Re : [FRnOG] [TECH] VRRP et Quagga
Bonjour Michel, J'ai l'impression que tu te fais une fausse idée de VRRP. Ce n'est pas parce que le routeur est en mode passif qu'il est mort. Ce que fait le routeur actif, c'est qu'il assume le rôle du routeur virtuel en plus du sien. Le routeur passif n'assume que son propre rôle mais continue à l'assumer pleinement. Oui j’étais dans l’idée que seul celui qui à l’interface virtuelle VRRP pouvais traiter uniquement les demandes !! Or si je comprends bien, les deux routeurs en mode VRRP peuvent bosser ensemble pour si par exemple un chemin est plus court via ISPB, la demande peut être acheminée sur le routeur de backup ?Et inverssement si le chemin est plus court via ISPB ? Avant de commencer, une question: est-ce que tu as une raison de ne pas faire de load-balancing entre tes deux ISP ? Non au contraire, je préfère faire du load-balancing entre mes ISP. Donc je peux utiliser mes deux routeurs afin que le chemin le plus court soit utilisé. Ce qui implique d’avoir du « local-pref » identique sur les deux ISP ?? Pour le trafic entrant, c'est complètement différent. C’est-à-dire ? Tu peux m’en dire plus et ou m’expliquer ton idée ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] [TECH] VRRP et Quagga
Antoine Durant a écrit: Or si je comprends bien, les deux routeurs en mode VRRP peuvent bosser ensemble pour si par exemple un chemin est plus court via ISPB, la demande peut être acheminée sur le routeur de backup ? Et inverssement si le chemin est lus court via ISPB ? Absolument; d'ailleurs ça n'a rien à voir avec VRRP; VRRP ce n'est pas un mode, c'est une fonctionnalité supplémentaire. Que VRRP soit actif ou pas, les deux routeurs gardent leur adresse et tu peux continuer à leur envoyer du trafic. Ce que VRRP apporte, c'est un routeur virtuel dont l'adresse peut être sur l'un ou l'autre des routeurs. Ce que VRRP t'apporte, c'est du failover transparent: tu n'a pas à reconfigurer tes hosts si le routeur principal tombe, rien à voir avec BGP donc. Non au contraire, je préfère faire du load-balancing entre mes ISP. Donc je peux utiliser mes deux routeurs afin que le chemin le plus court soit utilisé. Ce qui implique d'avoir du « local-pref » identique sur les deux ISP ?? Il ne faut pas toucher au local-pref avant de savoir comment ton trafic se répartit. Si tu as de la chance, tes deux ISP sont semblables et donc vont balancer 50/50. Uniquement après que tu aies mesuré comment le trafic se répartit naturellement entre les deux tu peux commencer à bidouiller pour influencer la balance. Influencer le trafic entrant se fait (entre autres) avec prepend, influencer le trafic sortant il y a pas mal de possibilités dont local-pref. Au point ou tu en es, il faut que tu laisses tomber le lien E1 entre les deux routeurs. Pour configurer cette partie correctement il faut avoir la session iBGP entre des interfaces loopback sur les routeurs, ce qui nécessite d'avoir OSPF ou ISIS; tu n'en es pas encore au niveau d'abstraction nécessaire pour cette partie. Si c'était du Cisco il y aurait en plus des pièges avec synchronization et administrative distance. Quagga ne je connais pas assez bien pour savoir quels sont les pièges spécifiques de la cohabitation IGP/EGP. Voici donc ton réseau: +---+ +---+ | ISP A | | ISP B | +---+---+ +---+---+ | | +--E0---+ +--E0---+ | | | | | R1 | | R2 | | | | | +--E2---+ +--E2---+ | | | +-+ | +--+ SW +--+ +--+--+ | | +--+--+ | X | +-+ A part X, il y a 3 adresses sur le segment E2: R1, R2, et l'adresse du VRRP. Commence par la config de base: iBGP entre R1-E2 et R2-E2, pas de prepend, pas de local-pref, pas de bidouille. Possiblement, utilise temporairement R1 comme gateway pour comprendre comment le load-balancing BGP fonctionne et ne rajoutes VRRP qu'après que tu aies ajusté ton BGP. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] [TECH] VRRP et Quagga
