[Владимир320]

В 17.05.2022 в 06:34, zhenya` сказал:

Выкрутите cost

Я могу это сделать на весь интерфейс, а как мне придать преоритетности некоторым маршрутам с другого интерфейса? Схема именно такая, как указал 

[YuryD]

В 17.05.2022 в 09:35, Владимир320 сказал:

Я могу это сделать на весь интерфейс, а как мне придать преоритетности некоторым маршрутам с другого интерфейса? Схема именно такая, как указал 

 В pvst у меня  это не получилось, тем более что stp про маршутизатизацию l3 и знать не умеет, играйтесь bpdu-параметрами.... Для pvst - можно играться вланами, кто к кольце, а кто и нет, не более....

[sol]

В 16.05.2022 в 14:19, Владимир320 сказал:

Есть возможность в ospf сделать так, чтобы некоторые маршруты, прилетающие из link2 на R2 были приорbтетней чем из link1?

Общий ответ: Нет. Причина в том, что OSPF не опускается в данном конкретном линке до отдельных префиксов. Это протокол маршрутизации "по состоянию канала".

Частный ответ: Многие платформы видя нужду в подобных схемах сделали "грязные трюки" того или иного рода для подобных задач. В циске можно повесить ACL на процесс OSPF (и получить полный отвал при падении одного из линков), в квагге можно повесить ACL прямо на одного из пиров.

 

Но, опущенный вопрос про BGP следует начать поднимать.

 

[Владимир320]

В 17.05.2022 в 19:36, sol сказал:

Общий ответ: Нет. Причина в том, что OSPF не опускается в данном конкретном линке до отдельных префиксов. Это протокол маршрутизации "по состоянию канала".

Частный ответ: Многие платформы видя нужду в подобных схемах сделали "грязные трюки" того или иного рода для подобных задач. В циске можно повесить ACL на процесс OSPF (и получить полный отвал при падении одного из линков), в квагге можно повесить ACL прямо на одного из пиров.

 

Но, опущенный вопрос про BGP следует начать поднимать.

 

на бгп и буду переходить

Изменено 19 мая, 2022 пользователем Владимир320

[Владимир320]

Ещё момент с фильтрацией маршрутов между зонами.

 

Схема:

 

quaqa(zone0)<-->(zone0)mikrotik(zone1)<-->(zone1)quagga

 

Мне нужно, что маршруты из одной зоны не попадали в другую зону между quagga.

фильтрация на микроте не работает:

add action=discard chain=ospf-out prefix=10.135.0.0/16
add action=discard chain=ospf-out prefix=172.16.0.0/16

 

Также пытался делать фильтр на самих quagga(в zone1):

area 0.0.0.1 filter-list prefix filter-list in

 

ip prefix-list filter-list seq 5 deny 10.135.0.0/16 ge 24

 

и ничего не фильтруется, хелп

Изменено 19 мая, 2022 пользователем Владимир320

[sol]

В 19.05.2022 в 15:17, Владимир320 сказал:

Мне нужно, что маршруты из одной зоны не попадали в другую зону между quagga.

А для чего это надо?

Сам вопрос представляет собой оксюморон. Мы связываем разделы сети протоколом динамической маршрутизации, специально предназначенным для того, чтобы распространять маршруты и при этом не хотим, чтобы маршруты распространялись.

 

[rz3dwy]

В 19.05.2022 в 15:17, Владимир320 сказал:

 

 

ip prefix-list filter-list seq 5 deny 10.135.0.0/16 ge 24

 

А почему deny? Вам же надо, чтобы эти адреса все-таки попали в префикс лист, поэтому нужно permit

[Владимир320]

В 19.05.2022 в 18:05, rz3dwy сказал:

А почему deny? Вам же надо, чтобы эти адреса все-таки попали в префикс лист, поэтому нужно permit

Эти адреса живут в 0 зоне, мне не надо чтобы они прилетели в зону 1. Всё обо всех должен знать така микрот 

[sol]

Понимаете, в OSPF зоны, они _не для того_... Они делят единую AS на своего рода административные разделы. Они не предназначены для фильтрации маршрутов теми средствами, которыми хотите это сделать вы. Вообще OSPF это не про фильтрацию маршрутов.

 

В вашем случае нужен BGP или посадите "зону 1" в отдельный от "зоны 0" VRF.

 

PS Меня не покидает чувство того, что мутится что-то странное и противоестественное. Не осветите всю задачу целиком?

 

 

[Владимир320]

В 19.05.2022 в 20:09, sol сказал:

Понимаете, в OSPF зоны, они _не для того_... Они делят единую AS на своего рода административные разделы. Они не предназначены для фильтрации маршрутов теми средствами, которыми хотите это сделать вы. Вообще OSPF это не про фильтрацию маршрутов.

 

В вашем случае нужен BGP или посадите "зону 1" в отдельный от "зоны 0" VRF.

 

PS Меня не покидает чувство того, что мутится что-то странное и противоестественное. Не осветите всю задачу целиком?

 

 

Про bgp тоже мысль, что нужно его использовать. Есть 5 серверов(клиентских), которые тремя линками подключенны к микроту. Была мысль сделать несколько зон и нужно чтобы сетки серверов не разлетались между серверами. Тут согласен, что напрашивается, бесспорно bgp, но если сделать это с помощью ospf, то я же могу фильтровать lsa3 на микроте, который abr. Тут заметил, что каким-то маршруты на микроте висят as external, хотя должны быть summery, что могло повлиять на это?

