Перейти к содержимому
Калькуляторы

OSPF Juniper MX80 Microtik CCR1036(PPPoE авторизация)

Хотим реализовать схему, авторизации на Mikrotik. Роут получать от MX по OSPF дефолт.

 

Нужны советы как правильней собрать. Микротиков будет порядка 8-10 штук разбросанных по всей сети, в некоторых местах проходим чужой MPLS и L2 каналы. 

 

 

ospf {
    export dg;
    area 0.0.0.0 {
        interface ge-1/1/1.3800;
        interface ge-1/1/2.3800;
        interface xe-0/0/0.3800;
        interface lo0.3800;
        interface xe-0/0/0.999;
    }
}
policy-statement dg {
    term dg {
        from protocol static;
        then accept;
    }
}


 

/routing ospf interface
add cost=20 interface=eth2.3800 network-type=broadcast
add interface=eth1.3800 network-type=broadcast
add interface=loopback network-type=broadcast
/routing ospf network
add area=backbone network=172.16.254.0/24
add area=backbone network=172.16.255.2/32
add area=backbone network=x.x.42.0/24

 

i16^cimgpsh_orig.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем вопрос? Микротики в отдельную область и фперед (в смысле каждый в отдельную)

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, VolanD666 сказал:

А в чем вопрос? Микротики в отдельную область и фперед (в смысле каждый в отдельную)

Ну мы это уже поняли, как отдать с мх чисто дефолт, и получать с микротик маршуты. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если так делать, то на каждый микротик следует пробросить отдельную зону OSPF, при этом можно, иногда, ловить некоторые странности, например возврат всех маршрутов, которые передает микротик, обратно на микротик=)

 

Вы не написали что у вас там со скоростями и как планируете подключать оборудование к MX, но самое простое это поставить отдельный микротик, в который и подключать все остальные микротики. А связь с центром сделать через несколько гигабитных патчкордов или 10G каналы. Мы такие схемы используем с различным "операторским" оборудованием. При этом связь не через OSPF, а через обычную статику. На микротике прописан дефолт на него, а на "операторском" маршрут на подсети, раздаваемые абонентам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Saab95 сказал:

Если так делать, то на каждый микротик следует пробросить отдельную зону OSPF, при этом можно, иногда, ловить некоторые странности, например возврат всех маршрутов, которые передает микротик, обратно на микротик=)

 

Вы не написали что у вас там со скоростями и как планируете подключать оборудование к MX, но самое простое это поставить отдельный микротик, в который и подключать все остальные микротики. А связь с центром сделать через несколько гигабитных патчкордов или 10G каналы. Мы такие схемы используем с различным "операторским" оборудованием. При этом связь не через OSPF, а через обычную статику. На микротике прописан дефолт на него, а на "операторском" маршрут на подсети, раздаваемые абонентам.

Про отдельные зоны это понятно. 

1. Общий трафик порядка 2-2.5 

2. Подключать либо напрямую к МХ либо через EX4550 линки 1g 

3. Через обычную статику нужно включать proxy-arp, а это большая дыра(нужно отдать обратный маршут для клиентов с реальным IP) Вариант прописывать руками статику не очень подходит, хотелось бы резервирование.  

 

МХ будет нат для серых IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я же писал - самый простой вариант это установить микротик перед вашим железом, например CCR1016 с оптическими портами - туда сразу все и подключаете. Все будет отлично работать. Годами отлаженная схема, позволяет избежать глюков с пропуском трафика или маршрутной информации на всяких дорогих железках, на которых отловить проблему бывает либо сложно, либо ее перенастройка или перезапуск прерывают услугу у большого количества абонентов.

