Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Jérôme Nicolle]

Le 03/11/2015 17:38, Raphael Mazelier a écrit :
> Oui ça va mieux en le disant :)

Ou en suggérant que ces routeurs soient en plus configurés comme
route-reflectors, pourvu que plusieurs FW s'y mettent ;)

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Raphael Mazelier]

Le 03/11/15 17:35, David Ponzone a écrit :

Si tu optes pour iBGP, oublie pas de bien monter tes sessions de tous tes 
LNS/FW/… vers tes 2 routeurs!



Oui ça va mieux en le disant :)

--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[David Ponzone]

Si tu optes pour iBGP, oublie pas de bien monter tes sessions de tous tes 
LNS/FW/… vers tes 2 routeurs!


> Le 3 nov. 2015 à 17:30, Fabien H  a écrit :
> 
> OK d'où les redistribute des routes connected vs routes statiques etc etc
> .. C'est très clair maintenant merci !
> 
> Le 3 novembre 2015 17:26, Montgomery SIMONPIETRI > a écrit :
> 
>> Tout a fait d'accord avec Raphael !
>> BGP / OSPF  ... c'est pas les proto qui manquent ;)
>> 
>> 2015-11-03 16:30 GMT+01:00 Raphael Mazelier :
>> 
>>> 
>>> 
>>> Le 03/11/15 15:18, Fabien H a écrit :
>>> 
 
 @Raphael
 
 Oui c'est ça, les /32 sont envoyés sur différents équipements : LNS, FW
 puis par exemple sur le LNS, il y'a une interface avec un masque en /31
 
 
 
>>> 
>>> Dans ce cas le mieux c'est que tes équipements FW/LNS annoncent leurs
>>> préfixes aux deux routeurs via le protocole de ton choix (BGP est souvent
>>> un bon choix).
>>> 
>>> 
>>> --
>>> Raphael Mazelier
>>> 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[David Ramahefason]

Il vaut mieux que  tes équipmentsLNS and Co i annoncent dynamiquement leurs
IP/prefix plutot que de redist des connected du routeur, car tu ne resouds
pas ton probleme d'annonce si un service tombe sur ton LAN

Le mar. 3 nov. 2015 à 17:31, Fabien H  a écrit :

> OK d'où les redistribute des routes connected vs routes statiques etc etc
> .. C'est très clair maintenant merci !
>
> Le 3 novembre 2015 17:26, Montgomery SIMONPIETRI <
> montgom...@simonpietri.net
> > a écrit :
>
> > Tout a fait d'accord avec Raphael !
> > BGP / OSPF  ... c'est pas les proto qui manquent ;)
> >
> > 2015-11-03 16:30 GMT+01:00 Raphael Mazelier :
> >
> >>
> >>
> >> Le 03/11/15 15:18, Fabien H a écrit :
> >>
> >>>
> >>> @Raphael
> >>>
> >>> Oui c'est ça, les /32 sont envoyés sur différents équipements : LNS, FW
> >>> puis par exemple sur le LNS, il y'a une interface avec un masque en /31
> >>>
> >>>
> >>>
> >>
> >> Dans ce cas le mieux c'est que tes équipements FW/LNS annoncent leurs
> >> préfixes aux deux routeurs via le protocole de ton choix (BGP est
> souvent
> >> un bon choix).
> >>
> >>
> >> --
> >> Raphael Mazelier
> >>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

OK d'où les redistribute des routes connected vs routes statiques etc etc
.. C'est très clair maintenant merci !

Le 3 novembre 2015 17:26, Montgomery SIMONPIETRI  a écrit :

> Tout a fait d'accord avec Raphael !
> BGP / OSPF  ... c'est pas les proto qui manquent ;)
>
> 2015-11-03 16:30 GMT+01:00 Raphael Mazelier :
>
>>
>>
>> Le 03/11/15 15:18, Fabien H a écrit :
>>
>>>
>>> @Raphael
>>>
>>> Oui c'est ça, les /32 sont envoyés sur différents équipements : LNS, FW
>>> puis par exemple sur le LNS, il y'a une interface avec un masque en /31
>>>
>>>
>>>
>>
>> Dans ce cas le mieux c'est que tes équipements FW/LNS annoncent leurs
>> préfixes aux deux routeurs via le protocole de ton choix (BGP est souvent
>> un bon choix).
>>
>>
>> --
>> Raphael Mazelier
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Montgomery SIMONPIETRI]

Tout a fait d'accord avec Raphael !
BGP / OSPF  ... c'est pas les proto qui manquent ;)

2015-11-03 16:30 GMT+01:00 Raphael Mazelier :

>
>
> Le 03/11/15 15:18, Fabien H a écrit :
>
>>
>> @Raphael
>>
>> Oui c'est ça, les /32 sont envoyés sur différents équipements : LNS, FW
>> puis par exemple sur le LNS, il y'a une interface avec un masque en /31
>>
>>
>>
>
> Dans ce cas le mieux c'est que tes équipements FW/LNS annoncent leurs
> préfixes aux deux routeurs via le protocole de ton choix (BGP est souvent
> un bon choix).
>
>
> --
> Raphael Mazelier
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Raphael Mazelier]

Le 03/11/15 15:18, Fabien H a écrit :


@Raphael

Oui c'est ça, les /32 sont envoyés sur différents équipements : LNS, FW
puis par exemple sur le LNS, il y'a une interface avec un masque en /31





Dans ce cas le mieux c'est que tes équipements FW/LNS annoncent leurs 
préfixes aux deux routeurs via le protocole de ton choix (BGP est 
souvent un bon choix).



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

@Montgomery

Oui, c'est beaucoup plus propre et c'est compatible avec le redistribute,
merci !

@Raphael

Oui c'est ça, les /32 sont envoyés sur différents équipements : LNS, FW
puis par exemple sur le LNS, il y'a une interface avec un masque en /31



Le 3 novembre 2015 15:09, Raphael Mazelier  a écrit :

> Question : tes /32 correspondent a quoi ? des IPs de services sur des
> serveurs ?
>
> Et sinon oui tu mes les /32 sur tes deux routeurs avec des poids
> différents.
>
>
>
> Le 03/11/15 15:06, Montgomery SIMONPIETRI a écrit :
>
> Hmmm l'autre option peut être encore plus simple serait simplement de
>> mettre un poids supérieur à BGP dans la route.
>>
>>
>> Sur R1 :
>>
>> ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 250
>>
>>
>> Si la route BGP disparait (poids de 20 par défaut je crois) alors cest la
>> statique qui prendrait le relais...
>>
>> 2015-11-03 15:03 GMT+01:00 Montgomery SIMONPIETRI <
>> montgom...@simonpietri.net>:
>>
>> Exact ! Il faut inverser la condition ;)
>>>
>>> 2015-11-03 15:01 GMT+01:00 Fabien H :
>>>
>>> Oui, c'est tout à fait ça !

 Peut-être juste inverser la condition c'est à dire installer la route
 quand R2 n'est pas reachable plutot que quand il est reachable mais
 apparemment c'est faisable :

 track 456 list boolean and
   object 123 not

 Ca commence à être tiré par les cheveux .. ! A voir


 Le 3 novembre 2015 14:47, Montgomery SIMONPIETRI <
 montgom...@simonpietri.net> a écrit :

 Il faudra sans doute dupliquer les routes sur les deux routeurs, mais en
> ajoutant du tracking ip sla pour etre sur de les mettre dans la table
> uniquement en cas de failover.
>
> Sur R1 :
>
> ip sla 123
>   icmp-echo IP_LAN_R2 source-ip IP_LAN_R1
>   frequency 5
> ip sla schedule 123 life forever start-time now
>
> track 123 ip sla 123 reachability
>   delay down 25
>
> ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 track 123
>
>
> Et vice-versa sur R2.
> Est-ce que je suis à côté ?
>
> Montgomery
>
>
>
> 2015-11-03 14:28 GMT+01:00 Fabien H :
>
> Bonjour,
>>
>> merci, si j'ai bien compris, cette solution s'approche un peu du
>> redistribute en EIGRP mais en BGP. C'est effectivement à tester.
>>
>> Mais je bloque toujours sur le besoin de failover Routeur BGP.
>>
>> Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2
>> ne pourra pas assurer le failover de R1 pour les routes en /32...
>>
>> Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI <
>> montgom...@simonpietri.net> a écrit :
>>
>> Bonjour,
>>>
>>> Est-ce que vous avez pensé à mettre une solution avec du
>>> "redistribute
>>> static route-map" pour éviter d'annoncer les /32 et du prepend sur
>>> les
>>> prefix a backuper ?
>>>
>>>
>>>
>>> Du style :
>>>
>>> ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
>>> ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999
>>>
>>> access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1
>>>
>>> access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2
>>>
>>> route-map BACKUP-PREPEND permit 10
>>>   match ip address 70
>>>   set as-path prepend 1234
>>>
>>> route-map BACKUP-PREPEND permit 20
>>>
>>> route-map TAGGED-STATIC permit 10
>>>   match tag 999
>>>
>>> router bgp 1234
>>>   redistribute static route-map TAGGED-STATIC
>>>   neighbor PEER_ADDRESS route-map BACKUP-PREPEND out
>>>
>>>
>>>
>>>
>>>
>>> 2015-11-02 9:16 GMT+01:00 Fabien H :
>>>
>>> Bonjour la liste,

 J'ai une question BGP à vous soumettre :

 En 2 mots : Nous sommes opérateur internet avec 2 localisations :
 Nous
 avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
 Sur chaque routeur BGP, nous avons au moins un transitaire.

 Tout fonctionne parfaitement !

 Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
 utilisant une route Null0) et un préfixe localisé sur le routeur 2
 (idem
 route Null0).
 Puis pour chaque IP /32 dans le prefixe, nous avons des routes
 statiques
 sur le routeur BGP concerné.

 - Ma question : Nous aimerions mettre en place un failover BGP
 automatique
 en cas de défaillance matérielle totale d'un des routeurs BGP.

 La solution que j'imaginais est de mettre en place, pour un même
 prefixe,
 une route Null0 sur les 2 routeurs en même temps.

 Sur les tests que j'ai fait, ça marche si on duplique la route Null0
 sur
 les 2 routeurs et si on duplique aussi les routes statiques des
 IP/32.
 => Si un routeur BGP tombe, l'autre va

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Raphael Mazelier]

Question : tes /32 correspondent a quoi ? des IPs de services sur des 
serveurs ?


Et sinon oui tu mes les /32 sur tes deux routeurs avec des poids différents.