Bonjour, Effectivement, le schéma de Michel est ce que je cherche à faire : R1 a une session eBGP avec ISP A R2 a une session eBGP avec ISP B R1 et R2 sont dans le même AS, et tous les deux annoncent les préfixes d'Antoine à leurs pairs eBGP respectifs. R1 Master en temps normal, R2 Backup (qui devient Master (GW) en cas d'anomalie de R1...) A noter: pour ce qui est de la partie VRRP, ça se passe forcément sur E2 Exact, ce que j'appelle vulgairement ma Gateway qui passe de R1 à R2 en cas de pépin sur R1 (VRRP) Ce n'est PAS parce qu'un des deux routeurs est le passif pour VRRP qu'il ne va pas envoyer ou recevoir de trafic du coté ISP, donc il va forcément y avoir du trafic entre R1 et R2. Quand tu parles de trafic entre R1 et R2 c'est via le lien (E1) iBGP ??? Parce que en temps normal depuis mon LAN quand R1 est master la Gateway est sur celui-ci, donc R2 n'est pas utilisé (sauf si bascule VRRP de la gateway vers R2). Si j'utilise un prepend MONAS MONAS MONAS + local-pref pour ISPB théoriquement je ne dois pas avoir de trafic entrant sur R2 mais uniquement sur R1 non ?? C'est le multihoming de base; la question n'est pas s'il faut configurer iBGP entre R1 et R2, mais comment; il y a plusieurs possibilités. Oui j'essaye de faire du multihoming avec la possibilité la plus efficace pour mon cas... Qui ne doit pas être différente d'autres personnes je pense ! Mais je dois avouer qu'avec les différentes remarques qui me sont faites je nage un peux sur la bonne méthode :'( --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: Re : [FRnOG] [TECH] VRRP et Quagga
Michel Py a écrit: Ce n'est PAS parce qu'un des deux routeurs est le passif pour VRRP qu'il ne va pas envoyer ou recevoir de trafic du coté ISP, donc il va forcément y avoir du trafic entre R1 et R2. Antoine Durant a écrit: Quand tu parles de trafic entre R1 et R2 c'est via le lien (E1) iBGP ??? Oui. Parce que en temps normal depuis mon LAN quand R1 est master la Gateway est sur celui-ci, donc R2 n'est pas utilisé (sauf si bascule VRRP de la gateway vers R2). J'ai l'impression que tu te fais une fausse idée de VRRP. Ce n'est pas parce que le routeur est en mode passif qu'il est mort. Ce que fait le routeur actif, c'est qu'il assume le rôle du routeur virtuel en plus du sien. Le routeur passif n'assume que son propre rôle mais continue à l'assumer pleinement. Avant de commencer, une question: est-ce que tu as une raison de ne pas faire de load-balancing entre tes deux ISP ? J'ai l'impression que cherches à faire que seul le routeur qui est actif VRRP envoie/recoie du trafic vers l'extérieur. Le fait qu'un des routeurs est passif pour VRRP ne l'empêche pas d'être actif du coté ISP. Si j'utilise un prepend MONAS MONAS MONAS + local-pref pour ISPB théoriquement je ne dois pas avoir de trafic entrant sur R2 mais uniquement sur R1 non ?? Ce n'est pas pas, c'est moins. Imagines le cas suivant: ISP A est un T3 connecté à un T2 connecté à un T1 qui n'est pas le même que celui d'ISP B qui lui aussi est un T3 connecté à un T2 connecté à un T1. Bon je prends un cas un peu tiré par les cheveux, mais tout à fait possible. Pour un client connecté directement à ISP B, il y a deux chemins possibles: MONAS ISPA T2A T1A T1B T2B ISPB i MONAS MONAS MONAS ISPB i Dans ce cas tu vas quant même recevoir un trafic par ISP B car malgré que tu prépendes 3 fois pour les clients directement connectés à ISP B ça reste le chemin le plus court. C'est clair que tout ce qui s'éloigne un peu de ISP B ça va passer par ISP A, ce qui est clair aussi que si ISP A est un T1 au lieu d'un T3 ça va encore plus pencher de son coté. Mais tant que tu annonce les préfixes, il faut être prêt à recevoir du trafic sur le routeur qui les annonce, même si c'est presque zéro. Pour un client connecté à T2B: 50/50 MONAS ISPA T2A T1A T2B i MONAS MONAS MONAS ISPB T2B i Le prepend ça se règle en observant le réseau. Disons que tes 2 ISP sont de même bande passante et que tu veuilles balancer 50/50 en entrée: tu ne mets pas de prepend et tu mesures pendant quelque temps. Celui qui a le plus de trafic, tu mets 1 prepend et tu mesures. Si c'est toujours le plus important, tu mets un autre prepend jusqu'à ce que ça devienne le plus petit. Pour le trafic entrant, c'est complètement différent. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] [TECH] VRRP et Quagga