 

Другой вариант, опять же работа по статике на серых адресах, а OSPF включить только для анонса белых. Но это какая-то промежуточная схема, тоже не идеал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, Saab95 сказал:

Я же писал - самый простой вариант это установить микротик перед вашим железом, например CCR1016 с оптическими портами - туда сразу все и подключаете. Все будет отлично работать. Годами отлаженная схема, позволяет избежать глюков с пропуском трафика или маршрутной информации на всяких дорогих железках, на которых отловить проблему бывает либо сложно, либо ее перенастройка или перезапуск прерывают услугу у большого количества абонентов.

 

Другой вариант, опять же работа по статике на серых адресах, а OSPF включить только для анонса белых. Но это какая-то промежуточная схема, тоже не идеал.

В хозяйстве есть EX4550 и MX80 оптических портов 10g и 1g МНОГО. 

 

З.Ы. Сперва соберется звезда из OSPF, дальше уже будет вся магистральная сеть, которая L2 переводится на L3 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык, а в чем сейчас то проблема? Вы не знаете как джуне дефолт отдать или что? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pingz 

Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, vvertexx сказал:

pingz 

Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA?

Дык NSSA и надо, чтобы ничего не фильтровать. Будет прилетать только дефолт в зону и все. А клиентские засуммарить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, VolanD666 сказал:

Дык, а в чем сейчас то проблема? Вы не знаете как джуне дефолт отдать или что? :)

Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 

5 минут назад, vvertexx сказал:

pingz 

Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA?

Я знаю, что на МХ можно отфильтровать все маршуты кроме дефолтного, только не знаю как. 

 

Читал про зоны NSSA то же вариант вроде подходит, только не разобрался как это собрать. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, pingz сказал:

Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 

Я знаю, что на МХ можно отфильтровать все маршуты кроме дефолтного, только не знаю как. 

 

Читал про зоны NSSA то же вариант вроде подходит, только не разобрался как это собрать. 

Дык может разобраться как работает NSSA ? :) Тогда клиентские подсети суммируете и отдаете на джун. Со стороны джуна только дефолт прилетает на микрот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надо больше микротиков ©

и использовать статическую маршрутизацию, ospf - устаревшая технология

 

2 часа назад, pingz сказал:

    term dg {         from protocol static;         then accept;

вот тут можно обрезать маршруты, если что.

from {
        protocol static;
        route-filter 0.0.0.0/0 exact;
    }

    then accept;
}

но с NSSA будет проще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, pingz сказал:

Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32

Даже от 30k маршрутов ему ничего не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, Saab95 сказал:

Даже от 30k маршрутов ему ничего не будет.

А если он еще с терминирует 800-1000 PPPoE сессий? И шейперы до 100 мб? 

500-800 мб\с  100-150к пакетов. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, vvertexx сказал:

Надо больше микротиков ©

и использовать статическую маршрутизацию, ospf - устаревшая технология

 

вот тут можно обрезать маршруты, если что.

from {
        protocol static;
        route-filter 0.0.0.0/0 exact;
    }

    then accept;
}

но с NSSA будет проще

Ребят, не позорьтесь. OSPF -- это link-state, они НЕ обмениваются префиксами, вы не отфильтруете так ничего. Можно только отфильтровать то, что попадает непосредственно в PFE, в RIB у вас всё равно будут маршруты.

 

Сделайте разные area, там можно lsa3 отфильтровать, но это странный кейс, лучше использовать встроенный механизм OSPF, как уже писали.

 

А вообще весь дизайн такой себе, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

buckethead 

хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

перейдите на BGP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

была когда-то похожая схемка 3 штуки ССR1036, купили ASR1002 и забыли все к чертам

OSPF зло,

Микротик ССR1036  в среднем нормально держит не более 800 PPPoE сессий, больше уже скорость падает, железка не для таких нагрузок, утечки памяти еще

Микротик CCR1036 не любит жару, вы их в дома собрались ставить?

Что мешает поднять PPPoE на MX80 и пробросить вланы, даже CCR1036 не нужны для этого

Так что делайте выводы

 

 

Изменено пользователем alexaaa

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я самоучка, как и большая часть местных читателей. Джун около года ковыряю. 