Le 03/11/15 15:06, Montgomery SIMONPIETRI a écrit :

Hmmm l'autre option peut être encore plus simple serait simplement de
mettre un poids supérieur à BGP dans la route.


Sur R1 :

ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 250


Si la route BGP disparait (poids de 20 par défaut je crois) alors cest la
statique qui prendrait le relais...

2015-11-03 15:03 GMT+01:00 Montgomery SIMONPIETRI <
montgom...@simonpietri.net>:


Exact ! Il faut inverser la condition ;)

2015-11-03 15:01 GMT+01:00 Fabien H :


Oui, c'est tout à fait ça !

Peut-être juste inverser la condition c'est à dire installer la route
quand R2 n'est pas reachable plutot que quand il est reachable mais
apparemment c'est faisable :

track 456 list boolean and
  object 123 not

Ca commence à être tiré par les cheveux .. ! A voir


Le 3 novembre 2015 14:47, Montgomery SIMONPIETRI <
montgom...@simonpietri.net> a écrit :


Il faudra sans doute dupliquer les routes sur les deux routeurs, mais en
ajoutant du tracking ip sla pour etre sur de les mettre dans la table
uniquement en cas de failover.

Sur R1 :

ip sla 123
  icmp-echo IP_LAN_R2 source-ip IP_LAN_R1
  frequency 5
ip sla schedule 123 life forever start-time now

track 123 ip sla 123 reachability
  delay down 25

ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 track 123


Et vice-versa sur R2.
Est-ce que je suis à côté ?

Montgomery



2015-11-03 14:28 GMT+01:00 Fabien H :


Bonjour,

merci, si j'ai bien compris, cette solution s'approche un peu du
redistribute en EIGRP mais en BGP. C'est effectivement à tester.

Mais je bloque toujours sur le besoin de failover Routeur BGP.

Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2
ne pourra pas assurer le failover de R1 pour les routes en /32...

Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI <
montgom...@simonpietri.net> a écrit :


Bonjour,

Est-ce que vous avez pensé à mettre une solution avec du "redistribute
static route-map" pour éviter d'annoncer les /32 et du prepend sur les
prefix a backuper ?



Du style :

ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999

access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1

access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2

route-map BACKUP-PREPEND permit 10
  match ip address 70
  set as-path prepend 1234

route-map BACKUP-PREPEND permit 20

route-map TAGGED-STATIC permit 10
  match tag 999

router bgp 1234
  redistribute static route-map TAGGED-STATIC
  neighbor PEER_ADDRESS route-map BACKUP-PREPEND out





2015-11-02 9:16 GMT+01:00 Fabien H :


Bonjour la liste,

J'ai une question BGP à vous soumettre :

En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
Sur chaque routeur BGP, nous avons au moins un transitaire.

Tout fonctionne parfaitement !

Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
utilisant une route Null0) et un préfixe localisé sur le routeur 2
(idem
route Null0).
Puis pour chaque IP /32 dans le prefixe, nous avons des routes
statiques
sur le routeur BGP concerné.

- Ma question : Nous aimerions mettre en place un failover BGP
automatique
en cas de défaillance matérielle totale d'un des routeurs BGP.

La solution que j'imaginais est de mettre en place, pour un même
prefixe,
une route Null0 sur les 2 routeurs en même temps.

Sur les tests que j'ai fait, ça marche si on duplique la route Null0
sur
les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
=> Si un routeur BGP tombe, l'autre va normalement prendre le relais
sans
problème.

Le seul cas qui pose problème, c'est si les 2 routeurs BGP
fonctionnement
mais que le L2L tombe.

Dans ce cas, un paquet va continuer à arriver par le transit sur le
routeur
BGP concerné, puis la route statique correspondant à l'IP sera
appliquée,
mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
donné,
le routage ne fonctionnera pas car le L2L est tombé.

Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
solution à
ce problème ?

Merci,
Bonne journée,
Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/














---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Montgomery SIMONPIETRI]

Hmmm l'autre option peut être encore plus simple serait simplement de
mettre un poids supérieur à BGP dans la route.


Sur R1 :

ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 250


Si la route BGP disparait (poids de 20 par défaut je crois) alors cest la
statique qui prendrait le relais...

2015-11-03 15:03 GMT+01:00 Montgomery SIMONPIETRI <
montgom...@simonpietri.net>:

> Exact ! Il faut inverser la condition ;)
>
> 2015-11-03 15:01 GMT+01:00 Fabien H :
>
>> Oui, c'est tout à fait ça !
>>
>> Peut-être juste inverser la condition c'est à dire installer la route
>> quand R2 n'est pas reachable plutot que quand il est reachable mais
>> apparemment c'est faisable :
>>
>> track 456 list boolean and
>>  object 123 not
>>
>> Ca commence à être tiré par les cheveux .. ! A voir
>>
>>
>> Le 3 novembre 2015 14:47, Montgomery SIMONPIETRI <
>> montgom...@simonpietri.net> a écrit :
>>
>>> Il faudra sans doute dupliquer les routes sur les deux routeurs, mais en
>>> ajoutant du tracking ip sla pour etre sur de les mettre dans la table
>>> uniquement en cas de failover.
>>>
>>> Sur R1 :
>>>
>>> ip sla 123
>>>  icmp-echo IP_LAN_R2 source-ip IP_LAN_R1
>>>  frequency 5
>>> ip sla schedule 123 life forever start-time now
>>>
>>> track 123 ip sla 123 reachability
>>>  delay down 25
>>>
>>> ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 track 123
>>>
>>>
>>> Et vice-versa sur R2.
>>> Est-ce que je suis à côté ?
>>>
>>> Montgomery
>>>
>>>
>>>
>>> 2015-11-03 14:28 GMT+01:00 Fabien H :
>>>
 Bonjour,

 merci, si j'ai bien compris, cette solution s'approche un peu du
 redistribute en EIGRP mais en BGP. C'est effectivement à tester.

 Mais je bloque toujours sur le besoin de failover Routeur BGP.

 Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2
 ne pourra pas assurer le failover de R1 pour les routes en /32...

 Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI <
 montgom...@simonpietri.net> a écrit :

> Bonjour,
>
> Est-ce que vous avez pensé à mettre une solution avec du "redistribute
> static route-map" pour éviter d'annoncer les /32 et du prepend sur les
> prefix a backuper ?
>
>
>
> Du style :
>
> ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
> ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999
>
> access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1
>
> access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2
>
> route-map BACKUP-PREPEND permit 10
>  match ip address 70
>  set as-path prepend 1234
>
> route-map BACKUP-PREPEND permit 20
>
> route-map TAGGED-STATIC permit 10
>  match tag 999
>
> router bgp 1234
>  redistribute static route-map TAGGED-STATIC
>  neighbor PEER_ADDRESS route-map BACKUP-PREPEND out
>
>
>
>
>
> 2015-11-02 9:16 GMT+01:00 Fabien H :
>
>> Bonjour la liste,
>>
>> J'ai une question BGP à vous soumettre :
>>
>> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
>> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
>> Sur chaque routeur BGP, nous avons au moins un transitaire.
>>
>> Tout fonctionne parfaitement !
>>
>> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
>> utilisant une route Null0) et un préfixe localisé sur le routeur 2
>> (idem
>> route Null0).
>> Puis pour chaque IP /32 dans le prefixe, nous avons des routes
>> statiques
>> sur le routeur BGP concerné.
>>
>> - Ma question : Nous aimerions mettre en place un failover BGP
>> automatique
>> en cas de défaillance matérielle totale d'un des routeurs BGP.
>>
>> La solution que j'imaginais est de mettre en place, pour un même
>> prefixe,
>> une route Null0 sur les 2 routeurs en même temps.
>>
>> Sur les tests que j'ai fait, ça marche si on duplique la route Null0
>> sur
>> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
>> => Si un routeur BGP tombe, l'autre va normalement prendre le relais
>> sans
>> problème.
>>
>> Le seul cas qui pose problème, c'est si les 2 routeurs BGP
>> fonctionnement
>> mais que le L2L tombe.
>>
>> Dans ce cas, un paquet va continuer à arriver par le transit sur le
>> routeur
>> BGP concerné, puis la route statique correspondant à l'IP sera
>> appliquée,
>> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
>> donné,
>> le routage ne fonctionnera pas car le L2L est tombé.
>>
>> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
>> solution à
>> ce problème ?
>>
>> Merci,
>> Bonne journée,
>> Fabien
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

>>>
>>
>

--

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Montgomery SIMONPIETRI]

Exact ! Il faut inverser la condition ;)

2015-11-03 15:01 GMT+01:00 Fabien H :

> Oui, c'est tout à fait ça !
>
> Peut-être juste inverser la condition c'est à dire installer la route
> quand R2 n'est pas reachable plutot que quand il est reachable mais
> apparemment c'est faisable :
>
> track 456 list boolean and
>  object 123 not
>
> Ca commence à être tiré par les cheveux .. ! A voir
>
>
> Le 3 novembre 2015 14:47, Montgomery SIMONPIETRI <
> montgom...@simonpietri.net> a écrit :
>
>> Il faudra sans doute dupliquer les routes sur les deux routeurs, mais en
>> ajoutant du tracking ip sla pour etre sur de les mettre dans la table
>> uniquement en cas de failover.
>>
>> Sur R1 :
>>
>> ip sla 123
>>  icmp-echo IP_LAN_R2 source-ip IP_LAN_R1
>>  frequency 5
>> ip sla schedule 123 life forever start-time now
>>
>> track 123 ip sla 123 reachability
>>  delay down 25
>>
>> ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 track 123
>>
>>
>> Et vice-versa sur R2.
>> Est-ce que je suis à côté ?
>>
>> Montgomery
>>
>>
>>
>> 2015-11-03 14:28 GMT+01:00 Fabien H :
>>
>>> Bonjour,
>>>
>>> merci, si j'ai bien compris, cette solution s'approche un peu du
>>> redistribute en EIGRP mais en BGP. C'est effectivement à tester.
>>>
>>> Mais je bloque toujours sur le besoin de failover Routeur BGP.
>>>
>>> Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2
>>> ne pourra pas assurer le failover de R1 pour les routes en /32...
>>>
>>> Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI <
>>> montgom...@simonpietri.net> a écrit :
>>>
 Bonjour,

 Est-ce que vous avez pensé à mettre une solution avec du "redistribute
 static route-map" pour éviter d'annoncer les /32 et du prepend sur les
 prefix a backuper ?



