Jump to content

OSPF Juniper MX80 Microtik CCR1036(PPPoE авторизация)

Хотим реализовать схему, авторизации на Mikrotik. Роут получать от MX по OSPF дефолт.

 

Нужны советы как правильней собрать. Микротиков будет порядка 8-10 штук разбросанных по всей сети, в некоторых местах проходим чужой MPLS и L2 каналы. 

 

 

ospf {
    export dg;
    area 0.0.0.0 {
        interface ge-1/1/1.3800;
        interface ge-1/1/2.3800;
        interface xe-0/0/0.3800;
        interface lo0.3800;
        interface xe-0/0/0.999;
    }
}
policy-statement dg {
    term dg {
        from protocol static;
        then accept;
    }
}


 

/routing ospf interface
add cost=20 interface=eth2.3800 network-type=broadcast
add interface=eth1.3800 network-type=broadcast
add interface=loopback network-type=broadcast
/routing ospf network
add area=backbone network=172.16.254.0/24
add area=backbone network=172.16.255.2/32
add area=backbone network=x.x.42.0/24

 

i16^cimgpsh_orig.png

Share this post


Link to post
Share on other sites

34 минуты назад, VolanD666 сказал:

А в чем вопрос? Микротики в отдельную область и фперед (в смысле каждый в отдельную)

Ну мы это уже поняли, как отдать с мх чисто дефолт, и получать с микротик маршуты. 

Share this post


Link to post
Share on other sites

Если так делать, то на каждый микротик следует пробросить отдельную зону OSPF, при этом можно, иногда, ловить некоторые странности, например возврат всех маршрутов, которые передает микротик, обратно на микротик=)

 

Вы не написали что у вас там со скоростями и как планируете подключать оборудование к MX, но самое простое это поставить отдельный микротик, в который и подключать все остальные микротики. А связь с центром сделать через несколько гигабитных патчкордов или 10G каналы. Мы такие схемы используем с различным "операторским" оборудованием. При этом связь не через OSPF, а через обычную статику. На микротике прописан дефолт на него, а на "операторском" маршрут на подсети, раздаваемые абонентам.

Share this post


Link to post
Share on other sites

1 минуту назад, Saab95 сказал:

Если так делать, то на каждый микротик следует пробросить отдельную зону OSPF, при этом можно, иногда, ловить некоторые странности, например возврат всех маршрутов, которые передает микротик, обратно на микротик=)

 

Вы не написали что у вас там со скоростями и как планируете подключать оборудование к MX, но самое простое это поставить отдельный микротик, в который и подключать все остальные микротики. А связь с центром сделать через несколько гигабитных патчкордов или 10G каналы. Мы такие схемы используем с различным "операторским" оборудованием. При этом связь не через OSPF, а через обычную статику. На микротике прописан дефолт на него, а на "операторском" маршрут на подсети, раздаваемые абонентам.

Про отдельные зоны это понятно. 

1. Общий трафик порядка 2-2.5 

2. Подключать либо напрямую к МХ либо через EX4550 линки 1g 

3. Через обычную статику нужно включать proxy-arp, а это большая дыра(нужно отдать обратный маршут для клиентов с реальным IP) Вариант прописывать руками статику не очень подходит, хотелось бы резервирование.  

 

МХ будет нат для серых IP.

Share this post


Link to post
Share on other sites

Я же писал - самый простой вариант это установить микротик перед вашим железом, например CCR1016 с оптическими портами - туда сразу все и подключаете. Все будет отлично работать. Годами отлаженная схема, позволяет избежать глюков с пропуском трафика или маршрутной информации на всяких дорогих железках, на которых отловить проблему бывает либо сложно, либо ее перенастройка или перезапуск прерывают услугу у большого количества абонентов.

 

Другой вариант, опять же работа по статике на серых адресах, а OSPF включить только для анонса белых. Но это какая-то промежуточная схема, тоже не идеал.

Share this post


Link to post
Share on other sites

4 минуты назад, Saab95 сказал:

Я же писал - самый простой вариант это установить микротик перед вашим железом, например CCR1016 с оптическими портами - туда сразу все и подключаете. Все будет отлично работать. Годами отлаженная схема, позволяет избежать глюков с пропуском трафика или маршрутной информации на всяких дорогих железках, на которых отловить проблему бывает либо сложно, либо ее перенастройка или перезапуск прерывают услугу у большого количества абонентов.

