Questions tagged «routing»

有关路由的问题,请选择将网络流量发送到的过程。如果您的问题与BGP或OSPF之类的路由协议有关,请考虑使用更具体的标签。

6
具有两个ISP的双宿主站点的最佳实践?
我订阅了两个ISP,一个快速昂贵的ISP,一个便宜但较慢的ISP。他们使用不同的技术,电缆和ADSL,因此没有太多的单点故障,而且我所有的通讯设备均由UPS供电。 英国的ISP以相当随机的方式下降。多年以来,我还没有遇到两个ISP同时掉线的情况,因此很明显,如果您希望在此不间断地访问网络,则采用双ISP策略非常有用。 但是,问题在于如何组织站点的网络以利用这种改进的可用性。许多ISP不允许您运行自己的AS和路由协议,因此您大多会按目的地在两个出口管道之间分配静态路由。这不尽人意,当一个ISP掉下地球时需要人工干预。在众多脚本的帮助下,我以合理的成功和不费吹灰之力来处理ISP中断,这已成为常态。不过不是很好。感觉缺少某种技术。 通常有没有更好的方法? 是否只有IPv6有更好的方法(我在一个ISP上有双栈,而在另一个ISP上可以隧穿)?对于IPv6来说,这无疑是一个福音。
12 ipv6  routing 
1
BGP“ AS_SET”如何使用?
RFC 1771定义AS_PATH的路径属性类型,如下所示: AS_PATH (Type Code 2): AS_PATH is a well-known mandatory attribute that is composed of a sequence of AS path segments. Each AS path segment is represented by a triple <path segment type, path segment length, path segment value>. The path segment type is a 1-octet long field with …
5
在此图中,符号F0 / 0和F0 / 1是什么意思?
我最近一直在接管一个使用中子网络和GRE隧道的OpenStack环境。我们遇到了网络性能问题,我确定这是某些VM实例中的MTU设置被设置为默认值1500的问题,而确实需要将它们设置得较低,比如说1456,以便对数据包进行封装在通过GRE的数据包中。 在研究此问题时,我遇到了以下两个站点: 路径MTU发现和GRE 路径MTU发现 在第二个URL上有以下图表: 该图中路由器周围的F0 / 0和F0 / 1表示什么意思?
11 routing  mtu 
2
试图使集中式防火墙适合网络拓扑
我正在彻底检查我们的网络,我一直回想的问题是:尝试将第3层带入核心,同时仍具有集中式防火墙。 我在这里遇到的主要问题是,我一直关注的“微型核心”交换机始终具有较低的硬件内ACL限制,即使在我们当前的大小下,我们也可以很快达到该限制。我目前(希望)购买一对EX4300-32F内核,但是我看过其他型号,以及瞻博网络和Brocade ICX系列的其他选件。它们似乎都具有相同的低ACL限制。 这非常有意义,因为核心交换机需要能够保持线速路由,因此不想通过ACL处理牺牲太多。因此,我无法在核心交换机本身上完成所有防火墙工作。 但是,我们主要处理完全托管的服务器,而拥有集中式(状态)防火墙对该管理有很大帮助-因为我们无法让客户直接相互交谈。如果可以的话,我想保持这种方式,但是我觉得大多数ISP网络都不会做这种事情,因此为什么在大多数情况下,在核心中进行路由很简单。 作为参考,这是我理想情况下想做的拓扑(但不确定在何处适合FW)。 当前解决方案 现在,我们有一个棒式路由器配置。这使我们能够一站式完成NAT,状态防火墙和VLAN路由。非常简单。 通过将L2一直扩展到网络的“顶部”(边界路由器),我可以继续使用(大致)相同的解决方案。但是后来,我失去了核心可以为我提供的线速路由的所有好处。 IIRC的核心交换机可以进行464 Gbps的路由,而如果幸运的话,我的边界路由器将能够提供10或20 Gbps的路由。从技术上讲,这现在不是问题,而是增长的问题。我觉得好像我们现在不设计架构以利用核心路由功能一样,当我们规模更大并且需要利用该功能时,重做所有内容将很痛苦。我宁愿第一次就做对。 可能的解决方案 第3层访问 我以为我可以将L3扩展到访问交换机,从而将防火墙规则分解为更小的段,然后将这些段适应访问交换机ACL的硬件限制。但: 据我所知,这些不是有状态的ACL 对我来说,L3 Access似乎更加僵化。服务器移动或VM迁移到其他机柜会更加痛苦。 如果我要在每个机架的顶部(只有六个)管理防火墙,那么我可能还是想要自动化。因此,在这一点上,在主机级别自动管理防火墙并不是很大的飞跃。从而避免了整个问题。 访问/核心之间的每个上行链路上的桥接/透明防火墙 这将必须涉及多个防火墙盒,并显着增加所需的硬件。甚至可能比购买更大的核心路由器还要昂贵,即使使用普通的老式Linux机器作为防火墙。 巨型核心路由器 可以购买更大的设备来完成我需要的防火墙,并具有更大的路由能力。但是确实没有预算,而且,如果我要使设备执行并非为它设计的功能,则可能必须选择更高的规格。比起其他方式 没有集中式防火墙 由于我跳了圈,也许这不值得。这一直是一件好事,有时对于想要“硬件”防火墙的客户来说是一个卖点。 但是,为“整个”网络设置集中式防火墙似乎是不可行的。那么,我想知道,当拥有专用服务器的客户拥有数百甚至数千台主机时,大型ISP如何为他们提供硬件防火墙解决方案? 谁能想到解决这个问题的方法?是我完全错过的东西,还是上述想法之一的变化? 2014年6月16日更新: 基于@Ron的建议,我偶然发现了这篇文章,它很好地解释了我所面临的问题,并且是解决该问题的好方法。 除非有其他建议,否则我现在要说这是产品推荐类型的问题,所以我想这已经结束了。 http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/
2
一个大陆上的ISP如何连接到另一大陆上的ISP?