 Du style :

 ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
 ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999

 access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1

 access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2

 route-map BACKUP-PREPEND permit 10
  match ip address 70
  set as-path prepend 1234

 route-map BACKUP-PREPEND permit 20

 route-map TAGGED-STATIC permit 10
  match tag 999

 router bgp 1234
  redistribute static route-map TAGGED-STATIC
  neighbor PEER_ADDRESS route-map BACKUP-PREPEND out





 2015-11-02 9:16 GMT+01:00 Fabien H :

> Bonjour la liste,
>
> J'ai une question BGP à vous soumettre :
>
> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
> Sur chaque routeur BGP, nous avons au moins un transitaire.
>
> Tout fonctionne parfaitement !
>
> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
> utilisant une route Null0) et un préfixe localisé sur le routeur 2
> (idem
> route Null0).
> Puis pour chaque IP /32 dans le prefixe, nous avons des routes
> statiques
> sur le routeur BGP concerné.
>
> - Ma question : Nous aimerions mettre en place un failover BGP
> automatique
> en cas de défaillance matérielle totale d'un des routeurs BGP.
>
> La solution que j'imaginais est de mettre en place, pour un même
> prefixe,
> une route Null0 sur les 2 routeurs en même temps.
>
> Sur les tests que j'ai fait, ça marche si on duplique la route Null0
> sur
> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
> => Si un routeur BGP tombe, l'autre va normalement prendre le relais
> sans
> problème.
>
> Le seul cas qui pose problème, c'est si les 2 routeurs BGP
> fonctionnement
> mais que le L2L tombe.
>
> Dans ce cas, un paquet va continuer à arriver par le transit sur le
> routeur
> BGP concerné, puis la route statique correspondant à l'IP sera
> appliquée,
> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
> donné,
> le routage ne fonctionnera pas car le L2L est tombé.
>
> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
> solution à
> ce problème ?
>
> Merci,
> Bonne journée,
> Fabien
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


>>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Oui, c'est tout à fait ça !

Peut-être juste inverser la condition c'est à dire installer la route quand
R2 n'est pas reachable plutot que quand il est reachable mais apparemment
c'est faisable :

track 456 list boolean and
 object 123 not

Ca commence à être tiré par les cheveux .. ! A voir


Le 3 novembre 2015 14:47, Montgomery SIMONPIETRI  a écrit :

> Il faudra sans doute dupliquer les routes sur les deux routeurs, mais en
> ajoutant du tracking ip sla pour etre sur de les mettre dans la table
> uniquement en cas de failover.
>
> Sur R1 :
>
> ip sla 123
>  icmp-echo IP_LAN_R2 source-ip IP_LAN_R1
>  frequency 5
> ip sla schedule 123 life forever start-time now
>
> track 123 ip sla 123 reachability
>  delay down 25
>
> ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 track 123
>
>
> Et vice-versa sur R2.
> Est-ce que je suis à côté ?
>
> Montgomery
>
>
>
> 2015-11-03 14:28 GMT+01:00 Fabien H :
>
>> Bonjour,
>>
>> merci, si j'ai bien compris, cette solution s'approche un peu du
>> redistribute en EIGRP mais en BGP. C'est effectivement à tester.
>>
>> Mais je bloque toujours sur le besoin de failover Routeur BGP.
>>
>> Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2 ne
>> pourra pas assurer le failover de R1 pour les routes en /32...
>>
>> Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI <
>> montgom...@simonpietri.net> a écrit :
>>
>>> Bonjour,
>>>
>>> Est-ce que vous avez pensé à mettre une solution avec du "redistribute
>>> static route-map" pour éviter d'annoncer les /32 et du prepend sur les
>>> prefix a backuper ?
>>>
>>>
>>>
>>> Du style :
>>>
>>> ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
>>> ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999
>>>
>>> access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1
>>>
>>> access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2
>>>
>>> route-map BACKUP-PREPEND permit 10
>>>  match ip address 70
>>>  set as-path prepend 1234
>>>
>>> route-map BACKUP-PREPEND permit 20
>>>
>>> route-map TAGGED-STATIC permit 10
>>>  match tag 999
>>>
>>> router bgp 1234
>>>  redistribute static route-map TAGGED-STATIC
>>>  neighbor PEER_ADDRESS route-map BACKUP-PREPEND out
>>>
>>>
>>>
>>>
>>>
>>> 2015-11-02 9:16 GMT+01:00 Fabien H :
>>>
 Bonjour la liste,

 J'ai une question BGP à vous soumettre :

 En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
 avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
 Sur chaque routeur BGP, nous avons au moins un transitaire.

 Tout fonctionne parfaitement !

 Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
 utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
 route Null0).
 Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
 sur le routeur BGP concerné.

 - Ma question : Nous aimerions mettre en place un failover BGP
 automatique
 en cas de défaillance matérielle totale d'un des routeurs BGP.

 La solution que j'imaginais est de mettre en place, pour un même
 prefixe,
 une route Null0 sur les 2 routeurs en même temps.

 Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
 les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
 => Si un routeur BGP tombe, l'autre va normalement prendre le relais
 sans
 problème.

 Le seul cas qui pose problème, c'est si les 2 routeurs BGP
 fonctionnement
 mais que le L2L tombe.

 Dans ce cas, un paquet va continuer à arriver par le transit sur le
 routeur
 BGP concerné, puis la route statique correspondant à l'IP sera
 appliquée,
 mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
 donné,
 le routage ne fonctionnera pas car le L2L est tombé.

 Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
 solution à
 ce problème ?

 Merci,
 Bonne journée,
 Fabien

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

>>>
>>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Montgomery SIMONPIETRI]

Il faudra sans doute dupliquer les routes sur les deux routeurs, mais en
ajoutant du tracking ip sla pour etre sur de les mettre dans la table
uniquement en cas de failover.

Sur R1 :

ip sla 123
 icmp-echo IP_LAN_R2 source-ip IP_LAN_R1
 frequency 5
ip sla schedule 123 life forever start-time now

track 123 ip sla 123 reachability
 delay down 25

ip route 5.6.7.1 255.255.255.555 4.4.4.4 name ROUTE_32_R2 track 123


Et vice-versa sur R2.
Est-ce que je suis à côté ?

Montgomery



2015-11-03 14:28 GMT+01:00 Fabien H :

> Bonjour,
>
> merci, si j'ai bien compris, cette solution s'approche un peu du
> redistribute en EIGRP mais en BGP. C'est effectivement à tester.
>
> Mais je bloque toujours sur le besoin de failover Routeur BGP.
>
> Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2 ne
> pourra pas assurer le failover de R1 pour les routes en /32...
>
> Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI <
> montgom...@simonpietri.net> a écrit :
>
>> Bonjour,
>>
>> Est-ce que vous avez pensé à mettre une solution avec du "redistribute
>> static route-map" pour éviter d'annoncer les /32 et du prepend sur les
>> prefix a backuper ?
>>
>>
>>
>> Du style :
>>
>> ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
>> ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999
>>
>> access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1
>>
>> access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2
>>
>> route-map BACKUP-PREPEND permit 10
>>  match ip address 70
>>  set as-path prepend 1234
>>
>> route-map BACKUP-PREPEND permit 20
>>
>> route-map TAGGED-STATIC permit 10
>>  match tag 999
>>
>> router bgp 1234
>>  redistribute static route-map TAGGED-STATIC
>>  neighbor PEER_ADDRESS route-map BACKUP-PREPEND out
>>
>>
>>
>>
>>
>> 2015-11-02 9:16 GMT+01:00 Fabien H :
>>
>>> Bonjour la liste,
>>>
>>> J'ai une question BGP à vous soumettre :
>>>
>>> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
>>> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
>>> Sur chaque routeur BGP, nous avons au moins un transitaire.
>>>
>>> Tout fonctionne parfaitement !
>>>
>>> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
>>> utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
>>> route Null0).
>>> Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
>>> sur le routeur BGP concerné.
>>>
>>> - Ma question : Nous aimerions mettre en place un failover BGP
>>> automatique
>>> en cas de défaillance matérielle totale d'un des routeurs BGP.
>>>
>>> La solution que j'imaginais est de mettre en place, pour un même prefixe,
>>> une route Null0 sur les 2 routeurs en même temps.
>>>
>>> Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
>>> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
>>> => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
>>> problème.
>>>
>>> Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
>>> mais que le L2L tombe.
>>>
>>> Dans ce cas, un paquet va continuer à arriver par le transit sur le
>>> routeur
>>> BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
>>> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
>>> donné,
>>> le routage ne fonctionnera pas car le L2L est tombé.
>>>
>>> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
>>> solution à
>>> ce problème ?
>>>
>>> Merci,
>>> Bonne journée,
>>> Fabien
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour,

merci, si j'ai bien compris, cette solution s'approche un peu du
redistribute en EIGRP mais en BGP. C'est effectivement à tester.

Mais je bloque toujours sur le besoin de failover Routeur BGP.

Si R1 tombe, ses routes disparaissent de la table de R2, et du coup R2 ne
pourra pas assurer le failover de R1 pour les routes en /32...

Le 3 novembre 2015 14:16, Montgomery SIMONPIETRI  a écrit :

> Bonjour,
>
> Est-ce que vous avez pensé à mettre une solution avec du "redistribute
> static route-map" pour éviter d'annoncer les /32 et du prepend sur les
> prefix a backuper ?
>
>
>
> Du style :
>
> ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
> ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999
>
> access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1
>
> access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2
>
> route-map BACKUP-PREPEND permit 10
>  match ip address 70
>  set as-path prepend 1234
>
> route-map BACKUP-PREPEND permit 20
>
> route-map TAGGED-STATIC permit 10
>  match tag 999
>
> router bgp 1234
>  redistribute static route-map TAGGED-STATIC
>  neighbor PEER_ADDRESS route-map BACKUP-PREPEND out
>
>
>
>
>
> 2015-11-02 9:16 GMT+01:00 Fabien H :
>
>> Bonjour la liste,
>>
>> J'ai une question BGP à vous soumettre :
>>
>> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
>> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
>> Sur chaque routeur BGP, nous avons au moins un transitaire.
>>
>> Tout fonctionne parfaitement !
>>
>> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
>> utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
>> route Null0).
>> Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
>> sur le routeur BGP concerné.
>>
>> - Ma question : Nous aimerions mettre en place un failover BGP automatique
>> en cas de défaillance matérielle totale d'un des routeurs BGP.
>>
>> La solution que j'imaginais est de mettre en place, pour un même prefixe,
>> une route Null0 sur les 2 routeurs en même temps.
>>
>> Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
>> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
>> => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
>> problème.
>>
>> Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
>> mais que le L2L tombe.
>>
>> Dans ce cas, un paquet va continuer à arriver par le transit sur le
>> routeur
>> BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
>> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
>> le routage ne fonctionnera pas car le L2L est tombé.
>>
>> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution
>> à
>> ce problème ?
>>
>> Merci,
>> Bonne journée,
>> Fabien
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Montgomery SIMONPIETRI]

Bonjour,

Est-ce que vous avez pensé à mettre une solution avec du "redistribute
static route-map" pour éviter d'annoncer les /32 et du prepend sur les
prefix a backuper ?



