HEDG Опубликовано 9 апреля, 2010 · Жалоба summary-address 10.0.0.0 255.255.0.0 Будет анонситься как внешний по отношению к OSPF-у маршрут. Пробовал играться с суммированием. Похоже Quagga не поддерживает команду "summary-address". Или я что-то не так сделал ? # configure t # router ospf (config-router)# area OSPF area parameters auto-cost Calculate OSPF interface cost according to bandwidth capability Enable specific OSPF feature compatible OSPF compatibility list default-information Control distribution of default information default-metric Set metric of redistributed routes distance Define an administrative distance distribute-list Filter networks in routing updates end End current mode and change to enable mode. exit Exit current mode and down to previous mode help Description of the interactive help system list Print command list log-adjacency-changes Log changes in adjacency state max-metric OSPF maximum / infinite-distance metric neighbor Specify neighbor router network Enable routing on an IP network no Negate a command or set its defaults ospf OSPF specific commands passive-interface Suppress routing updates on an interface quit Exit current mode and down to previous mode redistribute Redistribute information from another routing protocol refresh Adjust refresh parameters router-id router-id for the OSPF process show Show running system information timers Adjust routing timers write Write running configuration to memory, network, or terminal Команды выполнялись на роутере # sh run Current configuration: ! hostname XXX password x enable password x log file /var/log/BGP/ospf.log ! ! ! interface em0 ! interface lo0 ! interface net0 ! interface net1 ! router ospf ospf router-id x.x.X.142 redistribute connected network x.x.x.128/25 area 0.0.0.0 ! line vty ! end Аутентификацию внедрите.OSPF поддерживает. Спасибо! Буду разбираться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost Опубликовано 12 апреля, 2010 · Жалоба summary-address 10.0.0.0 255.255.0.0 - команда с циски, поддерживает или нет оную квага незнаю. еще возможно есть суммаризация в area. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 12 апреля, 2010 · Жалоба summary-address 10.0.0.0 255.255.0.0 - команда с циски, поддерживает или нет оную квага незнаю.еще возможно есть суммаризация в area. а можно немного подробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 12 апреля, 2010 (изменено) · Жалоба Еще вопросик по аутентификации. В конфиге не шифруются ключи в MD5 (в конфиге ниже - xxx) Current configuration: ! hostname ONE password 8 x enable password 8 xx log file /var/log/BGP/ospf.log service password-encryption ! interface lo0 ! interface net0 ! interface net1 description --==Uplink==-- ip ospf authentication message-digest ip ospf message-digest-key 1 md5 xxx ! interface net2 ! interface pflog0 ! interface plip0 ! interface vlan1 ! interface vlan3 ! router ospf ospf router-id x.x.x.145 network x.x.x.0/24 area 0.0.0.0 area 0 authentication message-digest ! line vty ! end Делаю, как указано в книге #conf t (config)#router ospf (config-router)#area 0 authentication message-digest (config-router)#exit (config)#int net1 (config-if)#ip ospf message-digest-key 1 md5 xxx (config-if)#^Z # В книге в результате этих манипуляций в конфиге сохраняется пароль, зашифрованный в md5. Подскажите пожалуйста, что сделано не так? Или это "особенность" quagga? Изменено 12 апреля, 2010 пользователем HEDG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost Опубликовано 13 апреля, 2010 · Жалоба summary-address 10.0.0.0 255.255.0.0 - команда с циски, поддерживает или нет оную квага незнаю.еще возможно есть суммаризация в area. а можно немного подробнее? Команда, опять же, с цискиarea 1 range 172.20.0.0 255.255.0.0 В книге в результате этих манипуляций в конфиге сохраняется пароль, зашифрованный в md5.