一个大陆上的ISP如何连接到另一大陆上的ISP?从物理层的角度来看? 假设一家ISP位于亚洲,另一家位于欧洲,他们将如何连接其光缆来交换流量?他们还将如何通过IXP(Internet交换点)进行物理连接。 他们是否必须将光缆一直拖到这些位置?
11 routing  fiber  isp 
1
TCP建立后,哪个BGP对等体将首先发送打开消息?
在两个bgp对等体之间建立Tcp连接之后。哪个对等方将首先发送打开消息?是主动对等方(正在发起出站连接)还是被动对等方?(正在接受入站连接的对等端)。 还是它独立于这种主动的被动状态?任何对等方都可以基于调度发送第一个打开的消息吗? 在本地路由器发出打开消息之前收到打开消息时会发生什么? 有没有好的BGP Peer fsm图?RFC4271没有fsm图:(
2
为什么RIP无法扩展?
大多数参考文献都说“ RIP不可扩展”,因此只能在较小的网络中使用。但是没有人说“为什么?” RIP中实际上阻止它扩展到更大网络的功能是什么?OSPF如何克服RIP的缺点?
11 routing  ospf  rip 
3
Quagga路由和安全性
我有一台有两个邻居的quagga路由器,并宣布了自己的IP空间。我最近加入了一个公共对等交换(IXP),所以我和所有其他参与者一起加入了他们的本地网络(/ 24)。到目前为止,一切正常。 为了安全起见,我想知道其他参与者是否不能简单地将所有传出的流量路由通过我?例如,如果任何其他参与者将默认路由指向我的IXP ip,会发生什么情况。如果我正确理解了来自该参与者的所有传出流量,然后将其转到我的路由器,该路由器将使用我的传输上行链路将其路由到Internet,对吗? 因此,我想知道是否需要采取任何措施。我的想法是: 设置防火墙(iptables)规则,以便其他IXP参与者仅接受目标地址为我自己IP空间的流量。丢弃来自IXP参与者的任何其他流量。 以某种方式使quagga对每个邻居(或对等组)使用不同的内核路由表。IXP邻居的路由表除了我自己的IP空间外不会包含任何条目,因此不会发生使用ip传输上行链路的路由。查看ip rule showshow quagga 的输出是否不自动执行此操作? 我在正确的轨道上吗?为什么2.不直接在Quagga中实现?硬件路由器(Cisco,Juniper等)如何处理此问题?
11 routing  bgp 
3
解释ping结果
我正在ping yahoo.com,对结果感到困惑。 C:\Users\jon>ping -t yahoo.com Pinging yahoo.com [98.138.253.109] with 32 bytes of data: Reply from 98.138.253.109: bytes=32 time=195ms TTL=46 Reply from 98.138.253.109: bytes=32 time=230ms TTL=44 Reply from 98.138.253.109: bytes=32 time=175ms TTL=45 Reply from 98.138.253.109: bytes=32 time=208ms TTL=44 Reply from 98.138.253.109: bytes=32 time=180ms TTL=46 Reply from 98.138.253.109: bytes=32 time=206ms TTL=44 Reply …
11 routing  nat 
2
为什么iperf,scamper和路径MTU发现数据包捕获在路径的MTU上不一致?
让我们在由运行Shorewall生成的iptables规则的Debian路由器分隔的两个Debian主机之间执行一些路径MTU发现。两个主机中的每一个都使用单个以太网链路,而路由器在两个聚合的以太网链路上使用带标记的VLAN。 使用scamper: root@kitandara:/home/jm# scamper -I "trace -M 10.64.0.2" traceroute from 10.1.0.5 to 10.64.0.2 1 10.1.0.1 0.180 ms [mtu: 6128] 2 10.64.0.2 0.243 ms [mtu: 6128] 好:预期结果为6128字节(廉价的Realtek以太网适配器无法处理大小合适的巨型帧)。 现在,让iperf执行吞吐量测试,并通过以下方式告诉我们有关MTU的信息: root@kitandara:/home/jm# iperf -c 10.64.0.2 -N -m ------------------------------------------------------------ Client connecting to 10.64.0.2, TCP port 5001 TCP window size: 66.2 KByte (default) ------------------------------------------------------------ [ 3] …
11 routing  ipv4 
1
RIB vs FIB的区别?
有人可以进一步解释一下RIB和FIB之间的区别吗?我在网站上没有看到任何类似的问题,因此我认为这是一个很好的补充。RIB路由和FIB转发?这就是全部吗?
2
为什么不能使用L3 cisco 3550交换机从一台计算机ping另一台计算机?
我已将3550 L3交换机配置为将HTTP流量重定向到重要的计算机: 这是我的情况(用PC代替路由器): 这是交换机配置: CAT3550# show running-config Building configuration... . . ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 ! interface Vlan2 ip address 20.20.20.1 255.255.255.0 ip policy route-map pbr ! interface Vlan3 ip address 30.30.30.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.10.10.2 ip classless ip http server ! ! access-list …
10 cisco  routing  ping  switch 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.