Du style :

ip route 1.2.3.4 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R1 tag 999
ip route 5.6.7.8 255.255.255.0 4.4.4.4 name ROUTE_PRIM_R2 tag 999

access-list 70 permit 5.6.7.8 0.0.0.255 #SUR R1

access-list 70 permit 1.2.3.4 0.0.0.255 #SUR R2

route-map BACKUP-PREPEND permit 10
 match ip address 70
 set as-path prepend 1234

route-map BACKUP-PREPEND permit 20

route-map TAGGED-STATIC permit 10
 match tag 999

router bgp 1234
 redistribute static route-map TAGGED-STATIC
 neighbor PEER_ADDRESS route-map BACKUP-PREPEND out





2015-11-02 9:16 GMT+01:00 Fabien H :

> Bonjour la liste,
>
> J'ai une question BGP à vous soumettre :
>
> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
> Sur chaque routeur BGP, nous avons au moins un transitaire.
>
> Tout fonctionne parfaitement !
>
> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
> utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
> route Null0).
> Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
> sur le routeur BGP concerné.
>
> - Ma question : Nous aimerions mettre en place un failover BGP automatique
> en cas de défaillance matérielle totale d'un des routeurs BGP.
>
> La solution que j'imaginais est de mettre en place, pour un même prefixe,
> une route Null0 sur les 2 routeurs en même temps.
>
> Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
> => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
> problème.
>
> Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
> mais que le L2L tombe.
>
> Dans ce cas, un paquet va continuer à arriver par le transit sur le routeur
> BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
> le routage ne fonctionnera pas car le L2L est tombé.
>
> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution à
> ce problème ?
>
> Merci,
> Bonne journée,
> Fabien
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Jérôme BERTHIER]

Le 03/11/2015 10:12, Raphael Mazelier a écrit :



Le 03/11/15 09:58, Jérôme BERTHIER a écrit :


BFD ne serait pas plus adapté pour faire ça ?



BFD aide a une détection ultra rapide, mais en général ta session IBGP 
doit tomber car ta loopback a disparu de ton IGP. Donc un IGP bien 
tuné est le premier truc à faire.




Tuner l'IGP ne suffit pas forcément si ?
Quand la loopback disparait, du coup, tu attends l'expiration du timer 
BGP hold pour flusher la table de routage ? donc 180s par défaut ?


Il me semble que bfd permet de converger en dessous de la seconde 
puisque tu accroches la session BGP à l'état bfd.
Côté CPU, ça peut être plus light si traité par le data plane (en mode 
echo).


Après il y a surement des cas d'usage plus pertinents que d'autres... et 
surtout que je ne connais pas :-)


Cdt,

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Raphael Mazelier]

Le 03/11/15 09:58, Jérôme BERTHIER a écrit :


BFD ne serait pas plus adapté pour faire ça ?



BFD aide a une détection ultra rapide, mais en général ta session IBGP 
doit tomber car ta loopback a disparu de ton IGP. Donc un IGP bien tuné 
est le premier truc à faire.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Jérôme BERTHIER]

Bonjour,

Le 02/11/2015 21:05, Fabien H a écrit :

la session iBGP tombe rapidement (j'ai mis un SLA icmp qui
ping le loopback d'en face),


BFD ne serait pas plus adapté pour faire ça ?

Cdt,

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

OK, je vais étudier tout ça en reprenant tous les points dans l'ordre.

Ce qui est assez étonnant, c'est que c'est déjà arrivé que le L2L tombe en
journée, et donc la session iBGP tombe rapidement (j'ai mis un SLA icmp qui
ping le loopback d'en face),

Le BGP a bien joué son rôle et chaque routeur fonctionnait de manière
autonome avec son transitaire : Impact minime. C'est pour ça que je
sous-estimait le risque d'un split-brain : pour moi, c'était 40 secondes à
2 minutes de coupure uniquement.

Et là les routes statiques dans ce cas ont bien joué leur rôle (elles ne
disparaissent pas lors de la perte de l'iBGP).

Mais je comprend maintenant que la logique est mauvaise..







Le 2 novembre 2015 20:43, Jérôme Nicolle  a écrit :

> Plop,
>
> Le 02/11/2015 10:46, Christophe Lucas a écrit :
> > Tu peux pas jouer avec du conditional advertisement en désagrégeant le
> cas échéant en fonctions des
> > subnets locaux ?
>
> Alors, c'est pas parce que la plupart des implémentations de BGP sont
> Turing-Complete (http://vanbever.eu/pdfs/vanbever_turing_icnp_2013.pdf)
> qu'en explorer les aspects programmatiques aboutira à un bon design.
>
> Clairement dans ce cas précis, le tuneling GRE via les transits, avec un
> métrique faible sur l'IGP sans toucher à l'iBGP, devrait suffire à
> résoudre la plupart des problématiques opérationnelles, faite de
> redondance sur le L2L.
>
> Après si on veut enculer des mouches, la redistributions conditionnelle
> peut aider à optimiser certains flux, mais c'est à mon avis marginal
> dans la très grande majorité des cas.
>
> Donc option 1 : redonder le L2L pour éviter le split-brain, option 2
> tunneling GRE (ou autre) signalisé par l'IGP. Les deux ne sont pas
> mutuellement exclusifs.
>
> @+
>
> --
> Jérôme Nicolle
> 06 19 31 27 14
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Jérôme Nicolle]

Plop,

Le 02/11/2015 10:46, Christophe Lucas a écrit :
> Tu peux pas jouer avec du conditional advertisement en désagrégeant le cas 
> échéant en fonctions des
> subnets locaux ?

Alors, c'est pas parce que la plupart des implémentations de BGP sont
Turing-Complete (http://vanbever.eu/pdfs/vanbever_turing_icnp_2013.pdf)
qu'en explorer les aspects programmatiques aboutira à un bon design.

Clairement dans ce cas précis, le tuneling GRE via les transits, avec un
métrique faible sur l'IGP sans toucher à l'iBGP, devrait suffire à
résoudre la plupart des problématiques opérationnelles, faite de
redondance sur le L2L.

Après si on veut enculer des mouches, la redistributions conditionnelle
peut aider à optimiser certains flux, mais c'est à mon avis marginal
dans la très grande majorité des cas.

Donc option 1 : redonder le L2L pour éviter le split-brain, option 2
tunneling GRE (ou autre) signalisé par l'IGP. Les deux ne sont pas
mutuellement exclusifs.

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Michel Py]

>> Fabien H a écrit :
>> Ca me parait lourd à gérer et pas très clean. Comment faire les choses dans 
>> les règles de l'art ?

> David Ponzone a écrit :
> redistribute static
> Attention à filtrer vers tes transitaires pour ne pas leur renvoyer tes /32 :)

> Raphael Mazelier a écrit :
> D'une maniéré générale il est considéré comme bonne pratique, que les routes 
> présentes dans les
> protocoles de routage dynamique le soit par redistribution (soit de statique, 
> soit de connected).

Je plussoie David et Raphael pour la redistribution. J'irais plus loin : les 
routes statiques il faut les éliminer complètement, les garder çà reviendra te 
mordre un jour ou l'autre.

Tes /32, ils faut qu'ils soient annoncés par un IGP (probablement OSPF, tes 
autres choix étant EIGRP (propriétaire Cisco) et ISIS (très peu répandu, et pas 
pour ta taille). Redistribute connected dans ton IGP, et redistribute ton IGP 
dans BGP avec les route-map qui vont bien.

C'est technique comme configuration, mais ç'est plus robuste.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Raphael Mazelier]

D'une maniéré générale il est considéré comme bonne pratique, que les 
routes présentes dans les protocoles de routage dynamique le soit par 
redistribution (soit de statique, soit de connected).



Le 02/11/15 16:23, David Ponzone a écrit :

redistribute static

Attention à filtrer vers tes transitaires pour ne pas leur renvoyer tes /32 :)



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[David Ponzone]

redistribute static

Attention à filtrer vers tes transitaires pour ne pas leur renvoyer tes /32 :)


> Le 2 nov. 2015 à 16:11, Fabien H  a écrit :
> 
> Une question qui reste en suspend :
> 
> Nous avons donc 2 routeurs BGP avec un prefixe "localisé" sur chaque
> routeur + session iBGP entre les 2 : sur chaque routeur, pas mal de routes
> en /32 vers nos différents équipements.
> 
> Je voudrais que toutes les routes en /32 du routeur 1 soient annoncées en
> iBGP sur le routeur 2, et inversement.
> 
> Actuellement cela ne se fait pas. Les routes-map in et out sont OK.  J'ai
> des directives network pour mes prefixes mais pas pour mes routes en /32.
> Je suppose qu'il faut une directive network pour chaque route en /32 ?
> 
> router bgp 1234
> address-family ipv4
>  network 1.2.3.4 mask 255.255.255.255
>  network 3.4.5.6 mask 255.255.255.255
>  
> 
> Ca me parait lourd à gérer et pas très clean. Comment faire les choses dans
> les règles de l'art ?
> 
> Merci pour vos lumières !
> 
> 
> 
> Le 2 novembre 2015 11:11, Fabien H  a écrit :
> 
>> Bonjour Raphael,
>> 
>> Tout à fait, ça parait logique ! D'ailleurs pour les basiques et la mise
>> en place y'a pas mal de ressources bien faites sur le net notamment les
>> présentations Workshop d'Arnaud Fernioux. Ca permet de voir si globalement
>> on est dans les clous ou pas !
>> 
>> Bonne journée !
>> 
>> Le 2 novembre 2015 10:36, Raphael Mazelier  a écrit :
>> 
>>> Back to basic.
>>> 
>>> Ton AS ne devrait jamais être disjoint.
>>> Dépendant de ta localisation de tes deux datacenters, le mieux c'est
>>> quand même de prendre une dark. Si tu ne peux pas tu utilise deux l2l, voir
>>> un l2l avec backup sur Gre.
>>> 
>>> 2eme point : on redit, tu fait tourner un IGP entre des deux routeurs
>>> (Ospf, Isis) juste pour les loopbacks de tes routeurs (et les intercos si
>>> tu veux). Et tu montes tes sessions Ibgp entre ces loopbacks de sortes que
>>> te sessions IBGP ne doivent jamais tombés (sauf si faillure du routeur,
>>> mais faillure de path). Et dans ton IBGP tu mets ce que tu veux, tes mores
>>> specifics (dans ton cas tes /32).
>>> 
>>> 
>>> 
>>> Le 02/11/15 10:23, Fabien H a écrit :
>>> 
 Mais d'ailleurs, 2 lan2lan de 2 fournisseurs différents en place sur le
 même SW de part et d'autre ne risquent pas de mal fonctionner ? C'est
 transparent ?
 