 

Другой вариант, опять же работа по статике на серых адресах, а OSPF включить только для анонса белых. Но это какая-то промежуточная схема, тоже не идеал.

В хозяйстве есть EX4550 и MX80 оптических портов 10g и 1g МНОГО. 

 

З.Ы. Сперва соберется звезда из OSPF, дальше уже будет вся магистральная сеть, которая L2 переводится на L3 

Share this post


Link to post
Share on other sites

pingz 

Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA?

Share this post


Link to post
Share on other sites

2 минуты назад, vvertexx сказал:

pingz 

Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA?

Дык NSSA и надо, чтобы ничего не фильтровать. Будет прилетать только дефолт в зону и все. А клиентские засуммарить.

Share this post


Link to post
Share on other sites

6 минут назад, VolanD666 сказал:

Дык, а в чем сейчас то проблема? Вы не знаете как джуне дефолт отдать или что? :)

Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 

5 минут назад, vvertexx сказал:

pingz 

Поставь задачу нормально. отфильтровать и отдать только default - это простейшее на mx, сам знаешь. Или хочешь тип зон NSSA?

Я знаю, что на МХ можно отфильтровать все маршуты кроме дефолтного, только не знаю как. 

 

Читал про зоны NSSA то же вариант вроде подходит, только не разобрался как это собрать. 

Share this post


Link to post
Share on other sites

2 минуты назад, pingz сказал:

Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32 

Я знаю, что на МХ можно отфильтровать все маршуты кроме дефолтного, только не знаю как. 

 

Читал про зоны NSSA то же вариант вроде подходит, только не разобрался как это собрать. 

Дык может разобраться как работает NSSA ? :) Тогда клиентские подсети суммируете и отдаете на джун. Со стороны джуна только дефолт прилетает на микрот.

Share this post


Link to post
Share on other sites

Надо больше микротиков ©

и использовать статическую маршрутизацию, ospf - устаревшая технология

 

2 часа назад, pingz сказал:

    term dg {         from protocol static;         then accept;

вот тут можно обрезать маршруты, если что.

from {
        protocol static;
        route-filter 0.0.0.0/0 exact;
    }

    then accept;
}

но с NSSA будет проще

Share this post


Link to post
Share on other sites

10 часов назад, pingz сказал:

Дефолт я отдал всё работает, пугает отдать в CCR 3к маршутов от клиентов PPPoE с маской /32

Даже от 30k маршрутов ему ничего не будет.

Share this post


Link to post
Share on other sites

10 часов назад, Saab95 сказал:

Даже от 30k маршрутов ему ничего не будет.

А если он еще с терминирует 800-1000 PPPoE сессий? И шейперы до 100 мб? 

500-800 мб\с  100-150к пакетов. 

Share this post


Link to post
Share on other sites

22 часа назад, vvertexx сказал:

Надо больше микротиков ©

и использовать статическую маршрутизацию, ospf - устаревшая технология

 

вот тут можно обрезать маршруты, если что.

from {
        protocol static;
        route-filter 0.0.0.0/0 exact;
    }

    then accept;
}

но с NSSA будет проще

Ребят, не позорьтесь. OSPF -- это link-state, они НЕ обмениваются префиксами, вы не отфильтруете так ничего. Можно только отфильтровать то, что попадает непосредственно в PFE, в RIB у вас всё равно будут маршруты.

 

Сделайте разные area, там можно lsa3 отфильтровать, но это странный кейс, лучше использовать встроенный механизм OSPF, как уже писали.

 

А вообще весь дизайн такой себе, конечно.

Share this post


Link to post
Share on other sites

buckethead 

хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется.

Share this post


Link to post
Share on other sites

была когда-то похожая схемка 3 штуки ССR1036, купили ASR1002 и забыли все к чертам

OSPF зло,

Микротик ССR1036  в среднем нормально держит не более 800 PPPoE сессий, больше уже скорость падает, железка не для таких нагрузок, утечки памяти еще

Микротик CCR1036 не любит жару, вы их в дома собрались ставить?

