Re: [FRnOG] [TECH] BGP et HSRP

2018-04-08 Par sujet Youssef Bengelloun-Zahr 
Et les IXP L3 ?

Coucou HOPUS.net 

My 2 cents.


P.S : on est d’accords sur le fond, eBGP en Interconnexion physique directe 
routeur à routeur.



Le 8 avr. 2018 à 19:32, Michel Py  a écrit :

>>> Antoine BOURAS a écrit :
>>> il faut un Point à Point (physique) quand on fait du eBGP
> 
>> Radu-Adrian Feurdean a écrit :
>> Ce qui est totalement faux. Exemple flagrant : les IXP, dont quelques 
>> "petits" LANS a plusieurs Tbps.
> 
> Bon exemple. En plus, dans bien des IXP, en plus du VLAN de peering il y a 
> aussi 2 ou plus serveurs de routes et les participants ne peerent pas 
> forcément directement entre eux car il est plus simple de peerer avec les 
> serveurs de routes de l'IXP. Dans ce cas, le next-hop est celui du collègue, 
> pas celui du serveur de routes avec qui la session BGP est établie.
> 
> Donc si j'ai 2 routeurs dans le VLAN de peering, qui ont chacun une session 
> BGP avec un des serveurs de routes, qu'est-ce qui m'empêche d'annoncer 
> l'adresse CARP/HSRP en tant que next-hop (à par le fait que çà consomme 3 
> adresses au lieu de 2) ?
> 
> Cà bascule plus rapide, pour une malheureuse IP pourquoi s'en passer ? j'ai 
> vu des /24 qui étaient même pas à moitié pleins.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] BGP et HSRP

2018-04-08 Par sujet Michel Py 
>> Antoine BOURAS a écrit :
>> il faut un Point à Point (physique) quand on fait du eBGP

> Radu-Adrian Feurdean a écrit :
> Ce qui est totalement faux. Exemple flagrant : les IXP, dont quelques 
> "petits" LANS a plusieurs Tbps.

Bon exemple. En plus, dans bien des IXP, en plus du VLAN de peering il y a 
aussi 2 ou plus serveurs de routes et les participants ne peerent pas forcément 
directement entre eux car il est plus simple de peerer avec les serveurs de 
routes de l'IXP. Dans ce cas, le next-hop est celui du collègue, pas celui du 
serveur de routes avec qui la session BGP est établie.

Donc si j'ai 2 routeurs dans le VLAN de peering, qui ont chacun une session BGP 
avec un des serveurs de routes, qu'est-ce qui m'empêche d'annoncer l'adresse 
CARP/HSRP en tant que next-hop (à par le fait que çà consomme 3 adresses au 
lieu de 2) ?

Cà bascule plus rapide, pour une malheureuse IP pourquoi s'en passer ? j'ai vu 
des /24 qui étaient même pas à moitié pleins.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] BGP et HSRP

2018-04-08 Par sujet Radu-Adrian Feurdean 
On Sat, Apr 7, 2018, at 16:17, Antoine BOURAS wrote:
>il faut un Point à Point (physique) quand on fait du eBGP…

Ce qui est totalement faux. Exemle flagrant : les IXP, dont quelques "petits" 
LANS a plusieurs Tbps.
Mais je suis d'accord que ca va dans le sens du concept "le L2 s'arrete autant 
que possible au bout du cable". Ce qui n'est manifestement pas le cas dans le 
scenario discute ici.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] BGP et HSRP

2018-04-08 Par sujet Michel Py 
> Frederic Dhieux a écrit :
> J'utilise de mon côté ce système pour des firewalls, c'est très souple et 
> efficace.
> Les 2 firewalls sont en BGP vers les routeurs edge et la CARP est annoncée en 
> next-hop.

Je ne suis donc pas le seul à faire çà. Tu pourrais poster un vague schéma ?

> Ca permet d'avoir une bascule très rapide, d'avoir une cohérence entre les 
> gateways
> actives pour les VLAN derrière et le master sur le BGP, ça permet aussi de 
> perdre le
> process BGP du master (ou de le couper) sans changer le routage.

Exactement; c'est encore mieux que 2 sessions, le next-hop ne changeant pas.

> Après entre routeurs purs, la question se pose plus, mais ça ne me choque pas 
> dans l'absolu, si
> on a un L2 qui traine dans l'archi (c'est peut-être là le point noir qui 
> embête du monde. Admettons
> même tu as une interco privée entre 2 routeurs pour le HSRP et du multihop 
> eBGP pour joindre ton
> copain, si l'interco privée pète, tes ports tombent, les IPs et donc les 2 
> sessions.

Physiquement en L2 mon interco privée c'est que j'ai mes 2 routeurs qui sont 
connectés sur 2 switchs différents dans le même VLAN que l'upstream. Si un des 
switchs tombe çà va prendre un des deux routeurs avec lui, et la CARP va 
changer de switch mais c'est pas pire que d'avoir un des deux routeurs qui 
tombe, bascule très rapide.