 Le 2 novembre 2015 09:50, Clement Cavadore  a
 écrit :
 
 On Mon, 2015-11-02 at 09:41 +0100, Oceanet - Cédric BASSAGET wrote:
> 
>> Ça c'est la solution quand y'a des sous ;)
>> 
> 
> Faut se donner les moyens de ses ambitions...  Surtout vu les prix
> moyens des lan2lan datacenter-datacenter, de nos jours :-)
> 
> --
> Clément Cavadore
> 
> 
> 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Une question qui reste en suspend :

Nous avons donc 2 routeurs BGP avec un prefixe "localisé" sur chaque
routeur + session iBGP entre les 2 : sur chaque routeur, pas mal de routes
en /32 vers nos différents équipements.

Je voudrais que toutes les routes en /32 du routeur 1 soient annoncées en
iBGP sur le routeur 2, et inversement.

Actuellement cela ne se fait pas. Les routes-map in et out sont OK.  J'ai
des directives network pour mes prefixes mais pas pour mes routes en /32.
Je suppose qu'il faut une directive network pour chaque route en /32 ?

router bgp 1234
 address-family ipv4
  network 1.2.3.4 mask 255.255.255.255
  network 3.4.5.6 mask 255.255.255.255
  

Ca me parait lourd à gérer et pas très clean. Comment faire les choses dans
les règles de l'art ?

Merci pour vos lumières !



Le 2 novembre 2015 11:11, Fabien H  a écrit :

> Bonjour Raphael,
>
> Tout à fait, ça parait logique ! D'ailleurs pour les basiques et la mise
> en place y'a pas mal de ressources bien faites sur le net notamment les
> présentations Workshop d'Arnaud Fernioux. Ca permet de voir si globalement
> on est dans les clous ou pas !
>
> Bonne journée !
>
> Le 2 novembre 2015 10:36, Raphael Mazelier  a écrit :
>
>> Back to basic.
>>
>> Ton AS ne devrait jamais être disjoint.
>> Dépendant de ta localisation de tes deux datacenters, le mieux c'est
>> quand même de prendre une dark. Si tu ne peux pas tu utilise deux l2l, voir
>> un l2l avec backup sur Gre.
>>
>> 2eme point : on redit, tu fait tourner un IGP entre des deux routeurs
>> (Ospf, Isis) juste pour les loopbacks de tes routeurs (et les intercos si
>> tu veux). Et tu montes tes sessions Ibgp entre ces loopbacks de sortes que
>> te sessions IBGP ne doivent jamais tombés (sauf si faillure du routeur,
>> mais faillure de path). Et dans ton IBGP tu mets ce que tu veux, tes mores
>> specifics (dans ton cas tes /32).
>>
>>
>>
>> Le 02/11/15 10:23, Fabien H a écrit :
>>
>>> Mais d'ailleurs, 2 lan2lan de 2 fournisseurs différents en place sur le
>>> même SW de part et d'autre ne risquent pas de mal fonctionner ? C'est
>>> transparent ?
>>>
>>> Le 2 novembre 2015 09:50, Clement Cavadore  a
>>> écrit :
>>>
>>> On Mon, 2015-11-02 at 09:41 +0100, Oceanet - Cédric BASSAGET wrote:

> Ça c'est la solution quand y'a des sous ;)
>

 Faut se donner les moyens de ses ambitions...  Surtout vu les prix
 moyens des lan2lan datacenter-datacenter, de nos jours :-)

 --
 Clément Cavadore



>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour Raphael,

Tout à fait, ça parait logique ! D'ailleurs pour les basiques et la mise en
place y'a pas mal de ressources bien faites sur le net notamment les
présentations Workshop d'Arnaud Fernioux. Ca permet de voir si globalement
on est dans les clous ou pas !

Bonne journée !

Le 2 novembre 2015 10:36, Raphael Mazelier  a écrit :

> Back to basic.
>
> Ton AS ne devrait jamais être disjoint.
> Dépendant de ta localisation de tes deux datacenters, le mieux c'est quand
> même de prendre une dark. Si tu ne peux pas tu utilise deux l2l, voir un
> l2l avec backup sur Gre.
>
> 2eme point : on redit, tu fait tourner un IGP entre des deux routeurs
> (Ospf, Isis) juste pour les loopbacks de tes routeurs (et les intercos si
> tu veux). Et tu montes tes sessions Ibgp entre ces loopbacks de sortes que
> te sessions IBGP ne doivent jamais tombés (sauf si faillure du routeur,
> mais faillure de path). Et dans ton IBGP tu mets ce que tu veux, tes mores
> specifics (dans ton cas tes /32).
>
>
>
> Le 02/11/15 10:23, Fabien H a écrit :
>
>> Mais d'ailleurs, 2 lan2lan de 2 fournisseurs différents en place sur le
>> même SW de part et d'autre ne risquent pas de mal fonctionner ? C'est
>> transparent ?
>>
>> Le 2 novembre 2015 09:50, Clement Cavadore  a
>> écrit :
>>
>> On Mon, 2015-11-02 at 09:41 +0100, Oceanet - Cédric BASSAGET wrote:
>>>
 Ça c'est la solution quand y'a des sous ;)

>>>
>>> Faut se donner les moyens de ses ambitions...  Surtout vu les prix
>>> moyens des lan2lan datacenter-datacenter, de nos jours :-)
>>>
>>> --
>>> Clément Cavadore
>>>
>>>
>>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour Christophe,
oui intéressant aussi, à creuser. Merci !

Le 2 novembre 2015 10:46, Christophe Lucas  a écrit :

> Bonjour,
>
> Tu peux pas jouer avec du conditional advertisement en désagrégeant le cas
> échéant en fonctions des
> subnets locaux ?
> Genre : ton /23, tu l'annonces en temps normal et en cas de coupure tu
> annonces uniquement le /24
> local au PE1 et l'autre /24 local au PE2 et ceci si tu reçois en iBGP des
> subnet particulier.
>
>
> http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/16137-cond-adv.html
>
> Cdt
> Christophe
>
> 2 novembre 2015 10:31 "Fabien H"  a écrit:
>
> > Oui c'est relativement clair :-)
> > Je vais étudier ça merci
> >
> > Le 2 novembre 2015 10:17, David Ponzone  a
> écrit :
> >
> >> Oui effectivement, il faut forcer le routage de l’autre extrémité du
> >> tunnel GRE par le transit, alors que le routeur doit recevoir une route
> >> connected redistribuée par iBGP.
> >> C’est un peu sioux, mais une route statique en /32 vers le transit doit
> >> suffire, sans effets de bord à priori.
> >> Attention, route pas le /30 entier car tu dois recevoir des annonces
> iBGP
> >> qui viennent du transitaire de l’autre site qui ont l’autre IP dans ce
> /30
> >> comme next-hop.
> >> Ou alors tu fais du next-hop-self sur les sessions iBGP pour ne plus
> avoir
> >> de trace du next-hop du transitaire quand tu arrives sur l’autre
> routeur.
> >>
> >> Désolé si c’est pas très clair :)
> >>
> >> Le 2 nov. 2015 à 10:11, Fabien H  a écrit :
> >>
> >> Bonjour David,
> >>
> >> sur chaque site, des SW niveau 2, LNS et serveurs. Donc effectivement un
> >> LAN en /24 est dédié pour le routage entre le BGP et les LNS ou
> Firewalls
> >> ou autre. Par contre ce LAN est le même sur les 2 sites (même VLAN, même
> >> /24)
> >>
> >> Je suis donc dans le cas 2 : OK même solution que Cédric :
> >>
> >> Je crois que j'ai compris ce qui ne va pas dans notre archi : Nous
> >> filtrons les préfixes plus restreints que /24 en iBGP.
> >> Dans le cas 2, vous sous-entendez que même les routes /32 sont échangées
> >> en iBGP ? Et donc logiquement pas besoin de dupliquer les routes /32 sur
> >> chaque routeur... Tant qu'une des sessions iBGP est UP, ça fonctionne !
> >>
> >> Y'a juste une chose qui me chiffonne un peu , c'est quelles IP publiques
> >> utiliser pour le tunnel GRE car il faut que ces IP ne soient pas routées
> >> par l'iBGP (actuellement on annonce tous les préfixes des 2 côtés) mais
> ça
> >> je vais étudier..
> >>
> >> Merci beaucoup pour vous retours !
> >>
> >> Le 2 novembre 2015 09:34, David Ponzone  a
> écrit
> >> :
> >>
> >>> Il manque quelques infos je pense.
> >>> Sur chaque site, il y a quoi à part les routeurs BGP ?
> >>> Un LAN avec du hosting ou autre ? J’imagine que oui.
> >>> Le L2L, il relie pas les routeurs directement, mais des switch L2 qui
> >>> sont derrière les routeurs, je suppose ?
> >>> Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN
> >>> de chaque site ?
> >>>
> >>> Ta problématique est donc simple, si je résume:
> >>> Le L2L tombe, mais les 2 routeurs sont OK.
> >>> Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet
> pour
> >>> B, c’est mort.
> >>>
> >>> Cas 1: tu as bien des subnets séparés pour le LAN de chaque site.
> >>> Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour
> >>> détecter que le L2L est mort, et faire tomber l’annonce du BGP du
> préfixe
> >>> de l’autre site.
> >>>
> >>> Cas 2: les 2 sites partagent le même subnet pour le LAN
> >>> Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif
> et
> >>> iBGP dessus, avec un localpref défavorable par rapport à la session
> iBGP du
> >>> L2L.
> >>>
>  Le 2 nov. 2015 à 09:16, Fabien H  a écrit :
> 
>  Bonjour la liste,
> 
>  J'ai une question BGP à vous soumettre :
> 
>  En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
>  avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
>  Sur chaque routeur BGP, nous avons au moins un transitaire.
> 
>  Tout fonctionne parfaitement !
> 
>  Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
>  utilisant une route Null0) et un préfixe localisé sur le routeur 2
> (idem
>  route Null0).
>  Puis pour chaque IP /32 dans le prefixe, nous avons des routes
> statiques
>  sur le routeur BGP concerné.
> 
>  - Ma question : Nous aimerions mettre en place un failover BGP
> >>>
> >>> automatique
>  en cas de défaillance matérielle totale d'un des routeurs BGP.
> 
>  La solution que j'imaginais est de mettre en place, pour un même
> >>>
> >>> prefixe,
>  une route Null0 sur les 2 routeurs en même temps.
> 
>  Sur les tests que j'ai fait, ça marche si on duplique la route Null0
> sur
>  les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
>  => Si un routeur BGP tombe, l'autre va normalement prendre le relais
> >>>
> >>> 

