LINUX.ORG.RU
ФорумAdmin

FRR L3VPN MPLS проблемы с форвардингом

 , , ,


0

2

Добрый день!

Подняли FRR с mpls на двух VM Linux. Настроили IGP, iBGP, mpls, LDP. Сетевая связность до необходимых сетей появилась. Метки распределились. Создали на этих двух VM vrf один и тот-же (RD, RT равны). Прибиндили интерфейсы к vrf’ам. Из под интерфейса direct сеть (в сторону CE)– пинг идёт. А вот уже из под интерфейса удаленный интерфейс (на другой PE) не пингуется. Хотя вижу по tcpdump’у , что mpls пакеты (icmp request) уходят с одного core-face интерфейса и приходят на другой. А вот icmp reply пакетов – нет. Необходимые сети в rib vrf’a есть. По сути, схема сейчас без P «маршрутизатора». CE1<–>PE1<–>PE2<–>CE2 Может кто-то сталкивался с таким?

php-fpm, docker и shared memory
Есть ли способ обойти гипервизор при создании свопа?

Полные конфиги с PE в студию. Также не помешает версия ядра, дистрибутива и самого FRR.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Viktorbgp

Ты на PE видишь ping-и (src -> dst и входящий интерфейс iif) ?

А что говорит на PE «ip ro get <src> from <dst> iif <iif>» ?

vel ★★★★★
()

В общем, добавили СЕ виртуалку, с нее пингуется все отлично. Сняли дампы и по ним видно, что когда пускаешь пинг якобы с сорса саба, который засунут в vrf, по факту, Линукс сорсом ставит адрес интерфейса (в принципе он так и пишет, но до этого с сетевой реализацией именно линукса - не сталкивался), с которого уходит пакет. И причем даже все работает, icmp reply приходит (в дампе видно), но в шелле терминала – пусто. Дистрибутив - centos 7.8 Пинг пускаю через ping -I (src int) (dst ip) Может кто подскажет, можно ли как-то то пинг пускать именно из под сорс адреса. Наподобие цисок, джунов и тд?

Viktorbgp
() автор топика
Ответ на: комментарий от Viktorbgp

Пинг пускаю через ping -I (src int) (dst ip) Может кто подскажет, можно ли как-то то пинг пускать именно из под сорс адреса. Наподобие цисок, джунов и тд?

А как это на цисках?

В линуксячем пинге у "-I" два варианта

ping -I <interface> - это SO_BINDTODEVICE т.е. передача прямо в указанный интерфейс. Это достаточно специфический вариант.

ping -I <src_ip_addr> - это просто задать src_ip и далее по всем правилам маршрутизации

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

Ну я пытаюсь написать ping -I 192.168.1.1 192.168.2.1 и выдает ошибку, что невозможно назначить запрашиваемый адрес. Мб это связано с тем, что этот айпи (192.168.1.1) висит на интерфейсе, который прибиндин к виртуальному vrf interface? Может можно как-то указывать врф? Внутри cli FRR ничего не нашел

Viktorbgp
() автор топика
Ответ на: комментарий от vel

Ну в джунах к примеру, ты указываешь сорс айпи и врф, из под которого будешь пинговать

Viktorbgp
() автор топика
Ответ на: комментарий от Viktorbgp

Гм. А что говорит «ip ro get 192.168.2.1» и «ip ro get 192.168.2.1 from 192.168.1.1» ?

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от Viktorbgp

IMHO это косячный ping

В случае "-I interface" он ожидает пакет строго на том же интерфейсе, а приходит он на другой :)

-I можно указать дважды.

vel ★★★★★
()
Ответ на: комментарий от vel

Вопрос решился командой ip vrf exec VRFNAME ping -I 192.168.1.1 192.168.2.1 Пинги между сабами ходят:)

Viktorbgp
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
php-fpm, docker и shared memory
Admin
Есть ли способ обойти гипервизор при создании свопа?