pingz Опубликовано 20 декабря, 2017 · Жалоба Хотим реализовать схему, авторизации на Mikrotik. Роут получать от MX по OSPF дефолт. Нужны советы как правильней собрать. Микротиков будет порядка 8-10 штук разбросанных по всей сети, в некоторых местах проходим чужой MPLS и L2 каналы. ospf { export dg; area 0.0.0.0 { interface ge-1/1/1.3800; interface ge-1/1/2.3800; interface xe-0/0/0.3800; interface lo0.3800; interface xe-0/0/0.999; } } policy-statement dg { term dg { from protocol static; then accept; } } /routing ospf interface add cost=20 interface=eth2.3800 network-type=broadcast add interface=eth1.3800 network-type=broadcast add interface=loopback network-type=broadcast /routing ospf network add area=backbone network=172.16.254.0/24 add area=backbone network=172.16.255.2/32 add area=backbone network=x.x.42.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 декабря, 2017 (изменено) · Жалоба А в чем вопрос? Микротики в отдельную область и фперед (в смысле каждый в отдельную) Изменено 20 декабря, 2017 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 20 декабря, 2017 · Жалоба 34 минуты назад, VolanD666 сказал: А в чем вопрос? Микротики в отдельную область и фперед (в смысле каждый в отдельную) Ну мы это уже поняли, как отдать с мх чисто дефолт, и получать с микротик маршуты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 декабря, 2017 · Жалоба Если так делать, то на каждый микротик следует пробросить отдельную зону OSPF, при этом можно, иногда, ловить некоторые странности, например возврат всех маршрутов, которые передает микротик, обратно на микротик=) Вы не написали что у вас там со скоростями и как планируете подключать оборудование к MX, но самое простое это поставить отдельный микротик, в который и подключать все остальные микротики. А связь с центром сделать через несколько гигабитных патчкордов или 10G каналы. Мы такие схемы используем с различным "операторским" оборудованием. При этом связь не через OSPF, а через обычную статику. На микротике прописан дефолт на него, а на "операторском" маршрут на подсети, раздаваемые абонентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 20 декабря, 2017 · Жалоба 1 минуту назад, Saab95 сказал: Если так делать, то на каждый микротик следует пробросить отдельную зону OSPF, при этом можно, иногда, ловить некоторые странности, например возврат всех маршрутов, которые передает микротик, обратно на микротик=) Вы не написали что у вас там со скоростями и как планируете подключать оборудование к MX, но самое простое это поставить отдельный микротик, в который и подключать все остальные микротики. А связь с центром сделать через несколько гигабитных патчкордов или 10G каналы. Мы такие схемы используем с различным "операторским" оборудованием. При этом связь не через OSPF, а через обычную статику. На микротике прописан дефолт на него, а на "операторском" маршрут на подсети, раздаваемые абонентам. Про отдельные зоны это понятно. 1. Общий трафик порядка 2-2.5 2. Подключать либо напрямую к МХ либо через EX4550 линки 1g 3. Через обычную статику нужно включать proxy-arp, а это большая дыра(нужно отдать обратный маршут для клиентов с реальным IP) Вариант прописывать руками статику не очень подходит, хотелось бы резервирование. МХ будет нат для серых IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 декабря, 2017 · Жалоба Я же писал - самый простой вариант это установить микротик перед вашим железом, например CCR1016 с оптическими портами - туда сразу все и подключаете. Все будет отлично работать. Годами отлаженная схема, позволяет избежать глюков с пропуском трафика или маршрутной информации на всяких дорогих железках, на которых отловить проблему бывает либо сложно, либо ее перенастройка или перезапуск прерывают услугу у большого количества абонентов. Другой вариант, опять же работа по статике на серых адресах, а OSPF включить только для анонса белых. Но это какая-то промежуточная схема, тоже не идеал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 20 декабря, 2017 · Жалоба 4 минуты назад, Saab95 сказал: Я же писал - самый простой вариант это установить микротик перед вашим железом, например CCR1016 с оптическими портами - туда сразу все и подключаете. Все будет отлично работать. Годами отлаженная схема, позволяет избежать глюков с пропуском трафика или маршрутной информации на всяких дорогих железках, на которых отловить проблему бывает либо сложно, либо ее перенастройка или перезапуск прерывают услугу у большого количества абонентов. Другой вариант, опять же работа по статике на серых адресах, а OSPF включить только для анонса белых. Но это какая-то промежуточная схема, тоже не идеал. В хозяйстве есть EX4550 и MX80 оптических портов 10g и 1g МНОГО. З.