Подскажите пожалуйста, что сделано не так? Или это "особенность" quagga? Вероятно этот вопрос правильнее задать разработчикам кваги ;)По крайней мере корректным можно считать только их ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 13 апреля, 2010 · Жалоба тема для любителей в слух и выразительно почитать мануалы xD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fedusia Опубликовано 13 апреля, 2010 · Жалоба тема для любителей в слух и выразительно почитать мануалы xD Я автора не оправдываю, все это есть в мануалах. Но иногда больше понятно, когда тебе человек ответит и развеит все твои сомнения. -) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 13 апреля, 2010 · Жалоба 2ghost Спасибо! Посмотрю, разберусь. тема для любителей в слух и выразительно почитать мануалы xDДля человека, который уже давно это все знает, наверное это так.. В процессе изучения(внедрения) возникают некоторые вопросы, ответы на которые для новичка в ospf не так уж и очевидны. Плюс иногда хочется совет со стороны, т.к. единственного решения как правило нет. P.S. вспомните те времена, когда для Вас это было не так просто и понятно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 16 июня, 2010 · Жалоба Не хочется создавать новую тему, поэтому спрошу в этой... Есть Зона 0 и 1 . И роутер , соединенный с обоими зонами. В зону 1 нужно анонсировать часть анонсов, получаемых с зоны 0. Каким образом можно зафильтровать анонсы из одной зоны OSPF в другую ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 16 июня, 2010 · Жалоба Есть Зона 0 и 1 . И роутер , соединенный с обоими зонами.В зону 1 нужно анонсировать часть анонсов, получаемых с зоны 0. Каким образом можно зафильтровать анонсы из одной зоны OSPF в другую ? А в каких LSA приходят маршруты? Роутер Cisco? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 17 июня, 2010 · Жалоба Не хочется создавать новую тему, поэтому спрошу в этой... Есть Зона 0 и 1 . И роутер , соединенный с обоими зонами. В зону 1 нужно анонсировать часть анонсов, получаемых с зоны 0. Каким образом можно зафильтровать анонсы из одной зоны OSPF в другую ? если бегают LSA3 (т.е. нигде не сделано redistribute, а втянуты сети командой network) то можно обычными фильтр листами(почитайте мануалы) LSA5 не фильтруются, сам когда то заморачивался ( ещё можно два процесса под каждую зону и там при редистрибьюте роутмапой фильтр сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ellion Опубликовано 18 июня, 2010 · Жалоба смотря что там за анонсы, может подойдут тупиковые области. отключить выборы др, бдр можно командой на интерфейсе ip ospf network point-to-point, но особого смысла в этом нет. Проще уж бы нарисовали топологию с адресами и сказали, что нужно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 18 июня, 2010 (изменено) · Жалоба Роутер FreeBSD 7.0 + quagga 0.99.15. На роутерах используется redistribute connected.т.е распространяются LSA5 Упрощенная схема: Роутеры 1,2,3 (входят в Area 0), используют redistribute connected. Распространяют анонсы серых подсетей. Роутер BDR получает эти анонсы и отфильтровав их(чтоб не отдавать ничего лишнего), должен отдать в Area 10. Также должен полученные анонсы из Area 10, перепроверить их (чтоб не пришло что-то левое) и отдать в Area 0. Аналогично, другая сеть (чужая), отдает анонсы части своих сетей в Area 10 и получает мои анонсы. Изменено 18 июня, 2010 пользователем HEDG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ellion Опубликовано 18 июня, 2010 · Жалоба Роутер BDR получает эти анонсы и отфильтровав их(чтоб не отдавать ничего лишнего), должен отдать в Area 10.Вот тут поподробнее - что там может быть лишнее? Если подсеть, которая не directly connected к R1/2/3 - подойдет тупиковая, если не ошибаюсь, область (area 10); если она все-таки коннектед, можно не редистрибьютить, а явно объявить сети для анонсов.Также должен полученные анонсы из Area 10, перепроверить их (чтоб не пришло что-то левое) и отдать в Area 0.Также можно явно указать, что передавать на бэкбон, вместо директли коннектед.Аналогично, другая сеть (чужая), отдает анонсы части своих сетей в Area 10 и получает мои анонсы.NSSA? Или как 10 область получает чужие анонсы? Резюмируя - один из вариантов (я не знаю, что там с сетями) - указывать явно что анонсировать; второй - покурить про типы областей и сконфигурировать нужный вариант. Можно, если там по одному роутеру на границах, ограничиться вообще статикой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 21 июня, 2010 (изменено) · Жалоба Вот тут поподробнее - что там может быть лишнее? Если подсеть, которая не directly connected к R1/2/3 - подойдет тупиковая, если не ошибаюсь, область (area 10); если она все-таки коннектед, можно не редистрибьютить, а явно объявить сети для анонсов.