[HEDG]

summary-address 10.0.0.0 255.255.0.0

 

Будет анонситься как внешний по отношению к OSPF-у маршрут.

Пробовал играться с суммированием. Похоже Quagga не поддерживает команду "summary-address". Или я что-то не так сделал ?

# configure t
# router ospf
(config-router)#
  area                   OSPF area parameters
  auto-cost              Calculate OSPF interface cost according to bandwidth
  capability             Enable specific OSPF feature
  compatible             OSPF compatibility list
  default-information    Control distribution of default information
  default-metric         Set metric of redistributed routes
  distance               Define an administrative distance
  distribute-list        Filter networks in routing updates
  end                    End current mode and change to enable mode.
  exit                   Exit current mode and down to previous mode
  help                   Description of the interactive help system
  list                   Print command list
  log-adjacency-changes  Log changes in adjacency state
  max-metric             OSPF maximum / infinite-distance metric
  neighbor               Specify neighbor router
  network                Enable routing on an IP network
  no                     Negate a command or set its defaults
  ospf                   OSPF specific commands
  passive-interface      Suppress routing updates on an interface
  quit                   Exit current mode and down to previous mode
  redistribute           Redistribute information from another routing protocol
  refresh                Adjust refresh parameters
  router-id              router-id for the OSPF process
  show                   Show running system information
  timers                 Adjust routing timers
  write                  Write running configuration to memory, network, or terminal

Команды выполнялись на роутере

# sh run

Current configuration:
!
hostname XXX
password x
enable password x
log file /var/log/BGP/ospf.log
!
!
!
interface em0
!
interface lo0
!
interface net0
!
interface net1
!
router ospf
ospf router-id x.x.X.142
redistribute connected
network x.x.x.128/25 area 0.0.0.0
!
line vty
!
end

 

 

Аутентификацию внедрите.

OSPF поддерживает.

Спасибо! Буду разбираться.

[ghost]

summary-address 10.0.0.0 255.255.0.0 - команда с циски, поддерживает или нет оную квага незнаю.

еще возможно есть суммаризация в area.

[HEDG]

summary-address 10.0.0.0 255.255.0.0 - команда с циски, поддерживает или нет оную квага незнаю.

еще возможно есть суммаризация в area.

а можно немного подробнее?

 

[HEDG]

Еще вопросик по аутентификации.

В конфиге не шифруются ключи в MD5 (в конфиге ниже - xxx)

Current configuration:
!
hostname ONE
password 8 x
enable password 8 xx
log file /var/log/BGP/ospf.log
service password-encryption
!
interface lo0
!
interface net0
!
interface net1
description --==Uplink==--
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 xxx
!
interface net2
!
interface pflog0
!
interface plip0
!
interface vlan1
!
interface vlan3
!
router ospf
ospf router-id x.x.x.145
network x.x.x.0/24 area 0.0.0.0
area 0 authentication message-digest
!
line vty
!
end

 

Делаю, как указано в книге

#conf t
(config)#router ospf
(config-router)#area 0 authentication message-digest
(config-router)#exit
(config)#int net1
(config-if)#ip ospf message-digest-key 1 md5 xxx
(config-if)#^Z
#

В книге в результате этих манипуляций в конфиге сохраняется пароль, зашифрованный в md5.

Подскажите пожалуйста, что сделано не так? Или это "особенность" quagga?

Изменено 12 апреля, 2010 пользователем HEDG

[ghost]

summary-address 10.0.0.0 255.255.0.0 - команда с циски, поддерживает или нет оную квага незнаю.

еще возможно есть суммаризация в area.

а можно немного подробнее?

Команда, опять же, с циски

area 1 range 172.20.0.0 255.255.0.0

 

 

 

В книге в результате этих манипуляций в конфиге сохраняется пароль, зашифрованный в md5.

Подскажите пожалуйста, что сделано не так? Или это "особенность" quagga?

Вероятно этот вопрос правильнее задать разработчикам кваги ;)

По крайней мере корректным можно считать только их ответ.

[ingress]

тема для любителей в слух и выразительно почитать мануалы xD

[fedusia]

тема для любителей в слух и выразительно почитать мануалы xD

Я автора не оправдываю, все это есть в мануалах. Но иногда больше понятно, когда тебе человек ответит и развеит все твои сомнения. -)

[HEDG]

2ghost Спасибо! Посмотрю, разберусь.