 

Немного больше ясности. Сейчас 10+ CCR1036 авторизуют(PPPoE) + шейпер+ нат+ трафик флоу.

На одном от 300-800(при 800 используется 2 микротика один авторизует в р-н это примерно 1.5к-2к километров от второго, который натит) абонентов общий трафик больше 2GB.

Чтобы отдавать клиентам реальные IP использую proxy-arp(да знаю так себе костыль) 

Проблемы с натом на одном CCR1036 1 IP, не нашёл более адекватное решение, чтобы потом можно было адекватно ответить на вопросы МВД(Изначально схему собирал не я). 

По сабжу для начала, хочу избавится от proxy-arp.

Поднять NAT на MX да конфиг выходит не красивый. Суть в том, что руками расписано по 16 серых в 1 белую (не нужно разводить грязь коллектор выйдет дороже). 

В данный момент испытываем трудности, да всегда можно купить еще один CCR закрыть вопрос на 1-2 месяца. 

 

Что хочу получить:

Нат на MX, избавится от proxy-arp, не собирать отдельный коллектор под MX(c микротика шлется 1 строка какой серый на какой ip сколько пакетов, с МХ пишется какой серый в какой белый на какой ip сколько отправлено пакетов, столько будет строк), не отдавать маршуты от микротика к микротику, о всех маршутах будет знать только MX, микротикам нужен только дефолт.

 

В дальнейшем хотелось бы избавится от больших L2 сегментов в магистрали, собрать резервирование есть р-н. "ближайшие" 50-200 км от точки СОРМ. 

 

Перенести авторизацию ближе к клиенту.

 alexaaa 

Нет есть отдельное помещение стойка, батарей, кондёр. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

show protocols
ospf {
    export ospf-default;
    area 0.0.0.0 {
        interface xe-0/0/0.3800;
        interface lo0.3800;
        interface xe-0/0/0.999;
    }
    area 0.0.0.1 {
        interface ge-1/1/1.3800 {
            interface-type p2p;
        }
    }
    area 0.0.0.2 {
        interface ge-1/1/2.3800 {
            interface-type p2p;
        }
    }
}
policy-statement ospf-default {
    term default {
        from {
            route-filter 0.0.0.0/0 exact;
        }
        then accept;
    }
    then reject;
}

Маршрут до 172.16.0.1 с первого микротика на второй можно вообще не передавать? 

Или это только через nssa? 

 

ospf1.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, pingz сказал:

А если он еще с терминирует 800-1000 PPPoE сессий? И шейперы до 100 мб? 

500-800 мб\с  100-150к пакетов. 

Все равно маршруты тут не влияют на производительность.

Если настроить просто OSPF по всем правилам, то он будет, например, выдавать в сеть connected маршруты, а это все абоненты PPPoE.

Если же вы заведете в Networks OSPF только IP, по которым у вас микротик подключен выше, и белую подсеть, отключив анонс connected маршрутов, то все выданные белые адреса появятся в OSPF маршрутах. Но тут любой абонент может установить соседство - поэтому надо вручную создать интерфейс для вышестоящего устройства, и создать правило для all, что все пассивные, кому раздаются белые адреса. Либо установить пароль на OSPF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, vvertexx сказал:

buckethead 

хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется.

Как вы отфильтруете всё остальное, то есть ospf-related префиксы, кроме дефолта? Вы вообще читаете нить?

 

16 часов назад, Telesis сказал:

перейдите на BGP

Самая верная мысль за всё время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да плин, схема простейшая, решается зонами ОСПФ, ваще не вижу никаких проблем. Главное чтобы клиентские подсети можно было засуммировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, VolanD666 сказал:

Да плин, схема простейшая, решается зонами ОСПФ, ваще не вижу никаких проблем. Главное чтобы клиентские подсети можно было засуммировать.

Покажи пример

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.