On Tue, 7 Feb 2012 12:43:05 + (GMT), Antoine Durant antoine.duran...@yahoo.fr said: Parce que en temps normal depuis mon LAN quand R1 est master la Gateway est sur celui-ci, donc R2 n'est pas utilisé (sauf si bascule VRRP de la gateway vers R2). Traffic sortant non, mais traffic entrant, oui. Et je t'epargene le discours qui dit qu'on peut utiliser les deux liens *en meme temps* (la, iBGP obligatoire). Si j'utilise un prepend MONAS MONAS MONAS + local-pref pour ISPB théoriquement je ne dois pas avoir de trafic entrant sur R2 mais uniquement sur R1 non ?? Non. Tu auras *probablement* moins de traffic entrant sur R2, mais pas zero. Weight et Localpref sont prioritaires sur AS-PATH length. Un chemin type _ISPB_TONAS_TONAS_TONAS$ (voire meme encore plus long) accessible via peering ou en tant que client est prefere de facon quasi-systematique a un chemin type ^ISPA_TONAS$ via transit. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] VRRP et Quagga
Le 4 févr. 2012 à 22:30, Stephane Bortzmeyer a écrit : Antoine Durant antoine.duran...@yahoo.fr wrote Faut-il activer un iBGP entre Routeur1 et Routeur2 ?? Je ne comprends pas pourquoi. Si Routeur1 tombe, la session iBGP coupera et ce sera comme si elle n'avait pas été configurée. Sauf que si le lien vers ISPA tombe (ou tout bêtement la session eBGP) et qu'il n'y a pas d'iBGP entre R1 et R2, il n'y aura plus rien du tout. À moins de mettre une default de R1 vers R2 à la rigueur. Ou de faire du VRRP tracking éventuellement. En même temps l'iBGP au sein d'un AS c'est un peu un principe de base dans ce contexte-là. Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] VRRP et Quagga
Sylvain Rochet a écrit: De même, ça ne sert à rien de monter des sessions iBGP entre des routeurs qui n'ont rien à s'échanger. Typiquement ça ne sert à rien entre ceux qui n'ont ni clients, ni transits. De même, ça ne sert à rien d'enfoncer une porte ouverte. BGP ça veut dire Border Gateway Protocol donc rien que par le nom on avait compris que c'était pour la périphérie du réseau, pas l'intérieur. Rien à voir avec la configuration d'Antoine, sur laquelle je reviens. Antoine Durant a écrit: +---+ +---+ | ISP A | | ISP B | +---+---+ +---+---+ | | +--E0---+ +--E0---+ | | | | | R1 E1---E1 R2 | | | | | +--E2---+ +--E2---+ | | | +-+ | +--+ SW +--+ +--+--+ | | +--+--+ | X | +-+ Données de base: R1 a une session eBGP avec ISP A R2 a une session eBGP avec ISP B R1 et R2 sont dans le même AS, et tous les deux annoncent les préfixes d'Antoine à leurs pairs eBGP respectifs. A noter: pour ce qui est de la partie VRRP, ça se passe forcément sur E2. Ce n'est PAS parce qu'un des deux routeurs est le passif pour VRRP qu'il ne va pas envoyer ou recevoir de trafic du coté ISP, donc il va forcément y avoir du trafic entre R1 et R2. C'est le multihoming de base; la question n'est pas s'il faut configurer iBGP entre R1 et R2, mais comment; il y a plusieurs possibilités. 1. Entre R1-E2 et R2-E2. Pas terrible; ça marche mais dans ce cas-là le lien E1-E1 ne sert qu'à s'attirer des ennuis. Ca serait la bonne manière s'il n'y avait pas le lien E1-E1, ce qui serait une configuration valable. 2. Entre R1-E1 et R2-E1. Mieux; le trafic entre R1 et R2 passe par le lien dédié, et si le switch tombe la session BGP entre R1 et R2 est préservée, ce qui améliore les choses quand le switch revient. Ceci dit, pas de redondance; si E1 meurt, pas glop. 3. Entre R1-LOO0 et R2 LOO0. La bonne manière; on privilégie le lien E1-E1, mais s'il tombe on a toujours le lien E2-E2. Inconvénient majeur: il faut mettre OSPF entre R1 et R2 en plus de BGP. C'est pour ça que j'écrivais plus tôt que cette configuration avec le lien E1-E1 est mieux que sans le lien, mais nettement plus compliquée. Autres remarques: Si R1 et R2 servent également de firewall, il faut impérativement que l'état des sessions soit synchronisé entre les deux (pas forcément facile). Le même raisonnement vaut aussi pour NAT, ce qui va bien souvent faire que le firewall/NAT va être X sur le diagramme, et que R1, R2 et le switch vont être dans la DMZ. Ceci est l'exemple minimaliste de pouvoir opérer BGP sans défaut si on le voulait, mais dans un cas simple comme celui-ci il est bien plus intéressant de s'assoir sur la gloriole d'être un opérateur de DFZ et plutôt d'avoir ISP A et B annoncer 0.0.0.0/0 en plus des autres routes. A vous les studios. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] VRRP et Quagga
