LINUX.ORG.RU
решено ФорумAdmin

BGP quagga и NAT Ubuntu 10.04


1

1

Здравствуйте многоуважаемые гуру! Прошу Вас помочь определиться в выборе. Имеется Шлюз на Ubuntu 10.04 с 4гб оперативы на борту, на нем NAT и SQUID. В него же входят 2 провайдера, при пропадании основного провайдера скрипт переписывает дефоулт гейтвей на резервного провайдера. Недавно получили свою AS с блоком PI адресов. В тестовом варианте на данный момент на тестовой тачке поднята BGP сессия с одним провайдером на quagga (Ubuntu 10.04) адреса из нашего блока видны из интернета.

В целях экономии железа и всего остального, вышестоящее начальство просит использовать тачку-гейтвей «Шлюз» как BGP роутер. И в то же время, чтоб эта же тачка была шлюзом для локалки. Самому мне бы хотелось, чтоб BGP роутер был отдельным звеном в сети. Немного подумав, надумал следующее: В случае использования шлюза как BGP роутер, поднять кваггу, вещать провайдерам наши префиксы это получится.. и адреса из блока будут видны в интернете. А вот в случае с клиентами за NAT 192.168.0.0/24 Они ведь будут видны в интернете под IP интерфейса стыка с провайдером, который долбится на дефаулт гейтвей. Верно? (BGP с провайдером у нас поднята на белых IP выданных провайдером) Cуть вопроса: Каким образом реализовать выход в интернет клиентов NAT под одним из адресов нашего блока? Если повешать на шлюзе+bgp «алиас-сетевуху» с одним из адресов из нашего блока, шлюз в интернете по этому адресу становится видим, а клиенты за NAT в интернете выдны под IP интерфейса к которому подключен провайдер. Нужно чтоб в инете клиенты за NAT были видны под IP из адресов нашей AS. (в целях стабильности, чтоб быть всегда на одном адресе т.к BGP будет перекидывать с одного провайдера на другого при пропадании первого)

Понятное дело, что с вышестоящим отдельным BGP роутером можно реализовать данную задачу, выдать на шлюз белый IP из диапазона AS, и шлюз будет всегда под ним сам и пускать под ним же клиентов локалки, а BGP роутер уже будет сам разруливать переключения провайдеров. Но можно-ли с вышеописанным реализовать это? Чтоб шлюз был и BGP роутером, и шлюзом для клиентов за NAT.??

Спасибо за ответы и рекоммендации.


Если повешать на шлюзе+bgp «алиас-сетевуху» с одним из адресов из нашего блока, шлюз в интернете по этому адресу становится видим, а клиенты за NAT в интернете выдны под IP интерфейса к которому подключен провайдер.

Все так, на loopback или uplink /32 из вашего блока и NAT-тьте на alias и клиенты будут видны за этим ip из вашего блока.

-j SNAT -o eth0 --to-source $alias_ip
hizel ★★★★★
()
Ответ на: комментарий от hizel

Спасибо, помогло :) Внесу маленькую поправку: А сам шлюз+bgp при выпускании клиентов из локалки будет опираться на записи в таблице bgp? (на какой маршрут и по какому аплинку отправить пакет) ? Допустим ситуация: BGP соединение с 2мя провайдерами работает, 1 провайдер основной другой резерв.

eth0 пров 1 eth1 пров 2

Если пров 1 отвалился, BGP роутер переключится на 2го провайдера, а как же клиенты с локалки? Обязательно нужно что-бы скрипт который переписывает резервный гейтвей работал? Если да, то получается что клиенты из локалки, остаются видны под адресом из блока, а сами ходят по гейтвею от провайдера мимо BGP роутера.

Или я что-то не догоняю?

CeMKa
() автор топика
Ответ на: комментарий от anonymous

поподробнее можете рассказать?

CeMKa
() автор топика
Ответ на: комментарий от CeMKa

По проще: убираем дефолт, получаем по bgp два дефолта от двух провайдеров, назначем одному из них побольше вес и трафик исходящий будет идти как задумано, отавлится переключится на другого. Входящий и так резервираутся из коропки. Это если вы по bgp с обоими провайдерами подружились.

hizel ★★★★★
()
Ответ на: комментарий от hizel

С клиентами за NAT все отлично, ходят под адресом из блока. А вот сам шлюз+bgp когда ходит в инет, он имеет IP от провайдера, есть способ, чтоб шлюз идентифицировался в интернете по IP из блока? Как клиенты за NAT?

CeMKa
() автор топика
Ответ на: комментарий от CeMKa

Для squid что-ли? В squid были опции, что-то типа outgouing_address.

hizel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.