classic.ISPforum.cz

Mam nekolik routeru propojenych pres p2p GRE IPSec tunely do temer uplneho grafu.
Vse je area 0, sit 172.16.0.0/16, kazdy router pripojuje svoji subsit 172.16.N.0/24.
p2p spoje maji vzdy 172.16.224.N/30 a vsechny patri do site 172.16.224.0/19.
Potreboval bych navest jak spravne distribuovat routy.
Puzival jsem a snazil se filtrovat pomoci acl, ale stejne se vsude propagovaly i p2p spoje. - soucasny stav.
Mou snahou je aby se z konkretniho routeru propagovaly pouze routy do jeho podsite, tedy 172.16.N.0/24 a ne p2p a jine, ktere patri do connected.

Routery jsou vsechno linux debian/ubuntu s quagga a jsou to VM.

Diky za kazdy tip.

Tak toho asi v OSPFv2 vrstvě přímo nedosáhneš. Pokud si pamatuji, tak tam je jen filtrování na straně přenosu rout do ospfd démonka přes ditribute-list FILTR out...? Pokud nepustíš do OSPF spojovací segmenty, tak nedokáže spočítat trasu a nenaroutuje ti to. Pokud to chceš, tak se musí na těch rotuerech fitrovat na straně, kde se to z ospfd pak přenáší do lokální routovací tabulky vlastní zebrad. Takže tam se podívat na kombinaci ip prefix-list FILTR ... / route-map FILTR ... / ip protocol ospf route-map FILTR a pomocí toho vyházet nepotřebné spojovací segmenty, pokud chceš mít v routovací tabulce čisto.
Nicméně bych to spíše nedělal, rozbije ti to možnost komunikace těch linuxů mezi seobu (vyjma dvou nejbližších na P2P lince).

Diky za odpoved. Zkusim jeste filtrovat. Ale videl jsem na stackexchange reakci na podobny problem, ze nema smysl `redistribute connected` - tedy distribuovat vsechno a pak filtrovat, ale ze lze pomoci `neighbor` distribuovat jen to, co me zajima primo.

Dany router byl puvodne pripojen jednim GRE tunnelem jako list toho grafu k jednomu z routeru. Quagga v nem vybec nebyla. Aby tam nebyl SPoF, vytvoril jsem dalsi 2 redundantni propojky, opet pomoci GRE a nasadil quaggu. Jako router-id jsem pouzil lokalni IP toho puvodniho propoje (je unikatni, vsechny externi sluzby na ni pristupuji). Vse se zdalo v poradku, ale:

1. distribuovala se privatni adresa (eth0 interface) toho serveru - to je spatne a to i kdyz byl eth0 na blacklistu
2. server byl pod puvodni adresou (adresa jednoho z GRE ifacu) dostupnu i pres jine routy pres ostatni tunely, ale ping mel takto 50% packet loss, protoze se mu odpovedi vracely pres jiny tunel nez prisly a tak se ztratily

Zkousel jsem nastavit ip na loopback a pouzit tuto jako router-id, aby mel unikatni adresu nezavislou na GRE ifacech, dostupnu po vsech routach a zda se to byt spravny smer - odtud prameni puvodni dotaz, ze bych chtel, aby se distribuoval router jen pod touhle novou adresou.