[vpn] Exterior vs. Interior Routing?

bodems felixannen at web.de
Sa Okt 18 11:39:28 CEST 2014 

Hallo Bernd,
wenn das zweite Gateway ins ICVPN soll, muss zwischen den beiden
Gateways auf jedenfall per iBGP (interrior-BGP, eine BGP-Session, bei
der beide Peers dieselbe ASN benutzen) geroutet werden. Zwischen den
BGP-Gateways muss ein full-mesh bestehen, siehe [1]. Um die Routen auch
zu anderen Gateways zu verteilen, kann man OSPF benutzen. Man sollte
aber nicht die Routen von BGP für OSPF importieren (und auf keinen Fall
die Routen wieder von OSPF nach BGP exportieren, dann macht man die
AS-Pfadlängen kaputt), sondern das IGP nur für Routen von Subnetzen des
eigenen Netzes und eine default-Route benutzen. Default-Traffic wird
dann zum nächsten BGP-Router geroutet, der dann per BGP den besten weg
kennt. Anstatt der Defaultroute kann man im ICVPN auch 10.0.0.0/8 und
172.16.0.0/12 benutzen. Das hat auch den Vorteil, dass die Größe der
Routingtabelle auf den nicht-BGP-Gateways kleingehalten wird.
So, ich hoffe ich hab nichts vergessen und es war jetzt nicht zu viel
auf einmal.

bodems

[1] https://de.wikipedia.org/wiki/Border_Gateway_Protocol#IBGP

Am Samstag, den 18.10.2014, 11:11 +0200 schrieb Bernd
Kalbfuss-Zimmermann:
> Hallo Netzwerker,
> 
> ich suche Rat in Bezug auf die Verteilung von IC-VPN-Routen innerhalb 
> unseres Freifunk-Netzes. Wir betreiben derzeit zwei Internet-Gateways. Ein 
> drittes befindet sich im Aufbau. Von diesen ist das Gateway 1 gleichzeitig 
> im IC-VPN (dreilaendereck1). Das Gateway 2 wollen wir nach Abschluss der 
> Testphase ebenfalls ins IC-VPN bringen. Für das Gateway 3 ist dies hingegen 
> nicht geplant.
> 
> Aktuell haben alle Klienten, welche das Gateway 1 nutzen Zugriff auf das 
> IC-VPN. Die anderen nicht, da wir die Routen noch nicht weiter verteilen. 
> Welche Methode ist hierfür eurer Erfahrung nach am besten geeignet? Ich 
> habe gelesen, dass für solche Zwecke typischerweise èin "Interior Routing 
> Protocol" wie OSPF zum Einsatz kommt. Ist dies der richtige Weg? Oder gibt 
> es bessere Verfahren?
> 
> LG,
> 
> Bernd
> 
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20141018/5b80d25a/attachment.sig>

Mehr Informationen über die Mailingliste vpn