Leuk dat je het beperkt tot BGP omgevingen maar ook BGP kun je zo configureren dat je traffic niet over een bepaald segment laat lopen. Het internet is een stabiel systeem, geen symetrisch systeem.
Inderdaad is het internet een redundant systeem, maar dat de te volgen route niet vast staat, is slechts op IP niveau waar. Als ik vanuit hier een bepaalde site in amerika opvraag, ga ik altijd via het dezelfde transit, tenzij er iets goed mis is bij de betreffende transit, dat mijn provider besluit om verkeer via een andere transitprovider te sturen, iets wat ze niet willen, omdat dat per definitie meer geld kost
Niet willen heeft hier niets mee te maken. Als een transit onbereikbaar is moet het verkeer worden omgeleidt. C'est simple. Ook maakt het niet uit dat je altijd via dezelfde transit gaat. De route héén kan anders zijn dan de route terug..
[...]
elke router (transit netwerken daar gelaten) die externe verbindingen heeft, heeft ook interne verbindingen. Je laat je interne netwerk niet kiezen via welke externe link ze naar buiten mogen. Dat wil je BGP laten doen omdat deze op basis van verschillende attributen hierover een goed keuze kan maken. Vervolgens zal je je hosts op je hetwerk moeten laten weten via welke router ze naar buiten mogen. Dat kan BGP niet voor je doen vriend.
Inderdaad. Maar punt is dat RIP en OSPF geen contact met de buitenwereld mogen hebben. Doe je dat wel maak je het hackers wel erg makkelijk. Op je interne interface kun je inderdaad RIP aan zetten. Tegelijkertijd kun je met een Virtual IP (VRRP) in cisco taal vermijden dat de routes intern uberhaupt veranderen als er externe wijzigingen zijn. In mijn ogen kun je dus beter vastzetten dat het interne netwerk altijd via een bepaald VIP naar buiten gaat. Laat die router dan zelf de beste weg maar kiezen.
Mijn reactie had ik gegevens voor kritz zijn plaatje had gepost, want dat veranderd zaken. Maar regulier gezien gebruik je een IGP (OSPF, EIGRP) om je interne netwerk op de hoogte te brengen van de meest geschkte external link, en zijn hier derhalve ook uitermate geschikt voor. Als je inderdaad maar een subnet hebt, compliceert het de zaken. Je zal met VRRP moeten gaan werken om intern verkeer op de juiste router te krijgen.
Of je nu 1 subnet rechtstreeks aan je routers hangt of meerdere interne routers hebt maakt feitelijk niets uit. Aan de rand van het netwerk heb je twee routers en komt al het verkeer uit het ene interne subnet wat met die routers verbonden is. Dit tenzij je verschillende locaties hebt die met elkaar verbonden zijn en elk ook hun eigen verbinding naar buiten hebben. Dan heb je dus twee subnetten aan de rand van je netwerk met ieder 1 router. Zo'n situatie is echter duidelijk complexer dan de simpele situatie met 2 redundant routers van de TS.
Maar in ieder geval prefereer jij blijkbaar het updaten via IGP van alle routers in je interne netwerk boven een VIP. Ik niet. Ik heb liever een cluster routers die aan load balancing doen dan losse routers waarbij zodra een router of internet verbinding uitvalt het hele netwerk omgezet moet worden. Dat kan dan misschien automatisch via IGP maar ik zie het nut niet. Behalve dus als je netwerk op verschillende locaties internet toegang moet hebben zie ik het nut van losse routers. Maar in zo'n situatie zou ik eigenlijk op elk eindpunt een eigen cluster met VIP neerzetten.
Dat je niet alle routes naar IEDER ipblok weet, beweer ik ook niet, maar als je full bgp peert, weet je wel minimaal een route voor ieder subnet. Of de route ge-aggeregate is of niet, boeit hie verder niet.
Je ben dus compleet op de hoogte van alle routes op internet (bgp fully connected).
Wat raar het staat er toch echt. Maar als ik zeg "alles behalve 10.x.x.x" moet via de gateway 10.0.0.1 naar buiten. 10.x.x.x moet als volgt ...." weet mijn router dus ook een route voor ieder subnet? In mijn ogen kan die dan ieder (publiek) subnet bereiken maar heeft die geen flauw idee wat de route is. In het netwerk is de eerste hop bekend, meer niet. Net zoals in BGP dus eigenlijk.