> Bref pour du end point d'un L2 c'est vraiment sexy je trouve, mais dans un
> contexte L3 pur, là comme ça je dirais que ça peut poser des effets pervers.

Du genre ? c'est bien pour çà qu'on en discute.

Michel.

Le 07/04/2018 à 18:22, Michel Py a écrit :
>> Antoine BOURAS a écrit :
>> Sinon, je ne te cache pas, quand j'ai vu ça j'ai eu mal aux yeux.
> C'est parce que t'as pas bien regardé ce que je proposais.
> J'aurais du préciser : eBGP entre 2 AS. Si c'était du iBGP, je suis au 
> courant qu'il faut ou full mesh ou route reflector ou confederation.
>
> On ne peut PAS avoir l'adresse virtuelle qui soit le router-ID.
> Dont il faut une session 2 sessions BGP et set next-hop l'adresse virtuelle 
> dans la route-map out.
>  AS1  AS2
> R1 192.168.0.1  <---eBGP--->  R3192.168.0.4
> R2 192.268.0.2  <---eBGP--->  R4192.168.0.5
> Virt   192.168.0.3Virt  192.168.0.6
> Une session BGP entre R1 et R3, une autre entre R2 et R4.
>
>
>> Il ne faut pas oublier que BGP est sur TCP ? Elle va faire comment la pauvre 
>> session TCP quand HSRP bascule ?
> Il y a 2 sessions TCP est aucune n'est sur HSRP.
>
>
>> il faut un Point à Point (physique) quand on fait du eBGP.
> Non pas forcément, eBGP multihop je fais çà tous les jours.
>
>
>> David Ponzone a écrit :
>> Ok mais HSRP/VRRP sert à quoi alors ?
> A réduire à presque zéro le temps de bascule quand le routeur active tombe 
> sans bidouiller dans les timers de BGP. Bidouiller les timers de BGP j'aime 
> pas, quand on a un routeur un peu poussif çà cause des problèmes.
>
> Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] BGP et HSRP

2018-04-08 Par sujet Frederic Dhieux 
Hello,

J'utilise de mon côté ce système pour des firewalls, c'est très souple
et efficace. Les 2 firewalls sont en BGP vers les routeurs edge et la
CARP est annoncée en next-hop.

Ca permet d'avoir une bascule très rapide, d'avoir une cohérence entre
les gateways actives pour les VLAN derrière et le master sur le BGP, ça
permet aussi de perdre le process BGP du master (ou de le couper) sans
changer le routage.

C'est de loin la solution la plus robuste et pratique pour ce contexte.

Après entre routeurs purs, la question se pose plus, mais ça ne me
choque pas dans l'absolu, si on a un L2 qui traine dans l'archi (c'est
peut-être là le point noir qui embête du monde. Admettons même tu as une
interco privée entre 2 routeurs pour le HSRP et du multihop eBGP pour
joindre ton copain, si l'interco privée pète, tes ports tombent, les IPs
et donc les 2 sessions. Une coupure (certes rare si c'est un agrégat)
tomberait l'ensemble. Donc à côté faudrait encore 2 sessions de backup
sur de la loopback pour parer à ce cas mais là c'est plus du tout élégant.

Bref pour du end point d'un L2 c'est vraiment sexy je trouve, mais dans
un contexte L3 pur, là comme ça je dirais que ça peut poser des effets
pervers.

Fred

Le 07/04/2018 à 18:22, Michel Py a écrit :
>> Antoine BOURAS a écrit :
>> Sinon, je ne te cache pas, quand j'ai vu ça j'ai eu mal aux yeux.
> C'est parce que t'as pas bien regardé ce que je proposais.
> J'aurais du préciser : eBGP entre 2 AS. Si c'était du iBGP, je suis au 
> courant qu'il faut ou full mesh ou route reflector ou confederation.
>
> On ne peut PAS avoir l'adresse virtuelle qui soit le router-ID.
> Dont il faut une session 2 sessions BGP et set next-hop l'adresse virtuelle 
> dans la route-map out.
>  AS1  AS2
> R1 192.168.0.1  <---eBGP--->  R3192.168.0.4
> R2 192.268.0.2  <---eBGP--->  R4192.168.0.5
> Virt   192.168.0.3Virt  192.168.0.6
> Une session BGP entre R1 et R3, une autre entre R2 et R4.
>
>
>> Il ne faut pas oublier que BGP est sur TCP ? Elle va faire comment la pauvre 
>> session TCP quand HSRP bascule ?
> Il y a 2 sessions TCP est aucune n'est sur HSRP.
>
>
>> il faut un Point à Point (physique) quand on fait du eBGP.
> Non pas forcément, eBGP multihop je fais çà tous les jours.
>
>
>> David Ponzone a écrit :
>> Ok mais HSRP/VRRP sert à quoi alors ?
> A réduire à presque zéro le temps de bascule quand le routeur active tombe 
> sans bidouiller dans les timers de BGP. Bidouiller les timers de BGP j'aime 
> pas, quand on a un routeur un peu poussif çà cause des problèmes.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/