Vypnutí staré páteře a nedostupný Internet
Je to takový... nemilá věc, bych řekl. Člověk iniciativně vypne poslední krabici staré páteře, na kterou už není nic připojeno a ono to způsobí nedostupnost celého Internetu. Ale pěkně popořádku.
Ve středu večer jsem vypnul tři směrovače na našem sále, dva z nich připojovaly servery, které už jsme přemigrovali někam jinam, poslední byl bývalý hlavní přípoj do Internetu. To všechno prošlo hladce, drobné chybky, které se vyskytly jsem opravil. Ve čtvrtek okolo 10h jsem zavolal na PřF, že mohou vypnout i poslední směrovač staré páteře. Vypnuli a za chvíli to začalo. Celá síť MU zmizela z Internetu. Problém byl v konfiguraci BGP, tedy přesněji tam, kde se generovala síť 147.251.0.0/16 do BGP.
Při budování nové páteře jsme totiž postupovali následovně. Nainstalovali jsme směrovače nové páteře a propojili jsme starou páteř s novou. Následně jsme přepojili linku do CESNETu na směrovač nové páteře. Nicméně NLRI pro síť 147.251.0.0/16 jsme nechali generovat směrovače staré páteře. A to z jednoho jednoduchého důvodu. Při přepojování jednotlivých připojených sítí do nové páteře jsme prostě pouze přehodili linku ze starého směrovače do nového. V případě, že přišel paket z CESNETu do nové páteře, tak pokud byla síť v nové páteři, tak o tom nová páteř věděla a poslala paket na místo kam patří. V případě, že tuto síť neměla připojenou, poslala ji do staré páteře, protože směrovač staré páteře generoval NLRI pro celou 147.251.0.0/16 (tato cesta se uplatnila v nové páteři, pokud neexistovala v routovací tabulce síť s větší netmaskou).
Postupem času jsme přesunuli všechny sítě do nové páteře a bylo tedy možné vypnout starou páteř. Jenže v této chvíli nastal problém, který vedl k výpadku. Ačkoliv se v BGP na naší páteři šíří všechny sítě, tak směrem do CESNETu se šíří pouze celá síť 147.251.0.0/16 (není důvod šířit něco jiného, protože všechny sítě musí projít přes stejný bod). Ve chvíli, kdy jsem vypnul poslední směrovač generující celou síť MU se do CESNETu přestala šířit tato cesta a všechny ostatní cesty byly vyfiltrované. MU tedy zmizela z Internetu. Chvíli nám trvalo, než jsme si uvědomili, v čem je problém a než se nám podařilo napsat pouhé dva řádky, které uvedly všechno do správného stavu.
router bgp XXXXX network 147.251.0.0 mask 255.255.255.0 ip route 147.251.0.0 255.255.0.0 Null 0 250
(podobného chování lze dosáhnout několika způsoby, např. šířením agregované sítě - k tomu bychom ani nepotřebovali tu statickou cestu na posledním řádku)
Poučení na konec: všechno souvisí se vším.
Categories: net