тема для любителей в слух и выразительно почитать мануалы xD

Для человека, который уже давно это все знает, наверное это так..

В процессе изучения(внедрения) возникают некоторые вопросы, ответы на которые для новичка в ospf не так уж и очевидны.

Плюс иногда хочется совет со стороны, т.к. единственного решения как правило нет.

P.S. вспомните те времена, когда для Вас это было не так просто и понятно...

[HEDG]

Не хочется создавать новую тему, поэтому спрошу в этой...

 

Есть Зона 0 и 1 . И роутер , соединенный с обоими зонами.

В зону 1 нужно анонсировать часть анонсов, получаемых с зоны 0.

Каким образом можно зафильтровать анонсы из одной зоны OSPF в другую ?

 

 

[nnm]

Есть Зона 0 и 1 . И роутер , соединенный с обоими зонами.

В зону 1 нужно анонсировать часть анонсов, получаемых с зоны 0.

Каким образом можно зафильтровать анонсы из одной зоны OSPF в другую ?

А в каких LSA приходят маршруты? Роутер Cisco?

[ingress]

Не хочется создавать новую тему, поэтому спрошу в этой...

 

Есть Зона 0 и 1 . И роутер , соединенный с обоими зонами.

В зону 1 нужно анонсировать часть анонсов, получаемых с зоны 0.

Каким образом можно зафильтровать анонсы из одной зоны OSPF в другую ?

если бегают LSA3 (т.е. нигде не сделано redistribute, а втянуты сети командой network) то можно обычными фильтр листами(почитайте мануалы)

LSA5 не фильтруются, сам когда то заморачивался (

 

ещё можно два процесса под каждую зону и там при редистрибьюте роутмапой фильтр сделать.

[Ellion]

смотря что там за анонсы, может подойдут тупиковые области.

отключить выборы др, бдр можно командой на интерфейсе ip ospf network point-to-point, но особого смысла в этом нет.

Проще уж бы нарисовали топологию с адресами и сказали, что нужно

[HEDG]

Роутер FreeBSD 7.0 + quagga 0.99.15.

 

На роутерах используется redistribute connected.т.е распространяются LSA5

 

 

Упрощенная схема:

 

Роутеры 1,2,3 (входят в Area 0), используют redistribute connected. Распространяют анонсы серых подсетей.

 

Роутер BDR получает эти анонсы и отфильтровав их(чтоб не отдавать ничего лишнего), должен отдать в Area 10.

Также должен полученные анонсы из Area 10, перепроверить их (чтоб не пришло что-то левое) и отдать в Area 0.

 

Аналогично, другая сеть (чужая), отдает анонсы части своих сетей в Area 10 и получает мои анонсы.

Изменено 18 июня, 2010 пользователем HEDG

[Ellion]

Роутер BDR получает эти анонсы и отфильтровав их(чтоб не отдавать ничего лишнего), должен отдать в Area 10.

Вот тут поподробнее - что там может быть лишнее? Если подсеть, которая не directly connected к R1/2/3 - подойдет тупиковая, если не ошибаюсь, область (area 10); если она все-таки коннектед, можно не редистрибьютить, а явно объявить сети для анонсов.

Также должен полученные анонсы из Area 10, перепроверить их (чтоб не пришло что-то левое) и отдать в Area 0.

Также можно явно указать, что передавать на бэкбон, вместо директли коннектед.

Аналогично, другая сеть (чужая), отдает анонсы части своих сетей в Area 10 и получает мои анонсы.

NSSA? Или как 10 область получает чужие анонсы?

 

Резюмируя - один из вариантов (я не знаю, что там с сетями) - указывать явно что анонсировать; второй - покурить про типы областей и сконфигурировать нужный вариант. Можно, если там по одному роутеру на границах, ограничиться вообще статикой.

[HEDG]

Вот тут поподробнее - что там может быть лишнее? Если подсеть, которая не directly connected к R1/2/3 - подойдет тупиковая, если не ошибаюсь, область (area 10); если она все-таки коннектед, можно не редистрибьютить, а явно объявить сети для анонсов.

