Hej,
Potrzebuje wyrzucić trasy z konkretnego RIB-a powiedzmy test.inet.0 na sesji EBGP, czy ktoś wie czy taki trik jest możliwy ?
Cel jest taki że odbierając z sesji BGP na routing instancji trasy, muszę je puścić poza ścieżką forwardingu, i następnie rozgłosić na konkretnej sesji zewnętrznej w celu blackholingu danego prefixu.
Wszelkie sugestie mile widziane
Michał
Export tras z konkretnego RIB-a
Re: Export tras z konkretnego RIB-a
zastanawiam się, czy możesz ustawić na imporcie jakiś parametr, który sprawi że trasa pojawi się jako inactive w tablicy routingu
PCNSA PCNSE JNCIP-DC JNCDA JNCIA-SEC JNCIA-JUNOS JNCIA-CLOUD CCNA-RS
Re: Export tras z konkretnego RIB-a
i do tego dodać community dzięki któremu następnie przekażesz go do blackholingu
PCNSA PCNSE JNCIP-DC JNCDA JNCIA-SEC JNCIA-JUNOS JNCIA-CLOUD CCNA-RS
Re: Export tras z konkretnego RIB-a
Też już testowałem, niestety opcja advertise-inactive działa tylko w przypadku jak masz np lepsza ścieżkę z ospf i chcesz rozgłosić nieaktywną ścieżkę z innego protokołu. Jest tez coś takiego jak mistyczny export-rib z którego teoretycznie powinien brać informacje o tablicy z której ma pobierać dane do wysyłania ale za żadne licho mi to nie chce działać.
Michał
Michał
Re: Export tras z konkretnego RIB-a
Rozumiem, że masz topologie jak poniżej, routery AB to Twoje routery, routery XZ to routery nie twoje, dostajesz trase z routera X na router A, chcesz żeby ona nie pojawiła się w tablicach routingu Twoich routerów, ale jednocześnie chcesz aby została rozgłoszona do routera Z?
X---ebgp---A---ibgp---B---ebgp----Z
X---ebgp---A---ibgp---B---ebgp----Z
PCNSA PCNSE JNCIP-DC JNCDA JNCIA-SEC JNCIA-JUNOS JNCIA-CLOUD CCNA-RS
Re: Export tras z konkretnego RIB-a
Uproszczając X->A->Z gdzie :
X to system wykrywający ataki który rozgłasza prefix do blackholingu
A - to mój router Junipera
Z - router operatora T1
Router A wręcz nie może zainstalować tej trasy bo pozostały ruch ma działać normalnie. Generalnie z jednym prefixem nie ma problemu ale jak już jest drugi z innym community to muszę coś porzeźbić aby oba rozesłać do obu operatorow.
Można to rozwiązać dodatkowymi sesjami do operatorów zewnętrzych ale szukam rozwiązania bez tego.
Michał
Wysłane z iPhone za pomocą Tapatalk
X to system wykrywający ataki który rozgłasza prefix do blackholingu
A - to mój router Junipera
Z - router operatora T1
Router A wręcz nie może zainstalować tej trasy bo pozostały ruch ma działać normalnie. Generalnie z jednym prefixem nie ma problemu ale jak już jest drugi z innym community to muszę coś porzeźbić aby oba rozesłać do obu operatorow.
Można to rozwiązać dodatkowymi sesjami do operatorów zewnętrzych ale szukam rozwiązania bez tego.
Michał
Wysłane z iPhone za pomocą Tapatalk
Re: Export tras z konkretnego RIB-a
sprobuj zrobic polityke export podpieta pod forwarding table
from community X
then reject
wtedy trasa bedzie widoczna w tablicy rutingu, ale nie zostanie zainstalowana w FT
from community X
then reject
wtedy trasa bedzie widoczna w tablicy rutingu, ale nie zostanie zainstalowana w FT