On Mon, 6 Feb 2012 12:06:19 -0800, Michel Py mic...@arneill-py.sacramento.ca.us said: 1. Entre R1-E2 et R2-E2. Pas terrible; ça marche mais dans ce cas-là le lien E1-E1 ne sert qu'à s'attirer des ennuis. Ca serait la bonne manière s'il n'y avait pas le lien E1-E1, ce qui serait une configuration valable. 2. Entre R1-E1 et R2-E1. Mieux; le trafic entre R1 et R2 passe par le lien dédié, et si le switch tombe la session BGP entre R1 et R2 est préservée, ce qui améliore les choses quand le switch revient. Ceci dit, pas de redondance; si E1 meurt, pas glop. 3. Entre R1-LOO0 et R2 LOO0. La bonne manière; on privilégie le lien E1-E1, mais s'il tombe on a toujours le lien E2-E2. Inconvénient majeur: il faut mettre OSPF entre R1 et R2 en plus de BGP. C'est pour ça que j'écrivais plus tôt que cette configuration avec le lien E1-E1 est mieux que sans le lien, mais nettement plus compliquée. 4. (version du pauvre qui veut juste le chose le plus simple au plus vite) On prend la bouteille de Stroh et on laisse tomber l'iBGP. Le routeur actif (VRRP) poussera tout le traffic sortant via son uplink. Le VRRP traque le lien vers l'upstream. Chaque routeur poussera le traffic entrant de chez son upstream vers le reseau local. Certains diront meme que c'est que l'actif qui est suppose recevoir du traffic entrant, mais ici on sait tous que ce n'est pas comme ca que ca marche... Pas la moindre trace de load-balancing du traffic sortant via les deux upstreams non plus. Il y a aussi d'autres objections (e.g. upstream down veut pas forcement dire link down, ), mais devant le DSI de base ca passe tres bien dans l'etat. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] VRRP et Quagga
Antoine Durant a écrit: Faut'il activer un iBGP entre Routeur1 et Routeur2 ?? C'est indispensable. Tous les routeurs à l'intérieur d'un système autonome doivent avoir une session iBGP avec tous les autres (full-mesh) (*). (*) Quand il y a beaucoup de routeurs, on utilise des route-reflectors ou des confédérations. Antoine Durant a écrit: Faut'il activer un iBGP entre Routeur1 et Routeur2 ?? Stephane Bortzmeyer a écrit: Je ne comprends pas pourquoi. Si Routeur1 tombe, la session iBGP coupera et ce sera comme si elle n'avait pas été configurée. Je ne comprends pas. Ca ne me serait pas venu à l'esprit de ne PAS avoir iBGP entre Routeur1 et Routeur2. Quelle en serait la raison ? Sur le Routeur2 (Slave) je pensai laisser la session BGP active sur ISPB, est-ce que cela va poser un problème ?? Non, c'est comme ça qu'il faut le faire. Ne pas le faire va poser des problèmes en cas de panne de ISPA. ETH1 connecté entre les deux Routeurs (pour VRRP) Non; la partie VRRP se passe sur ETH2 et le switch (ou sera probablement connecté ton NAT/Firewall). La liaison directe sur ETH1 entre les deux routeurs est une bonne idée, quoi que plus complexe. Pour un début, c'est là que tu mettras ta session iBGP. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] VRRP et Quagga
Bonjour FRNOG, J’essaye de comprendre et mettre en place une maquette de deux routeurs Quagga avec VRRP. Le Routeur1 (Master) est connecté à ISPA, le Routeur2 (Slave) est connecté à ISPB ; donc une session BGP par routeur. Câblage réseau des routeurs : ETH0 connecté sur ISPX ETH1 connecté entre les deux Routeurs (pour VRRP) ETH2 Interface (Active/Passive) Failover pour la Gateway connecté sur un switch (R1 :ETH2—SW—ETH2 :R2) Mon idée est que je voudrais que si Routeur1 tombe en panne, que le trafic repasse automatiquement par Routeur2. J’ai donc une IP Failover coté réseau interne (Gateway) qui passe d’un routeur à un autre. Le problème : C’est que je ne sais pas trop comment penser/organiser ma configuration BGP !!??!! -:( Faut’il activer un iBGP entre Routeur1 et Routeur2 ?? Sur le Routeur2 (Slave) je pensai laisser la session BGP active sur ISPB, est-ce que cela va poser un problème ?? Merci à vous pour les informations que vous me donnerez. --- Liste de diffusion du FRnOG http://www.frnog.org/