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Christophe Lucas]

Bonjour,

Tu peux pas jouer avec du conditional advertisement en désagrégeant le cas 
échéant en fonctions des
subnets locaux ?
Genre : ton /23, tu l'annonces en temps normal et en cas de coupure tu annonces 
uniquement le /24
local au PE1 et l'autre /24 local au PE2 et ceci si tu reçois en iBGP des 
subnet particulier.

http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/16137-cond-adv.html

Cdt
Christophe

2 novembre 2015 10:31 "Fabien H"  a écrit:

> Oui c'est relativement clair :-)
> Je vais étudier ça merci
> 
> Le 2 novembre 2015 10:17, David Ponzone  a écrit :
> 
>> Oui effectivement, il faut forcer le routage de l’autre extrémité du
>> tunnel GRE par le transit, alors que le routeur doit recevoir une route
>> connected redistribuée par iBGP.
>> C’est un peu sioux, mais une route statique en /32 vers le transit doit
>> suffire, sans effets de bord à priori.
>> Attention, route pas le /30 entier car tu dois recevoir des annonces iBGP
>> qui viennent du transitaire de l’autre site qui ont l’autre IP dans ce /30
>> comme next-hop.
>> Ou alors tu fais du next-hop-self sur les sessions iBGP pour ne plus avoir
>> de trace du next-hop du transitaire quand tu arrives sur l’autre routeur.
>> 
>> Désolé si c’est pas très clair :)
>> 
>> Le 2 nov. 2015 à 10:11, Fabien H  a écrit :
>> 
>> Bonjour David,
>> 
>> sur chaque site, des SW niveau 2, LNS et serveurs. Donc effectivement un
>> LAN en /24 est dédié pour le routage entre le BGP et les LNS ou Firewalls
>> ou autre. Par contre ce LAN est le même sur les 2 sites (même VLAN, même
>> /24)
>> 
>> Je suis donc dans le cas 2 : OK même solution que Cédric :
>> 
>> Je crois que j'ai compris ce qui ne va pas dans notre archi : Nous
>> filtrons les préfixes plus restreints que /24 en iBGP.
>> Dans le cas 2, vous sous-entendez que même les routes /32 sont échangées
>> en iBGP ? Et donc logiquement pas besoin de dupliquer les routes /32 sur
>> chaque routeur... Tant qu'une des sessions iBGP est UP, ça fonctionne !
>> 
>> Y'a juste une chose qui me chiffonne un peu , c'est quelles IP publiques
>> utiliser pour le tunnel GRE car il faut que ces IP ne soient pas routées
>> par l'iBGP (actuellement on annonce tous les préfixes des 2 côtés) mais ça
>> je vais étudier..
>> 
>> Merci beaucoup pour vous retours !
>> 
>> Le 2 novembre 2015 09:34, David Ponzone  a écrit
>> :
>> 
>>> Il manque quelques infos je pense.
>>> Sur chaque site, il y a quoi à part les routeurs BGP ?
>>> Un LAN avec du hosting ou autre ? J’imagine que oui.
>>> Le L2L, il relie pas les routeurs directement, mais des switch L2 qui
>>> sont derrière les routeurs, je suppose ?
>>> Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN
>>> de chaque site ?
>>> 
>>> Ta problématique est donc simple, si je résume:
>>> Le L2L tombe, mais les 2 routeurs sont OK.
>>> Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet pour
>>> B, c’est mort.
>>> 
>>> Cas 1: tu as bien des subnets séparés pour le LAN de chaque site.
>>> Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour
>>> détecter que le L2L est mort, et faire tomber l’annonce du BGP du préfixe
>>> de l’autre site.
>>> 
>>> Cas 2: les 2 sites partagent le même subnet pour le LAN
>>> Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif et
>>> iBGP dessus, avec un localpref défavorable par rapport à la session iBGP du
>>> L2L.
>>> 
 Le 2 nov. 2015 à 09:16, Fabien H  a écrit :
 
 Bonjour la liste,
 
 J'ai une question BGP à vous soumettre :
 
 En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
 avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
 Sur chaque routeur BGP, nous avons au moins un transitaire.
 
 Tout fonctionne parfaitement !
 
 Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
 utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
 route Null0).
 Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
 sur le routeur BGP concerné.
 
 - Ma question : Nous aimerions mettre en place un failover BGP
>>> 
>>> automatique
 en cas de défaillance matérielle totale d'un des routeurs BGP.
 
 La solution que j'imaginais est de mettre en place, pour un même
>>> 
>>> prefixe,
 une route Null0 sur les 2 routeurs en même temps.
 
 Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
 les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
 => Si un routeur BGP tombe, l'autre va normalement prendre le relais
>>> 
>>> sans
 problème.
 
 Le seul cas qui pose problème, c'est si les 2 routeurs BGP
>>> 
>>> fonctionnement
 mais que le L2L tombe.
 
 Dans ce cas, un paquet va continuer à arriver par le transit sur le
>>> 
>>> routeur
 BGP concerné, puis la route statique correspondant à l'IP sera
>>> 
>>> appliquée,
 mais l'IP de GW étan

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Raphael Mazelier]

Back to basic.

Ton AS ne devrait jamais être disjoint.
Dépendant de ta localisation de tes deux datacenters, le mieux c'est 
quand même de prendre une dark. Si tu ne peux pas tu utilise deux l2l, 
voir un l2l avec backup sur Gre.


2eme point : on redit, tu fait tourner un IGP entre des deux routeurs 
(Ospf, Isis) juste pour les loopbacks de tes routeurs (et les intercos 
si tu veux). Et tu montes tes sessions Ibgp entre ces loopbacks de 
sortes que te sessions IBGP ne doivent jamais tombés (sauf si faillure 
du routeur, mais faillure de path). Et dans ton IBGP tu mets ce que tu 
veux, tes mores specifics (dans ton cas tes /32).




Le 02/11/15 10:23, Fabien H a écrit :

Mais d'ailleurs, 2 lan2lan de 2 fournisseurs différents en place sur le
même SW de part et d'autre ne risquent pas de mal fonctionner ? C'est
transparent ?

Le 2 novembre 2015 09:50, Clement Cavadore  a écrit :


On Mon, 2015-11-02 at 09:41 +0100, Oceanet - Cédric BASSAGET wrote:

Ça c'est la solution quand y'a des sous ;)


Faut se donner les moyens de ses ambitions...  Surtout vu les prix
moyens des lan2lan datacenter-datacenter, de nos jours :-)

--
Clément Cavadore




---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Oui c'est relativement clair :-)
Je vais étudier ça merci

Le 2 novembre 2015 10:17, David Ponzone  a écrit :

> Oui effectivement, il faut forcer le routage de l’autre extrémité du
> tunnel GRE par le transit, alors que le routeur doit recevoir une route
> connected redistribuée par iBGP.
> C’est un peu sioux, mais une route statique en /32 vers le transit doit
> suffire, sans effets de bord à priori.
> Attention, route pas le /30 entier car tu dois recevoir des annonces iBGP
> qui viennent du transitaire de l’autre site qui ont l’autre IP dans ce /30
> comme next-hop.
> Ou alors tu fais du next-hop-self sur les sessions iBGP pour ne plus avoir
> de trace du next-hop du transitaire quand tu arrives sur l’autre routeur.
>
> Désolé si c’est pas très clair :)
>
> Le 2 nov. 2015 à 10:11, Fabien H  a écrit :
>
> Bonjour David,
>
> sur chaque site, des SW niveau 2, LNS et serveurs. Donc effectivement un
> LAN en /24 est dédié pour le routage entre le BGP et les LNS ou Firewalls
> ou autre. Par contre ce LAN est le même sur les 2 sites (même VLAN, même
> /24)
>
> Je suis donc dans le cas 2 : OK même solution que Cédric :
>
> Je crois que j'ai compris ce qui ne va pas dans notre archi : Nous
> filtrons les préfixes plus restreints que /24 en iBGP.
> Dans le cas 2, vous sous-entendez que même les routes /32 sont échangées
> en iBGP ? Et donc logiquement pas besoin de  dupliquer les routes /32 sur
> chaque routeur... Tant qu'une des sessions iBGP est UP, ça fonctionne !
>
>
> Y'a juste une chose qui me chiffonne un peu , c'est quelles IP publiques
> utiliser pour le tunnel GRE car il faut que ces IP ne soient pas routées
> par l'iBGP (actuellement on annonce tous les préfixes des 2 côtés) mais ça
> je vais étudier..
>
> Merci beaucoup pour vous retours !
>
>
> Le 2 novembre 2015 09:34, David Ponzone  a écrit
> :
>
>> Il manque quelques infos je pense.
>> Sur chaque site, il y a quoi à part les routeurs BGP ?
>> Un LAN avec du hosting ou autre ? J’imagine que oui.
>> Le L2L, il relie pas les routeurs directement, mais des switch L2 qui
>> sont derrière les routeurs, je suppose ?
>> Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN
>> de chaque site ?
>>
>> Ta problématique est donc simple, si je résume:
>> Le L2L tombe, mais les 2 routeurs sont OK.
>> Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet pour
>> B, c’est mort.
>>
>> Cas 1: tu as bien des subnets séparés pour le LAN de chaque site.
>> Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour
>> détecter que le L2L est mort, et faire tomber l’annonce du BGP du préfixe
>> de l’autre site.
>>
>> Cas 2: les 2 sites partagent le même subnet pour le LAN
>> Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif et
>> iBGP dessus, avec un localpref défavorable par rapport à la session iBGP du
>> L2L.
>>
>>
>> > Le 2 nov. 2015 à 09:16, Fabien H  a écrit :
>> >
>> > Bonjour la liste,
>> >
>> > J'ai une question BGP à vous soumettre :
>> >
>> > En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
>> > avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
>> > Sur chaque routeur BGP, nous avons au moins un transitaire.
>> >
>> > Tout fonctionne parfaitement !
>> >
>> > Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
>> > utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
>> > route Null0).
>> > Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
>> > sur le routeur BGP concerné.
>> >
>> > - Ma question : Nous aimerions mettre en place un failover BGP
>> automatique
>> > en cas de défaillance matérielle totale d'un des routeurs BGP.
>> >
>> > La solution que j'imaginais est de mettre en place, pour un même
>> prefixe,
>> > une route Null0 sur les 2 routeurs en même temps.
>> >
>> > Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
>> > les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
>> > => Si un routeur BGP tombe, l'autre va normalement prendre le relais
>> sans
>> > problème.
>> >
>> > Le seul cas qui pose problème, c'est si les 2 routeurs BGP
>> fonctionnement
>> > mais que le L2L tombe.
>> >
>> > Dans ce cas, un paquet va continuer à arriver par le transit sur le
>> routeur
>> > BGP concerné, puis la route statique correspondant à l'IP sera
>> appliquée,
>> > mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
>> donné,
>> > le routage ne fonctionnera pas car le L2L est tombé.
>> >
>> > Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
>> solution à
>> > ce problème ?
>> >
>> > Merci,
>> > Bonne journée,
>> > Fabien
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Mais d'ailleurs, 2 lan2lan de 2 fournisseurs différents en place sur le
même SW de part et d'autre ne risquent pas de mal fonctionner ? C'est
transparent ?