Изменено 20 мая, 2022 пользователем Владимир320

[sol]

В 20.05.2022 в 08:37, Владимир320 сказал:

Есть 5 серверов(клиентских), которые тремя линками подключенны к микроту. Была мысль сделать несколько зон и нужно чтобы сетки серверов не разлетались между серверами.

Ничего не понятно. Подробнее и с картинкой.

[alibek]

В 20.05.2022 в 08:37, Владимир320 сказал:

нужно чтобы сетки серверов не разлетались между серверами

Причем тут зоны?

Тогда нужно делать несколько инстансов OSPF, если железка такое умеет.

[Владимир320]

вот схема

линков между srv и микротом 2 местами 3, каждый серв сидит в разной зоне.

на серверах я через квагу делаю редистрибьют статичных роутов, их примерно 50 штук на каждом серве и мне хотелось бы фильтровать маршруты между серверами

Условно чтобы маршрут 10.10.10.0/24 c srv1 не прилетел на srv3, а микрот чтобы знал обо всех маршрутах со всех серверов

 

На микроте все сети type as external почему-то, по этому я не могу повесить фильтры, точнее фильтры есть, но не отрабатывают.

Изменено 20 мая, 2022 пользователем Владимир320

[Владимир320]

В 20.05.2022 в 11:16, alibek сказал:

Причем тут зоны?

Тогда нужно делать несколько инстансов OSPF, если железка такое умеет.

обязательно инстансы плодить? мне казалось фильтровать lsa3 - это обычная практика

[alibek]

Фильтры есть далеко не везде.

[Владимир320]

Вместо srv + quagga поставил микротик для теста и фильтрация отрабатывает. Сделал запрет распределения в другие зоны на микроте abr. А отработал фильтр, потому что сеть была на abr как network summery.

Получается косяк с quagga, так как она отдаёт сетки, как внешние маршруты sla5. Как с этим бороться, кроме как перейти на bgp? 

[Владимир320]

В продолжении темы quagga. Казалось бы случай крайне обычный, но почему-то не работает. Мне нужно с бордера пинговать loopback centos 7.

Когда прямой и обратный маршруты поверху, то все норм, а вот когда я на узле nat делаю маршрут до loopback по низу, пинг от бордера до loopback сразу пропадает.

Поставил вместо centos микрот и все работает и поверху и понизу, а вот с centos-сом засада.

Форвардинг между интерфейсами включен и все транзитное от centos до клиентов бегает (net.ipv4.ip_forward = 1).

В общем нужно, чтобы icmp request от бордера до centos прилетал через 10.5.5.2, а icmp reply улетал через 10.1.1.2 или на оборот, чтоб просто были разные интерфейсы.

Нужно что-то в sysctl крутить? help
 

 

Изменено 15 июня, 2022 пользователем Владимир320

[Владимир320]

сам спросил, сам ответил:

centos следит за тем откуда пришел пакет и отдает туда-же откуда он пришел.

 

Strict filtering means that when a packet arrives on the system, the kernel takes the source IP of the packet and makes a lookup of its routing table to see if the interface the packet arrived on is the same interface the kernel would use to send a packet to that IP. If the interfaces are the same then the packet has passed the strict filtering test and it is processed normally. If the interfaces are not the same then the packet is discarded without any further processing and in RHEL 7+, the IPReversePathFilter counter is incremented.

 

отрубил данную тему

net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.ens3f0.rp_filter = 0
net.ipv4.conf.ens3f1.rp_filter = 0
net.ipv4.conf.vlan3806.rp_filter = 0
net.ipv4.conf.vlan3807.rp_filter = 0

 

и все заработало

[pfexec]

  

В 28.07.2021 в 23:34, Владимир320 сказал:

Доброй ночи. Нужен совет.

Кольцо из цисок 6500(R1-4)

R5-9 фортигейты.

На R1 в сторону R5 прописан статичный дефолтный роут и default information originate.

R7-9 подключаются к R6 по vpn ну и по верх ospf как на карте, также R7-9 получают дефолтный роут по ospf.

Момент такой, что когда дергаются линки в кольце, то отваливаются R7-9, ну и потом поднимаются, когда ospf перестроится.

Мне нужно, чтобы R7-9 не реагировали на падения линков в кольце.

 

Как мне лучше сделать?

 

Сделать больше зон? Так как я понимаю, что дерганье линков отражается только на маршрутизаторы в одной зоне...

К примеру линк между R1 R5 делаю зона 2, линк между R1 R6 меняю на зону 1, а кольцо оставляю в зоне 0

 

ничо вы с этим не сделаете, у вас в ареи 0 кольцо из 4 устройств, в такой топологии ясен красен будут перерыв трафика когда вы ломаете линк. так что угомонитесь и смиритесь. Ж)

Изменено 30 июня, 2022 пользователем pfexec

[Владимир320]

В 30.06.2022 в 12:31, pfexec сказал:

  

 

ничо вы с этим не сделаете, у вас в ареи 0 кольцо из 4 устройств, в такой топологии ясен красен будут перерыв трафика когда вы ломаете линк. так что угомонитесь и смиритесь. Ж)

 

проблема была с включенным stp. При каждом линк down up стп тоже начинал думать и блоировать ospf. Вылечил все отключение stp