стороне".

Да уж, на тимбилдинг вам надо пару раз сходить, ребята)

проведу тимбилдинг

5000р/человек, от 10 человек

На профит, гуляю в RNDM

всё ещё усложняется географической удалённостью. в центре не шибко интересны проблемы филиалов

всё ещё усложняется географической удалённостью. в центре не шибко интересны проблемы филиалов

Ты себя на позицию центра не ставил, профиль конторы?

Но наверное центру интересна упущенная прибыль, которая будет недополучена вследствие неработоспособности филиалов?

Вообще лучше собрать лабу, если не уверен, и всё проверить самому, раз такая ситуация.

Вообще лучше собрать лабу, если не уверен, и всё проверить самому, раз такая ситуация.

Согласен

да понятно что у них там забот больше, и посерьёзнее... вот и приходится как слепому котёнку тыкаться... а упущенная выгода... в полугосударственной конторе другими категориями оперируют. да ябидничать не охота.

да понятно что у них там забот больше, и посерьёзнее... вот и приходится как слепому котёнку тыкаться... а упущенная выгода... в полугосударственной конторе другими категориями оперируют. да ябидничать не охота.

в госконторе кто первый стуканул, тот на повышение

лабу да, всё собираюсь. unl не запустился что-то на моих вмварях

ERROR: S client not available

в госконторе кто первый стуканул, тот на повышение

понятно почему я уже 5 лет без повышений

мы сделали метароутер, чтобы вы могли виртуализировать пока виртуализируете

Кстати, уважаемая редакия linkmeup, можете привлечь "за базар" товарищей из VAS-experts о том что спецификации на СОРМ даются операторам и вообще открыты? (кроме голосового, эта спека открыта)

Всем привет! кто-нить пытался запустить mpls на eve-ng? ldp работает, но в wireshark icmp пакеты ходят без инкапсуляции. кто виноват и что делать?) заранее спасибо

Парни, от меня интегратор хочет знать, есть ли у меня "прозрачная маршрутизация между физическими сегментами" - кто-нибудь может это перевести?

Может л2 связность?

Может л2 связность?

это коммутация уже, думаю это не прозрачная маршрутизация...

это коммутация уже, думаю это не прозрачная маршрутизация...

Внутри мплс всполне себе)

Всем привет! кто-нить пытался запустить mpls на eve-ng? ldp работает, но в wireshark icmp пакеты ходят без инкапсуляции. кто виноват и что делать?) заранее спасибо

А подробнее? Между чем и чем пинги без mpls заголовка? Что показывает mpls fib?

Проблема явно не в еве

Внутри мплс всполне себе)

Хм.. приму во внимание

Всем привет! кто-нить пытался запустить mpls на eve-ng? ldp работает, но в wireshark icmp пакеты ходят без инкапсуляции. кто виноват и что делать?) заранее спасибо

PHP ?

Парни, от меня интегратор хочет знать, есть ли у меня "прозрачная маршрутизация между физическими сегментами" - кто-нибудь может это перевести?

так пусть интегратор и расшифрует, что он имеет ввиду ))

А подробнее? Между чем и чем пинги без mpls заголовка? Что показывает mpls fib?

в ldp bindings все нормально, метка есть для нужной сети. это не PHP точно

пинги между lsr внутри домена

Всем привет! кто-нить пытался запустить mpls на eve-ng? ldp работает, но в wireshark icmp пакеты ходят без инкапсуляции. кто виноват и что делать?) заранее спасибо

норм взлетает, дебаж

норм взлетает, дебаж

ок, буду думать

Проверь PHP

я увидел, что request идет с меткой, а icmp-reply — без. насколько я знаю, mpls делает однонаправленные тунели, но вот как сделать так, чтобы был тунель в обратную сторону?

строить его в обратку

с конца к началу

sh ip mpls forwa

я делаю просто ldp без ТЕ. видно, что в таблице меток для целевой сети указан один выходной интерфейс, т.е. в одну сторону метки есть, а в другую нет

т.е. при трафике А-Б-В-Г-Д путь строится для А->Д Д-Г-В-Б-А для Д->А А-Б-В-Г-Д

и метки будут разные

и что там в сторону FEC куда ходит висит ?

я делаю просто ldp без ТЕ. видно, что в таблице меток для целевой сети указан один выходной интерфейс, т.е. в одну сторону метки есть, а в другую нет

Очень похоже на какой-то PHP

Очень похоже на какой-то PHP

трафик снимаю в середине домена, где явно до пограничных еще как минимум 2 хопа

покажи ip mpls forw на там роутере где генерируется ответ что стоит в метках куда он ответ шлет

может где-то у тебя вообще mpls не включен наример

И типа трафик сначала бежит по mpls - потом mpls домен кончается, и начинается новый

и в этом промежутке естественно не будет меток