Как помечать префиксы BGP-пира и пересылать только их другому пиру?

Тебе нужно, чтобы в ZZ-in была настройка типа set-bgp-communities=xxx:yyy (вместо пустой строки “”). “” означает очистку сообществ у всех полученных префиксов. Если поставить xxx:yyy (где xxx — обычно твой ASN, а yyy — любое значение, которое ты выбираешь и которое будет означать «получено от пирингов»), то ты сможешь сделать исходящий фильтр для другого пира с такими правилами:  
action=accept bgp-communities=xxx:yyy  
action=discard  

Если ты хочешь также отправлять собственные префиксы, независимо от сообществ, добавь ещё одно правило, которое принимает твои префиксы, и поставь его перед правилом №2 (до или после правила №1 — без разницы), например:  
action=accept prefix=192.0.2.0/24  

Что касается части :yyy у community… это число произвольное, и ты сам решаешь, что оно будет означать. Например, может быть так:  
2000 = все IXC (если у тебя несколько IXC и ты хочешь предложить все такие маршруты другим пирам)  
2001 = IXC 1 (если хочешь конкретно выделять маршруты от IXC1)  
2002 = IXC 2 (то же самое) и так далее…  

В таком случае, для каждого IXC в in-фильтре можно добавить два сообщества: xxx:2000 и xxx:2001 (в примере для IXC1). При этом xxx обычно будет твоим собственным ASN.

Прочитай мой ответ ещё раз, я уже 100% объяснил, что нужно сделать, чтобы достичь своей цели. Твой текущий входящий фильтр — по сути, две правила, которые делают одно и то же… правило 1 — это passthrough-правило, то есть оно выполняет BGP-ACTION с префиксом, но не принимает никаких решений о фильтрации. По сути, правило 1 просто очищает префиксы от prepend-path (кстати, бесполезно в входящем фильтре), убирает сообщества со всех префиксов и, наконец, ничего не добавляет в пустой список сообществ.

Я хотел обратить внимание на одну вещь, которую многие не знают о поведении GUI Winbox. Видишь разницу в двух правилах выше? Это раскрывающееся меню не просто прячет или показывает поле ввода, оно фактически его активирует. Когда меню раскрыто, пустое поле ввода на самом деле означает: «установить сообщество в пустое значение». Если хочешь оставить сообщества без изменений, нужно закрыть меню (как в правом окне).

Твой входящий фильтр может быть таким коротким — одно правило: action=accept bgp-set-communities=xxxx:yyyy (значение community можно поставить любое, которое ты хочешь использовать для обозначения «получено от Orange», обычно xxxx — твой ASN, yyyy — любое значение, которое тебе подходит).

Это правило принимает всё от Orange (фактически, доверяет им и считает, что они не пришлют кучу неверных маршрутов) и помечает их выбранным тобой сообществом.

Если хочешь быть чуть менее доверчивым, можешь добавить в фильтр входящих сообщений от Orange правила discard — например, отвергать дефолтные префиксы, отвергать богон-сети и так далее. Но это уже тебе решать, что и как нужно фильтровать.

Если хочешь применить сообщество ко всем префиксам, но при этом фильтровать, есть два варианта: либо сделать первое правило, которое назначает сообщество с action=passthrough (чтобы обработка продолжалась), либо сначала поставить все правила discard, а последний сделать accept с BGP-ACTION «set-communities».

Для выходящих фильтров просто сделай цепочку, которая принимает префиксы с тем сообществом, что ты использовал во входящем фильтре, и отвергает все остальные. (это на вкладке BGP, а не на вкладке BGP Actions).

Большое спасибо, всё отлично работает. Вчера после ваших рекомендаций всё сработало, но я просто неправильно проверял. Мне показалось, что приходит слишком много префиксов, но на самом деле они просто идут от родительского оператора.

Причина того, что вы наблюдаете такое поведение, вполне очевидна, если на минуту задуматься, что происходит. ISP1 получает объявление одного префикса /22. ISP2 получает объявление четырёх префиксов /24. Первое правило выбора маршрута — выбрать самое конкретное совпадение (самый длинный подходящий префикс). То есть для любого IP-адреса из вашего блока в глобальной таблице BGP будут 2 подходящих маршрута — /22 через ISP1 и /24 через ISP2. Ни один метод трафик-инжиниринга или AS-prepend не помогут, потому что они даже не вступают в игру. Метрики — это всего лишь способ решать ничьи.

Я бы рекомендовал объявлять /22 в оба ISP и просто добавить несколько AS-prepend для ISP2, либо, если они поддерживают сообщества (communities), которые заставляют их сеть добавлять ваш префикс при объявлении его другим соседям, это тоже стоит рассмотреть (особенно если ISP2 напрямую соединён с ISP1). Что касается исходящего трафика, вы можете легко настроить предпочтение любого ISP с помощью local_preference. К сожалению, для этого потребуется более тонкая настройка, чем просто понизить local_pref для ISP2, иначе почти весь трафик пойдёт через ISP1 из-за того, что список префиксов для обоих провайдеров будет примерно одинаковым.

Если у вас два граничных роутера, то небольшое преимущество даст то, что один из методов разрешения ничьих BGP — отдать предпочтение eBGP-префиксам перед iBGP (два роутера используют iBGP для обмена маршрутами). Это происходит позже, чем учитывается AS-PATH, так что для многих префиксов AS-PATH будет одинаковой длины. Трафик, направленный через роутер1 как дефолтный шлюз, пойдёт через ISP1, а через R2 — через ISP2 для тех же назначений. Явно более хорошее направление всегда будет одинаковым.

Если вы сможете хорошо проанализировать исходящий трафик и узнать, какой удалённый ASN получает сколько трафика, то сможете менять local_pref в зависимости от ASN назначения и добиться какого-то баланса. В целом же, считаю, что балансировка асимметричных линков у разных провайдеров — очень сложная задача, и лучше, если у вас будут линии одинаковой пропускной способности.