[...]
Een heel leuk voorbeeldje, maar de metric van BGP is voornamelijk de lengte van het kortste AS path (tenzij de administrator allerlei andere dingetjes heeft lopen te configureren). Feit is nu eenmaal dat een AS-path twee kanten op de zelfde lengte heeft.
Ehm nee. Het voorbeeld was bedoeld om aan te geven dat het internet niet symetrisch is. Dat MED niet de eerste keuze is die een BGP router maakt zegt mij niet zoveel. De lengte van het AS pad is dat namelijk ook niet. En het is wel de bedoeling dat je een BGP router correct configureert.
Voor de volledigheid:
BGP Path Selection
BGP could possibly receive multiple advertisements for the same route from multiple sources. BGP selects only one path as the best path. When the path is selected, BGP puts the selected path in the IP routing table and propagates the path to its neighbors. BGP uses the following criteria, in the order presented, to select a path for a destination:
* If the path specifies a next hop that is inaccessible, drop the update.
* Prefer the path with the largest weight.
* If the weights are the same, prefer the path with the largest local preference.
* If the local preferences are the same, prefer the path that was originated by BGP running on this router.
* If no route was originated, prefer the route that has the shortest AS_path.
* If all paths have the same AS_path length, prefer the path with the lowest origin type (where IGP is lower than EGP, and EGP is lower than incomplete).
* If the origin codes are the same, prefer the path with the lowest MED attribute.
* If the paths have the same MED, prefer the external path over the internal path.
* If the paths are still the same, prefer the path through the closest IGP neighbor.
* Prefer the path with the lowest IP address, as specified by the BGP router ID.
Ik beweer hier niet het antwoord op de vraag van de TS in pacht te hebben, maar wat jij zegt is niet juist.
Ik beweer hier niet het antwoord op de vraag van de TS in pacht te hebben, maar wat jij zegt is niet juist.
Overigens ben ik nog steeds van mening dat de TS in zijn openingspost teweinig info gaf. Met het plaatje wordt het al beter.
Dat is toch allang niet meer relevant. Het is duidelijk dat de TS iets raars wilde wat volstrekt zinloos is bij een goed geconfigureerd redundant systeem. Vraag die over blijft is hoe je zo'n router moet configureren. Jij blijft hameren op het idee dat de route heen en weer hetzelfde moet zijn. Ik geef ondertussen al veel te vaak aan dat de route niet relevant is.
Toch wil ik graag nog weten hoe hij zijn routes binnenkrijgt van zijn ISP. Zoals ik uit zijn routetabel kan opmaken, injecteert hij een nul-route in zijn topologytable. Je kan je dual-home dus niet redundant gebruiken, enkel als failover. Hiervoor moet je de interne hosts op de hoogte stellen. Dit kan als je meerdere subnets hebt, heel goed via een IGP, maar met maar een subnet, zul je VRRP moeten gebruiken en je routetabel of externe links moeten monitoren.
Even afgezien dat failover een vorm van redundancy is zul je in zo'n setup zonder Virtual IP adres bij je router inderdaad elke keer als een router of internet verbinding plat gaat je interne netwerk opnieuw moeten inrichten. Mét een virtueel IP adres kun je er trouwens ook voor zorgen dat beide routers toegang hebben tot beide transits. Op die manier kun je dan ook aan load balancing doen én blijven beide netwerkverbindingen beschikbaar als één van beide routers plat gaat. Maar ik heb hierboven al aangegeven dat ik jou weerstand tegen VIPs niet begrijp.
/u/13471/karnemelk.png?f=community)
/u/3626/front-kabels.png?f=community)
:strip_exif()/u/19799/lotr01_6060.gif?f=community)
redundantie...
). Nu is het punt dus: is dit erg/kan dit gebeuren? Ik heb te weinig verstand van BGP om te te kunnen beredeneren of deze situatie uberhaupt waarschijnlijk is, of dat het kwaad zou kunnen als dat gebeurt.