Le 2 novembre 2015 09:50, Clement Cavadore  a écrit :

> On Mon, 2015-11-02 at 09:41 +0100, Oceanet - Cédric BASSAGET wrote:
> > Ça c'est la solution quand y'a des sous ;)
>
> Faut se donner les moyens de ses ambitions...  Surtout vu les prix
> moyens des lan2lan datacenter-datacenter, de nos jours :-)
>
> --
> Clément Cavadore
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[David Ponzone]

Oui effectivement, il faut forcer le routage de l’autre extrémité du tunnel GRE 
par le transit, alors que le routeur doit recevoir une route connected 
redistribuée par iBGP.
C’est un peu sioux, mais une route statique en /32 vers le transit doit 
suffire, sans effets de bord à priori.
Attention, route pas le /30 entier car tu dois recevoir des annonces iBGP qui 
viennent du transitaire de l’autre site qui ont l’autre IP dans ce /30 comme 
next-hop.
Ou alors tu fais du next-hop-self sur les sessions iBGP pour ne plus avoir de 
trace du next-hop du transitaire quand tu arrives sur l’autre routeur.

Désolé si c’est pas très clair :)

> Le 2 nov. 2015 à 10:11, Fabien H  a écrit :
> 
> Bonjour David,
> 
> sur chaque site, des SW niveau 2, LNS et serveurs. Donc effectivement un LAN 
> en /24 est dédié pour le routage entre le BGP et les LNS ou Firewalls ou 
> autre. Par contre ce LAN est le même sur les 2 sites (même VLAN, même /24)
> 
> Je suis donc dans le cas 2 : OK même solution que Cédric : 
> 
> Je crois que j'ai compris ce qui ne va pas dans notre archi : Nous filtrons 
> les préfixes plus restreints que /24 en iBGP. 
> Dans le cas 2, vous sous-entendez que même les routes /32 sont échangées en 
> iBGP ? Et donc logiquement pas besoin de  dupliquer les routes /32 sur chaque 
> routeur... Tant qu'une des sessions iBGP est UP, ça fonctionne ! 
> 
> 
> Y'a juste une chose qui me chiffonne un peu , c'est quelles IP publiques 
> utiliser pour le tunnel GRE car il faut que ces IP ne soient pas routées par 
> l'iBGP (actuellement on annonce tous les préfixes des 2 côtés) mais ça je 
> vais étudier..
> 
> Merci beaucoup pour vous retours !
> 
> 
> Le 2 novembre 2015 09:34, David Ponzone  > a écrit :
> Il manque quelques infos je pense.
> Sur chaque site, il y a quoi à part les routeurs BGP ?
> Un LAN avec du hosting ou autre ? J’imagine que oui.
> Le L2L, il relie pas les routeurs directement, mais des switch L2 qui sont 
> derrière les routeurs, je suppose ?
> Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN de 
> chaque site ?
> 
> Ta problématique est donc simple, si je résume:
> Le L2L tombe, mais les 2 routeurs sont OK.
> Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet pour B, 
> c’est mort.
> 
> Cas 1: tu as bien des subnets séparés pour le LAN de chaque site.
> Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour détecter 
> que le L2L est mort, et faire tomber l’annonce du BGP du préfixe de l’autre 
> site.
> 
> Cas 2: les 2 sites partagent le même subnet pour le LAN
> Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif et 
> iBGP dessus, avec un localpref défavorable par rapport à la session iBGP du 
> L2L.
> 
> 
> > Le 2 nov. 2015 à 09:16, Fabien H  > > a écrit :
> >
> > Bonjour la liste,
> >
> > J'ai une question BGP à vous soumettre :
> >
> > En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
> > avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
> > Sur chaque routeur BGP, nous avons au moins un transitaire.
> >
> > Tout fonctionne parfaitement !
> >
> > Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
> > utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
> > route Null0).
> > Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
> > sur le routeur BGP concerné.
> >
> > - Ma question : Nous aimerions mettre en place un failover BGP automatique
> > en cas de défaillance matérielle totale d'un des routeurs BGP.
> >
> > La solution que j'imaginais est de mettre en place, pour un même prefixe,
> > une route Null0 sur les 2 routeurs en même temps.
> >
> > Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
> > les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
> > => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
> > problème.
> >
> > Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
> > mais que le L2L tombe.
> >
> > Dans ce cas, un paquet va continuer à arriver par le transit sur le routeur
> > BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
> > mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
> > le routage ne fonctionnera pas car le L2L est tombé.
> >
> > Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution à
> > ce problème ?
> >
> > Merci,
> > Bonne journée,
> > Fabien
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour David,

sur chaque site, des SW niveau 2, LNS et serveurs. Donc effectivement un
LAN en /24 est dédié pour le routage entre le BGP et les LNS ou Firewalls
ou autre. Par contre ce LAN est le même sur les 2 sites (même VLAN, même
/24)

Je suis donc dans le cas 2 : OK même solution que Cédric :

Je crois que j'ai compris ce qui ne va pas dans notre archi : Nous filtrons
les préfixes plus restreints que /24 en iBGP.
Dans le cas 2, vous sous-entendez que même les routes /32 sont échangées en
iBGP ? Et donc logiquement pas besoin de  dupliquer les routes /32 sur
chaque routeur... Tant qu'une des sessions iBGP est UP, ça fonctionne !


Y'a juste une chose qui me chiffonne un peu , c'est quelles IP publiques
utiliser pour le tunnel GRE car il faut que ces IP ne soient pas routées
par l'iBGP (actuellement on annonce tous les préfixes des 2 côtés) mais ça
je vais étudier..

Merci beaucoup pour vous retours !


Le 2 novembre 2015 09:34, David Ponzone  a écrit :

> Il manque quelques infos je pense.
> Sur chaque site, il y a quoi à part les routeurs BGP ?
> Un LAN avec du hosting ou autre ? J’imagine que oui.
> Le L2L, il relie pas les routeurs directement, mais des switch L2 qui sont
> derrière les routeurs, je suppose ?
> Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN de
> chaque site ?
>
> Ta problématique est donc simple, si je résume:
> Le L2L tombe, mais les 2 routeurs sont OK.
> Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet pour
> B, c’est mort.
>
> Cas 1: tu as bien des subnets séparés pour le LAN de chaque site.
> Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour
> détecter que le L2L est mort, et faire tomber l’annonce du BGP du préfixe
> de l’autre site.
>
> Cas 2: les 2 sites partagent le même subnet pour le LAN
> Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif et
> iBGP dessus, avec un localpref défavorable par rapport à la session iBGP du
> L2L.
>
>
> > Le 2 nov. 2015 à 09:16, Fabien H  a écrit :
> >
> > Bonjour la liste,
> >
> > J'ai une question BGP à vous soumettre :
> >
> > En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
> > avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
> > Sur chaque routeur BGP, nous avons au moins un transitaire.
> >
> > Tout fonctionne parfaitement !
> >
> > Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
> > utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
> > route Null0).
> > Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
> > sur le routeur BGP concerné.
> >
> > - Ma question : Nous aimerions mettre en place un failover BGP
> automatique
> > en cas de défaillance matérielle totale d'un des routeurs BGP.
> >
> > La solution que j'imaginais est de mettre en place, pour un même prefixe,
> > une route Null0 sur les 2 routeurs en même temps.
> >
> > Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
> > les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
> > => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
> > problème.
> >
> > Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
> > mais que le L2L tombe.
> >
> > Dans ce cas, un paquet va continuer à arriver par le transit sur le
> routeur
> > BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
> > mais l'IP de GW étant normalement accessible via le L2L sur un VLAN
> donné,
> > le routage ne fonctionnera pas car le L2L est tombé.
> >
> > Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
> solution à
> > ce problème ?
> >
> > Merci,
> > Bonne journée,
> > Fabien
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Clement Cavadore]

On Mon, 2015-11-02 at 09:41 +0100, Oceanet - Cédric BASSAGET wrote:
> Ça c'est la solution quand y'a des sous ;)

Faut se donner les moyens de ses ambitions...  Surtout vu les prix
moyens des lan2lan datacenter-datacenter, de nos jours :-)

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Oceanet - Cédric BASSAGET]

Peut être coupler ton ibgp avec un autre IGP, style OSPF ? Mais ça 
risque d'être assez lourd à faire sur de la prod...

Cédric

OCEANET
---
[AGENCE DU MANS]
7, rue des Frênes
ZAC de la Pointe
72190 SARGE LES LE MANS
[t] +33 (0)2.43.50.26.50
[f] +33 (0)2.43.72.21.14

[AGENCE D'ANGERS]
5, rue Fleming
Angers Technopole
49066 ANGERS
[t] +33 (0)2.41.19.28.65
[f] +33 (0)2.52.19.22.00

On 02/11/2015 09:33, Fabien H wrote:

Bonjour Cedric,
merci pour la réponse, intéressant !

Malgré tout, comme j'ai des routes statiques et spécifiques vers des 
IP en /32 dupliquées sur chaque routeur BGP, elles seront toujours 
prioritaires sur les routes apprises en iBGP .. Ca doit être le fond 
du problème je pense ..