Прошу прощения. Не точно описал структуру сети. Роутер BDR является таже шлюзом для нескольких сетей с реальными ip (которые он и анонсирует в Area 0). Эти сети не должны быть доступны через Area 10. Поэтому и встал вопрос фильтрации. Также можно явно указать, что передавать на бэкбон, вместо директли коннектед. Хотелось бы иметь возможность не дописывать постоянно что-то в настройки ospf при появлении новой сети (сеть очень динамичная и не хочется делать много телодвижений при изменениях).А анонсировать одну суммарную сеть в area 10, тоже не хорошо, т.к. не хочется анонсировать сеть , которая маршрутизируется только частично. NSSA? Или как 10 область получает чужие анонсы? Резюмируя - один из вариантов (я не знаю, что там с сетями) - указывать явно что анонсировать; второй - покурить про типы областей и сконфигурировать нужный вариант. Можно, если там по одному роутеру на границах, ограничиться вообще статикой. NSSA не является (насколько я понимаю).. Роутер BDR является является роутером ABR(ASBR), т.е он с одной стороны входит в мою AS (Area 0) , с другой стороны(Area 10) - мой BDR обменивается анонсами к серым подсетям с роутерами других AS Изменено 21 июня, 2010 пользователем HEDG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ellion Опубликовано 21 июня, 2010 · Жалоба Я, честно говоря, не помню, чтобы можно было фильтровать анонсы в ospf. Мне видится только вариант с ACL на BDR (кому куда можно ходить), и да, их придется регулярно менять, раз сеть динамичная. По идее можно отлавливать LSA с лишними анонсами, но т.к. там свой протокол, задача становится нетривиальной. П.С.: чтобы пароль аутентификации не хранился в явном виде, задайте service password-ecryption. П.П.С.: Попробуйте запустить два ospf-процесса - для серых сеток и для белых. Или, для серых - RIP, а оттуда уже редистрибьютить в ospf с route-map. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HEDG Опубликовано 21 июня, 2010 (изменено) · Жалоба Я, честно говоря, не помню, чтобы можно было фильтровать анонсы в ospf. Мне видится только вариант с ACL на BDR (кому куда можно ходить), и да, их придется регулярно менять, раз сеть динамичная.По идее можно отлавливать LSA с лишними анонсами, но т.к. там свой протокол, задача становится нетривиальной. П.С.: чтобы пароль аутентификации не хранился в явном виде, задайте service password-ecryption. П.П.С.: Попробуйте запустить два ospf-процесса - для серых сеток и для белых. Или, для серых - RIP, а оттуда уже редистрибьютить в ospf с route-map. Спасибо огромное за советы! Нужно попробовать. P.S. подумываю запустить iBGP вместо AREA 10. В BGP с фильтрацией проблем нет + можно немного оптимизацией заняться. (надо только поковырять на тему импорта и экспорта BGP и OSPF) Изменено 21 июня, 2010 пользователем HEDG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 21 июня, 2010 · Жалоба P.S. подумываю запустить iBGP вместо AREA 10. В BGP с фильтрацией проблем нет + можно немного оптимизацией заняться. (надо только поковырять на тему импорта и экспорта BGP и OSPF) Самое правильное решение это BGP. Только не iBGP, а eBGP. OSPF не предназначен для обмена маршрутами между разными с точки зрения администрирования сетями. Если BGP не поддерживается, то хотя-бы отдельный OSPF процесс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ellion Опубликовано 21 июня, 2010 · Жалоба BGP в OSPF, имхо, не лучший вариант. Я б подумал о EIGRP, там можно написать distribute-list'ы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fduchun Опубликовано 21 июня, 2010 · Жалоба Ellion EIGRP - это приоприетарщина. Все что надо - делается средствами OSPF или BGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 21 июня, 2010 · Жалоба Контора одна - OSPF/BGP. Конторы разные - BGP only. Я вообще не понял 3 страниц рассуждений. И только на третьей появилась умная мысль. Какой OSPF? Опомнитесь, да? Речь идет о пиринге между операторами. Используйте BGP. Примеров - "полный вагон гугля" (с). В итоге вообще все закончится BGP роут-сервером на Quagga. Вот вспомните меня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 22 июня, 2010 · Жалоба yakuzzza с первой страницы рекомендовали bgp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 22 июня, 2010 · Жалоба yakuzzza с первой страницы рекомендовали bgp Каюсь. Проглядел. Zolidaren! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...