Прошу прощения. Не точно описал структуру сети. Роутер BDR является таже шлюзом для нескольких сетей с реальными ip (которые он и анонсирует в Area 0). Эти сети не должны быть доступны через Area 10. Поэтому и встал вопрос фильтрации.

 

Также можно явно указать, что передавать на бэкбон, вместо директли

коннектед.

Хотелось бы иметь возможность не дописывать постоянно что-то в настройки ospf при появлении новой сети (сеть очень динамичная и не хочется делать много телодвижений при изменениях).

А анонсировать одну суммарную сеть в area 10, тоже не хорошо, т.к. не хочется анонсировать сеть , которая маршрутизируется только частично.

 

NSSA? Или как 10 область получает чужие анонсы?

 

Резюмируя - один из вариантов (я не знаю, что там с сетями) - указывать явно что анонсировать; второй - покурить про типы областей и сконфигурировать нужный вариант. Можно, если там по одному роутеру на границах, ограничиться вообще статикой.

NSSA не является (насколько я понимаю)..

Роутер BDR является является роутером ABR(ASBR),

т.е он с одной стороны входит в мою AS (Area 0) , с другой стороны(Area 10) - мой BDR обменивается анонсами к серым подсетям с роутерами других AS

Изменено 21 июня, 2010 пользователем HEDG

[Ellion]

Я, честно говоря, не помню, чтобы можно было фильтровать анонсы в ospf. Мне видится только вариант с ACL на BDR (кому куда можно ходить), и да, их придется регулярно менять, раз сеть динамичная.

По идее можно отлавливать LSA с лишними анонсами, но т.к. там свой протокол, задача становится нетривиальной.

 

П.С.: чтобы пароль аутентификации не хранился в явном виде, задайте service password-ecryption.

 

П.П.С.: Попробуйте запустить два ospf-процесса - для серых сеток и для белых. Или, для серых - RIP, а оттуда уже редистрибьютить в ospf с route-map.

[HEDG]

Я, честно говоря, не помню, чтобы можно было фильтровать анонсы в ospf. Мне видится только вариант с ACL на BDR (кому куда можно ходить), и да, их придется регулярно менять, раз сеть динамичная.

По идее можно отлавливать LSA с лишними анонсами, но т.к. там свой протокол, задача становится нетривиальной.

 

П.С.: чтобы пароль аутентификации не хранился в явном виде, задайте service password-ecryption.

 

П.П.С.: Попробуйте запустить два ospf-процесса - для серых сеток и для белых. Или, для серых - RIP, а оттуда уже редистрибьютить в ospf с route-map.

Спасибо огромное за советы!

Нужно попробовать.

 

P.S. подумываю запустить iBGP вместо AREA 10.

В BGP с фильтрацией проблем нет + можно немного оптимизацией заняться. (надо только поковырять на тему импорта и экспорта BGP и OSPF)

Изменено 21 июня, 2010 пользователем HEDG

[nnm]

P.S. подумываю запустить iBGP вместо AREA 10.

В BGP с фильтрацией проблем нет + можно немного оптимизацией заняться. (надо только поковырять на тему импорта и экспорта BGP и OSPF)

Самое правильное решение это BGP. Только не iBGP, а eBGP. OSPF не предназначен для обмена маршрутами между разными с точки зрения администрирования сетями. Если BGP не поддерживается, то хотя-бы отдельный OSPF процесс.

[Ellion]

BGP в OSPF, имхо, не лучший вариант. Я б подумал о EIGRP, там можно написать distribute-list'ы.

[Fduchun]

Ellion

EIGRP - это приоприетарщина.

Все что надо - делается средствами OSPF или BGP.

[yakuzzza]

Контора одна - OSPF/BGP.

Конторы разные - BGP only. Я вообще не понял 3 страниц рассуждений. И только на третьей появилась умная мысль.

Какой OSPF? Опомнитесь, да?

Речь идет о пиринге между операторами. Используйте BGP. Примеров - "полный вагон гугля" (с).

В итоге вообще все закончится BGP роут-сервером на Quagga. Вот вспомните меня.

 

[pliskinsad]

yakuzzza с первой страницы рекомендовали bgp

[yakuzzza]

yakuzzza с первой страницы рекомендовали bgp

Каюсь. Проглядел. Zolidaren!