Ы. Сперва соберется звезда из OSPF, дальше уже будет вся магистральная сеть, которая L2 переводится на L3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 декабря, 2017 · Жалоба Дык, а в чем сейчас то проблема? Вы не знаете как джуне дефолт отдать или что? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 20 декабря, 2017 · Жалоба pingz Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 декабря, 2017 · Жалоба 2 минуты назад, vvertexx сказал: pingz Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA? Дык NSSA и надо, чтобы ничего не фильтровать. Будет прилетать только дефолт в зону и все. А клиентские засуммарить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 20 декабря, 2017 · Жалоба 6 минут назад, VolanD666 сказал: Дык, а в чем сейчас то проблема? Вы не знаете как джуне дефолт отдать или что? :) Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 5 минут назад, vvertexx сказал: pingz Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA? Я знаю, что на МХ можно отфильтровать все маршуты кроме дефолтного, только не знаю как. Читал про зоны NSSA то же вариант вроде подходит, только не разобрался как это собрать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 декабря, 2017 · Жалоба 2 минуты назад, pingz сказал: Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 Я знаю, что на МХ можно отфильтровать все маршуты кроме дефолтного, только не знаю как. Читал про зоны NSSA то же вариант вроде подходит, только не разобрался как это собрать. Дык может разобраться как работает NSSA ? :) Тогда клиентские подсети суммируете и отдаете на джун. Со стороны джуна только дефолт прилетает на микрот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 20 декабря, 2017 · Жалоба Надо больше микротиков © и использовать статическую маршрутизацию, ospf - устаревшая технология 2 часа назад, pingz сказал: term dg { from protocol static; then accept; вот тут можно обрезать маршруты, если что. from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } но с NSSA будет проще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 декабря, 2017 · Жалоба 10 часов назад, pingz сказал: Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 Даже от 30k маршрутов ему ничего не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 21 декабря, 2017 · Жалоба 10 часов назад, Saab95 сказал: Даже от 30k маршрутов ему ничего не будет. А если он еще с терминирует 800-1000 PPPoE сессий? И шейперы до 100 мб? 500-800 мб\с 100-150к пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 21 декабря, 2017 · Жалоба 22 часа назад, vvertexx сказал: Надо больше микротиков © и использовать статическую маршрутизацию, ospf - устаревшая технология вот тут можно обрезать маршруты, если что. from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } но с NSSA будет проще Ребят, не позорьтесь. OSPF -- это link-state, они НЕ обмениваются префиксами, вы не отфильтруете так ничего. Можно только отфильтровать то, что попадает непосредственно в PFE, в RIB у вас всё равно будут маршруты. Сделайте разные area, там можно lsa3 отфильтровать, но это странный кейс, лучше использовать встроенный механизм OSPF, как уже писали. А вообще весь дизайн такой себе, конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 21 декабря, 2017 · Жалоба buckethead хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 21 декабря, 2017 · Жалоба перейдите на BGP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 21 декабря, 2017 (изменено) · Жалоба была когда-то похожая схемка 3 штуки ССR1036, купили ASR1002 и забыли все к чертам OSPF зло, Микротик ССR1036 в среднем нормально держит не более 800 PPPoE сессий, больше уже