Le 2 novembre 2015 09:28, Oceanet - Cédric BASSAGET 
mailto:ced...@oceanet.com>> a écrit :


Bonjour Fabien,

Un tunnel GRE entre tes deux routeurs via du transit, et une
session iBGP sur ce GRE ?
Cédric

OCEANET
---
[AGENCE DU MANS]
7, rue des Frênes
ZAC de la Pointe
72190 SARGE LES LE MANS
[t] +33 (0)2.43.50.26.50 
[f] +33 (0)2.43.72.21.14 

[AGENCE D'ANGERS]
5, rue Fleming
Angers Technopole
49066 ANGERS
[t] +33 (0)2.41.19.28.65 
[f] +33 (0)2.52.19.22.00 


On 02/11/2015 09:16, Fabien H wrote:

Bonjour la liste,

J'ai une question BGP à vous soumettre :

En 2 mots : Nous sommes opérateur internet avec 2
localisations : Nous
avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
Sur chaque routeur BGP, nous avons au moins un transitaire.

Tout fonctionne parfaitement !

Actuellement, nous avons un prefixe "localisé" sur le routeur
1 (en
utilisant une route Null0) et un préfixe localisé sur le
routeur 2 (idem
route Null0).
Puis pour chaque IP /32 dans le prefixe, nous avons des routes
statiques
sur le routeur BGP concerné.

- Ma question : Nous aimerions mettre en place un failover BGP
automatique
en cas de défaillance matérielle totale d'un des routeurs BGP.

La solution que j'imaginais est de mettre en place, pour un
même prefixe,
une route Null0 sur les 2 routeurs en même temps.

Sur les tests que j'ai fait, ça marche si on duplique la route
Null0 sur
les 2 routeurs et si on duplique aussi les routes statiques
des IP/32.
=> Si un routeur BGP tombe, l'autre va normalement prendre le
relais sans
problème.

Le seul cas qui pose problème, c'est si les 2 routeurs BGP
fonctionnement
mais que le L2L tombe.

Dans ce cas, un paquet va continuer à arriver par le transit
sur le routeur
BGP concerné, puis la route statique correspondant à l'IP sera
appliquée,
mais l'IP de GW étant normalement accessible via le L2L sur un
VLAN donné,
le routage ne fonctionnera pas car le L2L est tombé.

Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous
une solution à
ce problème ?

Merci,
Bonne journée,
Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Oceanet - Cédric BASSAGET]

Ça c'est la solution quand y'a des sous ;)

Cédric

OCEANET
---
[AGENCE DU MANS]
7, rue des Frênes
ZAC de la Pointe
72190 SARGE LES LE MANS
[t] +33 (0)2.43.50.26.50
[f] +33 (0)2.43.72.21.14

[AGENCE D'ANGERS]
5, rue Fleming
Angers Technopole
49066 ANGERS
[t] +33 (0)2.41.19.28.65
[f] +33 (0)2.52.19.22.00

On 02/11/2015 09:29, Clement Cavadore wrote:

On Mon, 2015-11-02 at 09:16 +0100, Fabien H wrote:

Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
solution à ce problème ?

La bonne démarche, c'est de sécuriser le L2L avec un autre, afin de ne
jamais te retrouver en split brain sur ton ASN :-)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour Clement,

effectivement ... J'avais l'impression pourtant que je n'étais pas loin du
but. Il y'a juste ce problème de L2L. BGP est très flexible, je pensais
qu'il y'avait une solution pour chaque défaillance ..

Le 2 novembre 2015 09:29, Clement Cavadore  a écrit :

> On Mon, 2015-11-02 at 09:16 +0100, Fabien H wrote:
> > Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
> > solution à ce problème ?
>
> La bonne démarche, c'est de sécuriser le L2L avec un autre, afin de ne
> jamais te retrouver en split brain sur ton ASN :-)
>
> --
> Clément Cavadore
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[David Ponzone]

Il manque quelques infos je pense.
Sur chaque site, il y a quoi à part les routeurs BGP ?
Un LAN avec du hosting ou autre ? J’imagine que oui.
Le L2L, il relie pas les routeurs directement, mais des switch L2 qui sont 
derrière les routeurs, je suppose ?
Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN de 
chaque site ?

Ta problématique est donc simple, si je résume:
Le L2L tombe, mais les 2 routeurs sont OK.
Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet pour B, 
c’est mort.

Cas 1: tu as bien des subnets séparés pour le LAN de chaque site.
Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour détecter que 
le L2L est mort, et faire tomber l’annonce du BGP du préfixe de l’autre site.

Cas 2: les 2 sites partagent le même subnet pour le LAN
Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif et iBGP 
dessus, avec un localpref défavorable par rapport à la session iBGP du L2L.


> Le 2 nov. 2015 à 09:16, Fabien H  a écrit :
> 
> Bonjour la liste,
> 
> J'ai une question BGP à vous soumettre :
> 
> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
> Sur chaque routeur BGP, nous avons au moins un transitaire.
> 
> Tout fonctionne parfaitement !
> 
> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
> utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
> route Null0).
> Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
> sur le routeur BGP concerné.
> 
> - Ma question : Nous aimerions mettre en place un failover BGP automatique
> en cas de défaillance matérielle totale d'un des routeurs BGP.
> 
> La solution que j'imaginais est de mettre en place, pour un même prefixe,
> une route Null0 sur les 2 routeurs en même temps.
> 
> Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
> => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
> problème.
> 
> Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
> mais que le L2L tombe.
> 
> Dans ce cas, un paquet va continuer à arriver par le transit sur le routeur
> BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
> le routage ne fonctionnera pas car le L2L est tombé.
> 
> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution à
> ce problème ?
> 
> Merci,
> Bonne journée,
> Fabien
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour Cedric,
merci pour la réponse, intéressant !

Malgré tout, comme j'ai des routes statiques et spécifiques vers des IP en
/32 dupliquées sur chaque routeur BGP, elles seront toujours prioritaires
sur les routes apprises en iBGP .. Ca doit être le fond du problème je
pense ..

Le 2 novembre 2015 09:28, Oceanet - Cédric BASSAGET  a
écrit :

> Bonjour Fabien,
>
> Un tunnel GRE entre tes deux routeurs via du transit, et une session iBGP
> sur ce GRE ?
> Cédric
>
> OCEANET
> ---
> [AGENCE DU MANS]
> 7, rue des Frênes
> ZAC de la Pointe
> 72190 SARGE LES LE MANS
> [t] +33 (0)2.43.50.26.50
> [f] +33 (0)2.43.72.21.14
>
> [AGENCE D'ANGERS]
> 5, rue Fleming
> Angers Technopole
> 49066 ANGERS
> [t] +33 (0)2.41.19.28.65
> [f] +33 (0)2.52.19.22.00
>
>
> On 02/11/2015 09:16, Fabien H wrote:
>
>> Bonjour la liste,
>>
>> J'ai une question BGP à vous soumettre :
>>
>> En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
>> avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
>> Sur chaque routeur BGP, nous avons au moins un transitaire.
>>
>> Tout fonctionne parfaitement !
>>
>> Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
>> utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
>> route Null0).
>> Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
>> sur le routeur BGP concerné.
>>
>> - Ma question : Nous aimerions mettre en place un failover BGP automatique
>> en cas de défaillance matérielle totale d'un des routeurs BGP.
>>
>> La solution que j'imaginais est de mettre en place, pour un même prefixe,
>> une route Null0 sur les 2 routeurs en même temps.
>>
>> Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
>> les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
>> => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
>> problème.
>>
>> Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
>> mais que le L2L tombe.
>>
>> Dans ce cas, un paquet va continuer à arriver par le transit sur le
>> routeur
>> BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
>> mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
>> le routage ne fonctionnera pas car le L2L est tombé.
>>
>> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution
>> à
>> ce problème ?
>>
>> Merci,
>> Bonne journée,
>> Fabien
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Clement Cavadore]

On Mon, 2015-11-02 at 09:16 +0100, Fabien H wrote:
> Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une
> solution à ce problème ?

La bonne démarche, c'est de sécuriser le L2L avec un autre, afin de ne
jamais te retrouver en split brain sur ton ASN :-)

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Oceanet - Cédric BASSAGET]

Bonjour Fabien,

Un tunnel GRE entre tes deux routeurs via du transit, et une session 
iBGP sur ce GRE ?

Cédric

OCEANET
---
[AGENCE DU MANS]
7, rue des Frênes
ZAC de la Pointe
72190 SARGE LES LE MANS
[t] +33 (0)2.43.50.26.50
[f] +33 (0)2.43.72.21.14

[AGENCE D'ANGERS]
5, rue Fleming
Angers Technopole
49066 ANGERS
[t] +33 (0)2.41.19.28.65
[f] +33 (0)2.52.19.22.00

On 02/11/2015 09:16, Fabien H wrote:

Bonjour la liste,

J'ai une question BGP à vous soumettre :

En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
Sur chaque routeur BGP, nous avons au moins un transitaire.

Tout fonctionne parfaitement !

Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
route Null0).
Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
sur le routeur BGP concerné.

- Ma question : Nous aimerions mettre en place un failover BGP automatique
en cas de défaillance matérielle totale d'un des routeurs BGP.

La solution que j'imaginais est de mettre en place, pour un même prefixe,
une route Null0 sur les 2 routeurs en même temps.

Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
=> Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
problème.

Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
mais que le L2L tombe.

Dans ce cas, un paquet va continuer à arriver par le transit sur le routeur
BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
le routage ne fonctionnera pas car le L2L est tombé.

Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution à
ce problème ?

Merci,
Bonne journée,
Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Failover en cas de défaillance routeur BGP

[Fabien H]

Bonjour la liste,

J'ai une question BGP à vous soumettre :

En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous
avons 2 routeurs BGP de bordure reliés en IBGP via un L2L.
Sur chaque routeur BGP, nous avons au moins un transitaire.

Tout fonctionne parfaitement !

Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en
utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem
route Null0).
Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques
sur le routeur BGP concerné.

- Ma question : Nous aimerions mettre en place un failover BGP automatique
en cas de défaillance matérielle totale d'un des routeurs BGP.

La solution que j'imaginais est de mettre en place, pour un même prefixe,
une route Null0 sur les 2 routeurs en même temps.

Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur
les 2 routeurs et si on duplique aussi les routes statiques des IP/32.
=> Si un routeur BGP tombe, l'autre va normalement prendre le relais sans
problème.

Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement
mais que le L2L tombe.

Dans ce cas, un paquet va continuer à arriver par le transit sur le routeur
BGP concerné, puis la route statique correspondant à l'IP sera appliquée,
mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné,
le routage ne fonctionnera pas car le L2L est tombé.

Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution à
ce problème ?

Merci,
Bonne journée,
Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/