Что мешает поднять PPPoE на MX80 и пробросить вланы, даже CCR1036 не нужны для этого

Так что делайте выводы

 

 

Edited by alexaaa

Share this post


Link to post
Share on other sites

Я самоучка, как и большая часть местных читателей. Джун около года ковыряю. 

 

Немного больше ясности. Сейчас 10+ CCR1036 авторизуют(PPPoE) + шейпер+ нат+ трафик флоу.

На одном от 300-800(при 800 используется 2 микротика один авторизует в р-н это примерно 1.5к-2к километров от второго, который натит) абонентов общий трафик больше 2GB.

Чтобы отдавать клиентам реальные IP использую proxy-arp(да знаю так себе костыль) 

Проблемы с натом на одном CCR1036 1 IP, не нашёл более адекватное решение, чтобы потом можно было адекватно ответить на вопросы МВД(Изначально схему собирал не я). 

По сабжу для начала, хочу избавится от proxy-arp.

Поднять NAT на MX да конфиг выходит не красивый. Суть в том, что руками расписано по 16 серых в 1 белую (не нужно разводить грязь коллектор выйдет дороже). 

В данный момент испытываем трудности, да всегда можно купить еще один CCR закрыть вопрос на 1-2 месяца. 

 

Что хочу получить:

Нат на MX, избавится от proxy-arp, не собирать отдельный коллектор под MX(c микротика шлется 1 строка какой серый на какой ip сколько пакетов, с МХ пишется какой серый в какой белый на какой ip сколько отправлено пакетов, столько будет строк), не отдавать маршуты от микротика к микротику, о всех маршутах будет знать только MX, микротикам нужен только дефолт.

 

В дальнейшем хотелось бы избавится от больших L2 сегментов в магистрали, собрать резервирование есть р-н. "ближайшие" 50-200 км от точки СОРМ. 

 

Перенести авторизацию ближе к клиенту.

 alexaaa 

Нет есть отдельное помещение стойка, батарей, кондёр. 

 

Share this post


Link to post
Share on other sites

show protocols
ospf {
    export ospf-default;
    area 0.0.0.0 {
        interface xe-0/0/0.3800;
        interface lo0.3800;
        interface xe-0/0/0.999;
    }
    area 0.0.0.1 {
        interface ge-1/1/1.3800 {
            interface-type p2p;
        }
    }
    area 0.0.0.2 {
        interface ge-1/1/2.3800 {
            interface-type p2p;
        }
    }
}
policy-statement ospf-default {
    term default {
        from {
            route-filter 0.0.0.0/0 exact;
        }
        then accept;
    }
    then reject;
}

Маршрут до 172.16.0.1 с первого микротика на второй можно вообще не передавать? 

Или это только через nssa? 

 

ospf1.jpg

Share this post


Link to post
Share on other sites

8 часов назад, pingz сказал:

А если он еще с терминирует 800-1000 PPPoE сессий? И шейперы до 100 мб? 

500-800 мб\с  100-150к пакетов. 

Все равно маршруты тут не влияют на производительность.

Если настроить просто OSPF по всем правилам, то он будет, например, выдавать в сеть connected маршруты, а это все абоненты PPPoE.

Если же вы заведете в Networks OSPF только IP, по которым у вас микротик подключен выше, и белую подсеть, отключив анонс connected маршрутов, то все выданные белые адреса появятся в OSPF маршрутах. Но тут любой абонент может установить соседство - поэтому надо вручную создать интерфейс для вышестоящего устройства, и создать правило для all, что все пассивные, кому раздаются белые адреса. Либо установить пароль на OSPF.

Share this post


Link to post
Share on other sites

16 часов назад, vvertexx сказал:

buckethead 

хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется.

Как вы отфильтруете всё остальное, то есть ospf-related префиксы, кроме дефолта? Вы вообще читаете нить?

 

16 часов назад, Telesis сказал:

перейдите на BGP

Самая верная мысль за всё время.

Share this post


Link to post
Share on other sites

Да плин, схема простейшая, решается зонами ОСПФ, ваще не вижу никаких проблем. Главное чтобы клиентские подсети можно было засуммировать.

Share this post


Link to post
Share on other sites

1 минуту назад, VolanD666 сказал:

Да плин, схема простейшая, решается зонами ОСПФ, ваще не вижу никаких проблем. Главное чтобы клиентские подсети можно было засуммировать.

Покажи пример

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.