скорость падает, железка не для таких нагрузок, утечки памяти еще Микротик CCR1036 не любит жару, вы их в дома собрались ставить? Что мешает поднять PPPoE на MX80 и пробросить вланы, даже CCR1036 не нужны для этого Так что делайте выводы Изменено 21 декабря, 2017 пользователем alexaaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 21 декабря, 2017 · Жалоба Я самоучка, как и большая часть местных читателей. Джун около года ковыряю. Немного больше ясности. Сейчас 10+ CCR1036 авторизуют(PPPoE) + шейпер+ нат+ трафик флоу. На одном от 300-800(при 800 используется 2 микротика один авторизует в р-н это примерно 1.5к-2к километров от второго, который натит) абонентов общий трафик больше 2GB. Чтобы отдавать клиентам реальные IP использую proxy-arp(да знаю так себе костыль) Проблемы с натом на одном CCR1036 1 IP, не нашёл более адекватное решение, чтобы потом можно было адекватно ответить на вопросы МВД(Изначально схему собирал не я). По сабжу для начала, хочу избавится от proxy-arp. Поднять NAT на MX да конфиг выходит не красивый. Суть в том, что руками расписано по 16 серых в 1 белую (не нужно разводить грязь коллектор выйдет дороже). В данный момент испытываем трудности, да всегда можно купить еще один CCR закрыть вопрос на 1-2 месяца. Что хочу получить: Нат на MX, избавится от proxy-arp, не собирать отдельный коллектор под MX(c микротика шлется 1 строка какой серый на какой ip сколько пакетов, с МХ пишется какой серый в какой белый на какой ip сколько отправлено пакетов, столько будет строк), не отдавать маршуты от микротика к микротику, о всех маршутах будет знать только MX, микротикам нужен только дефолт. В дальнейшем хотелось бы избавится от больших L2 сегментов в магистрали, собрать резервирование есть р-н. "ближайшие" 50-200 км от точки СОРМ. Перенести авторизацию ближе к клиенту. alexaaa Нет есть отдельное помещение стойка, батарей, кондёр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 21 декабря, 2017 · Жалоба show protocols ospf { export ospf-default; area 0.0.0.0 { interface xe-0/0/0.3800; interface lo0.3800; interface xe-0/0/0.999; } area 0.0.0.1 { interface ge-1/1/1.3800 { interface-type p2p; } } area 0.0.0.2 { interface ge-1/1/2.3800 { interface-type p2p; } } } policy-statement ospf-default { term default { from { route-filter 0.0.0.0/0 exact; } then accept; } then reject; } Маршрут до 172.16.0.1 с первого микротика на второй можно вообще не передавать? Или это только через nssa? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 декабря, 2017 · Жалоба 8 часов назад, pingz сказал: А если он еще с терминирует 800-1000 PPPoE сессий? И шейперы до 100 мб? 500-800 мб\с 100-150к пакетов. Все равно маршруты тут не влияют на производительность. Если настроить просто OSPF по всем правилам, то он будет, например, выдавать в сеть connected маршруты, а это все абоненты PPPoE. Если же вы заведете в Networks OSPF только IP, по которым у вас микротик подключен выше, и белую подсеть, отключив анонс connected маршрутов, то все выданные белые адреса появятся в OSPF маршрутах. Но тут любой абонент может установить соседство - поэтому надо вручную создать интерфейс для вышестоящего устройства, и создать правило для all, что все пассивные, кому раздаются белые адреса. Либо установить пароль на OSPF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 21 декабря, 2017 · Жалоба 16 часов назад, vvertexx сказал: buckethead хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется. Как вы отфильтруете всё остальное, то есть ospf-related префиксы, кроме дефолта? Вы вообще читаете нить? 16 часов назад, Telesis сказал: перейдите на BGP Самая верная мысль за всё время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 декабря, 2017 · Жалоба Да плин, схема простейшая, решается зонами ОСПФ, ваще не вижу никаких проблем. Главное чтобы клиентские подсети можно было засуммировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 22 декабря, 2017 · Жалоба 1 минуту назад, VolanD666 сказал: Да плин, схема простейшая, решается зонами ОСПФ, ваще не вижу никаких проблем. Главное чтобы клиентские подсети можно было засуммировать. Покажи пример Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...