> Sylvain Rochet a écrit:
> De même, ça ne sert à rien de monter des sessions iBGP entre
> des routeurs qui n'ont rien à s'échanger. Typiquement ça ne
> sert à rien entre ceux qui n'ont ni clients, ni transits.
De même, ça ne sert à rien d'enfoncer une porte ouverte. BGP ça veut dire
"Border Gateway Protocol" donc rien que par le nom on avait compris que c'était
pour la périphérie du réseau, pas l'intérieur. Rien à voir avec la
configuration d'Antoine, sur laquelle je reviens.
> Antoine Durant a écrit:
+-------+ +-------+
| ISP A | | ISP B |
+---+---+ +---+---+
| |
+--E0---+ +--E0---+
| | | |
| R1 E1---E1 R2 |
| | | |
+--E2---+ +--E2---+
| |
| +-----+ |
+--+ SW +--+
+--+--+
|
|
+--+--+
| X |
+-----+
Données de base:
R1 a une session eBGP avec ISP A
R2 a une session eBGP avec ISP B
R1 et R2 sont dans le même AS, et tous les deux annoncent les préfixes
d'Antoine à leurs pairs eBGP respectifs.
A noter: pour ce qui est de la partie VRRP, ça se passe forcément sur E2. Ce
n'est PAS parce qu'un des deux routeurs est le passif pour VRRP qu'il ne va pas
envoyer ou recevoir de trafic du coté ISP, donc il va forcément y avoir du
trafic entre R1 et R2.
C'est le multihoming de base; la question n'est pas s'il faut configurer iBGP
entre R1 et R2, mais comment; il y a plusieurs possibilités.
1. Entre R1-E2 et R2-E2.
Pas terrible; ça marche mais dans ce cas-là le lien E1-E1 ne sert qu'à
s'attirer des ennuis. Ca serait la bonne manière s'il n'y avait pas le lien
E1-E1, ce qui serait une configuration valable.
2. Entre R1-E1 et R2-E1.
Mieux; le trafic entre R1 et R2 passe par le lien dédié, et si le switch tombe
la session BGP entre R1 et R2 est préservée, ce qui améliore les choses quand
le switch revient.
Ceci dit, pas de redondance; si E1 meurt, pas glop.
3. Entre R1-LOO0 et R2 LOO0.
La bonne manière; on privilégie le lien E1-E1, mais s'il tombe on a toujours le
lien E2-E2. Inconvénient majeur: il faut mettre OSPF entre R1 et R2 en plus de
BGP. C'est pour ça que j'écrivais plus tôt que cette configuration avec le lien
E1-E1 est mieux que sans le lien, mais nettement plus compliquée.
Autres remarques:
Si R1 et R2 servent également de firewall, il faut impérativement que l'état
des sessions soit synchronisé entre les deux (pas forcément facile). Le même
raisonnement vaut aussi pour NAT, ce qui va bien souvent faire que le
firewall/NAT va être "X" sur le diagramme, et que R1, R2 et le switch vont être
dans la DMZ.
Ceci est l'exemple minimaliste de pouvoir opérer BGP sans défaut si on le
voulait, mais dans un cas simple comme celui-ci il est bien plus intéressant de
s'assoir sur la gloriole d'être un opérateur de DFZ et plutôt d'avoir ISP A et
B annoncer 0.0.0.0/0 en plus des autres routes.
A vous les studios.
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
