Oui effectivement, il faut forcer le routage de l’autre extrémité du tunnel GRE par le transit, alors que le routeur doit recevoir une route connected redistribuée par iBGP. C’est un peu sioux, mais une route statique en /32 vers le transit doit suffire, sans effets de bord à priori. Attention, route pas le /30 entier car tu dois recevoir des annonces iBGP qui viennent du transitaire de l’autre site qui ont l’autre IP dans ce /30 comme next-hop. Ou alors tu fais du next-hop-self sur les sessions iBGP pour ne plus avoir de trace du next-hop du transitaire quand tu arrives sur l’autre routeur.
Désolé si c’est pas très clair :) > Le 2 nov. 2015 à 10:11, Fabien H <frnog.fab...@gmail.com> a écrit : > > Bonjour David, > > sur chaque site, des SW niveau 2, LNS et serveurs. Donc effectivement un LAN > en /24 est dédié pour le routage entre le BGP et les LNS ou Firewalls ou > autre. Par contre ce LAN est le même sur les 2 sites (même VLAN, même /24) > > Je suis donc dans le cas 2 : OK même solution que Cédric : > > Je crois que j'ai compris ce qui ne va pas dans notre archi : Nous filtrons > les préfixes plus restreints que /24 en iBGP. > Dans le cas 2, vous sous-entendez que même les routes /32 sont échangées en > iBGP ? Et donc logiquement pas besoin de dupliquer les routes /32 sur chaque > routeur... Tant qu'une des sessions iBGP est UP, ça fonctionne ! > > > Y'a juste une chose qui me chiffonne un peu , c'est quelles IP publiques > utiliser pour le tunnel GRE car il faut que ces IP ne soient pas routées par > l'iBGP (actuellement on annonce tous les préfixes des 2 côtés) mais ça je > vais étudier.. > > Merci beaucoup pour vous retours ! > > > Le 2 novembre 2015 09:34, David Ponzone <david.ponz...@gmail.com > <mailto:david.ponz...@gmail.com>> a écrit : > Il manque quelques infos je pense. > Sur chaque site, il y a quoi à part les routeurs BGP ? > Un LAN avec du hosting ou autre ? J’imagine que oui. > Le L2L, il relie pas les routeurs directement, mais des switch L2 qui sont > derrière les routeurs, je suppose ? > Autre point qui n’est pas clair: tu as bien un /24 minimum dédié au LAN de > chaque site ? > > Ta problématique est donc simple, si je résume: > Le L2L tombe, mais les 2 routeurs sont OK. > Chacun annonce les 2 préfixes et donc si le site A reçoit un paquet pour B, > c’est mort. > > Cas 1: tu as bien des subnets séparés pour le LAN de chaque site. > Il faut juste utiliser IP SLA (chez Cisco) sur chaque routeur pour détecter > que le L2L est mort, et faire tomber l’annonce du BGP du préfixe de l’autre > site. > > Cas 2: les 2 sites partagent le même subnet pour le LAN > Tunnel GRE entre les 2 routeurs qui passent par leur transit respectif et > iBGP dessus, avec un localpref défavorable par rapport à la session iBGP du > L2L. > > > > Le 2 nov. 2015 à 09:16, Fabien H <frnog.fab...@gmail.com > > <mailto:frnog.fab...@gmail.com>> a écrit : > > > > Bonjour la liste, > > > > J'ai une question BGP à vous soumettre : > > > > En 2 mots : Nous sommes opérateur internet avec 2 localisations : Nous > > avons 2 routeurs BGP de bordure reliés en IBGP via un L2L. > > Sur chaque routeur BGP, nous avons au moins un transitaire. > > > > Tout fonctionne parfaitement ! > > > > Actuellement, nous avons un prefixe "localisé" sur le routeur 1 (en > > utilisant une route Null0) et un préfixe localisé sur le routeur 2 (idem > > route Null0). > > Puis pour chaque IP /32 dans le prefixe, nous avons des routes statiques > > sur le routeur BGP concerné. > > > > - Ma question : Nous aimerions mettre en place un failover BGP automatique > > en cas de défaillance matérielle totale d'un des routeurs BGP. > > > > La solution que j'imaginais est de mettre en place, pour un même prefixe, > > une route Null0 sur les 2 routeurs en même temps. > > > > Sur les tests que j'ai fait, ça marche si on duplique la route Null0 sur > > les 2 routeurs et si on duplique aussi les routes statiques des IP/32. > > => Si un routeur BGP tombe, l'autre va normalement prendre le relais sans > > problème. > > > > Le seul cas qui pose problème, c'est si les 2 routeurs BGP fonctionnement > > mais que le L2L tombe. > > > > Dans ce cas, un paquet va continuer à arriver par le transit sur le routeur > > BGP concerné, puis la route statique correspondant à l'IP sera appliquée, > > mais l'IP de GW étant normalement accessible via le L2L sur un VLAN donné, > > le routage ne fonctionnera pas car le L2L est tombé. > > > > Ca avait l'air d'être pourtant la bonne méthode .. Avez-vous une solution à > > ce problème ? > > > > Merci, > > Bonne journée, > > Fabien > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
