Pomoc s OSPF na 4 routroch

[radik]

Pak v tom případě bys měl v OSPF a v celé síti jen sítě co jsou zapsaný v OSPF networks (jen sítě, kterýma jsou propojený OSPF routery). Pokud bys to udělal, tak by ti vlastně nic nefungovalo (jedině že by jsi dělal na každým routeru NAT pro všechno).

[radik]

Snad krom hlavního routeru - odtamtud většinou potřebuješ default route a někdy (!) i z BGP.

A jeste k tomu, urazit ruky tomu kdo do OSPF sype routy z BGP. Jediná vyjímka by mohla být, pokud je několik BGP routerů směrem ven a má se pak šiřit defaultní routa a přepadávat (ale to jen za předpokladu, že poskytovatel posílá defaultní routu taky). A i tak se pak musí dělat filtry, aby si OSPF nepřebralo všechno - takže zbytečně si to nekomplikovat.


A pak ještě další akademické situace, ale to bych sem teď netahal.

[zvukarmiso]

Vyhod si jeste redistribute-other-ospf=as-type-1 . To je jen redistribuce z jinyho OSPF procesu a to nemas.

Ked to vyhodím, tak mi prestane chodiť na D routry OSPF, proste mi neotoci adresu. Na A a B a C aj ked to nemam tak to funguje korektne, ale na D to musí byt ale neviem prečo. Nikde som sa nedočítal.

BGP - mam len kvoli dvom ISP aby mi otocilo verejne IP cez toho druhého.

[radik]

Posli sem konfigurace OSPF na vsech routerech. Asi sis udelal vic instatnci OSPF a proto se ti to bude chovat divne (mozna i proto ti to nejak jelo i kdyz nebyla area 0).

[ludvik]

Pak v tom případě bys měl v OSPF a v celé síti jen sítě co jsou zapsaný v OSPF networks (jen sítě, kterýma jsou propojený OSPF routery). Pokud bys to udělal, tak by ti vlastně nic nefungovalo (jedině že by jsi dělal na každým routeru NAT pro všechno).

Čmelák by podle fyziků neměl létat ... jenže on to neví a vesele si létá.
Našich cca 250 routerů s ospf taktéž netuší, že by nic nemělo fungovat ... a proto fungují. Jen 20 z nich buď něco redistribuují, nebo jsou součástí jiných area.

Redistibuce jiných routovacích protokolů musí být samozřejmě spojena s filtry ... zvlášť plné BGP tabulky by asi těm mikrotikům moc dobře nedělaly.

[ludvik]

Standardním způsobem ... díky konfiguraci Networks.

Nemám zapotřebí redistribuovat statické, ani connected routy. A tazatel podle mě také ne.

a jak se ty routy na interfacech apod dostanou do OSPF?

Jakékoliv redistribuce udělají z routeru ASBR ... což je logicky trochu jiná práce, než u routerů uvnitř area. Těžko říct, jak se postupem let změnilo, ale jak jich bylo na síti moc, nechovalo se to moc dobře. Ale tak nebo tak - proč dělat něco, co nemusím?


Bavíme se o OSPF, nikoliv o OSPFv3 - tam se bez redistribuce neobejdu např. pokud používám PD pro klienty. V rámci IPv4 mě momentálně ani nenapadá, k čemu bych to kde použil (kdysi jsem statikou řešil nespolehlivé trasy, často tedy nějaké nekompatibility implementací OSPF).

[Dalibor Toman]

Standardním způsobem ... díky konfiguraci Networks.

jenze pak, kdyz mam na jednom interface X siti (tedy i ipcek) a vsechny poslu do networks tak mi OSPF bude vysilat hello packety ze vsech IP interfacu, ktere v tech sitich najde). A to asi nechci. Passive-interface tady nepomuze, bezpodminecne se museji neighbors authentifikovat (ne ze by to vadilo) atd.

Osobne redistribuuju, co potrebuju a protoze prekryvam mensi site backholama (abych zabranil skenovani neobsazenych adres ve vetsich rozsazich a plneni ARP tabulky), generuje se i redistribucni filtr, ktery zabrani zbytecne fragmentaci (a navysovani poctu rout v OSPF, protoze se redistribuuji jen zcelene site)

[radik]

Tak jak pise Dalibor, problem s bezpecnosti vznikne, kdyz se dava do networku neco co tam byt nema (v nekterych pripadech je i jedno, ze se nastavit auth a muze se cely OSPF napadnout).

OSPF neni fyzika a kdyz neco funguje i kdyz nema tak je neco spatne a nebo sprasena konfigurace (a je blby ze tu nekdo pak navic prohlasuje, ze je to tak vlastne v cajku). Navic michat statiku a dynamiku je cesta opravdu do pekla. Pokud je router, co ma jen resit pristup nejake area do 0, tak tam redistribuce byt nemusi (co je v OSPF se siri vzdy dal).

[ludvik]

Tyhle předpoklady (Dalibor, radik) jsou pro mě nepřípustné ... proč bych tam dával něco, co tam být nemá? A ani víc sítí na jednom interface nemá důvod ... snad až na typ "přečíslování segmentu" na klientské straně - jenže to je stejně passive.
A mikrotik kravinu v networks stejně nevezme ... Je to tedy sice vlastně práce navíc pro admina, ale zase ne tolik, aby na to musel někdo žehrat.

Statika a dynamika se pravda míchat nemá. Jenže je to poslední možnost, která někdy vyřeší problém. Ale jak jsem psal - je to historie, takovou potřebu jsem neměl už fakt hodně dlouho.

Pokud už se mi chce "defragmentovat", tak použiji stub area, lze-li. Ale jinak mě to moc netrápí. Jsou sítě s tisíci záznamy v routovací tabulce (na mikrotikách, v jedné area) a bez problému. Naopak považuji za konfigurační problém si dělat složitosti typu "někde redistribuuju", "někde optimalizuji pomocí blackhole", "závisím na filtrech" (ona taková quagga je myslím nemá dodnes).

Si to budu muset asi zkusit - dvě sítě na jednom interface opravdu řeší connected redistribuce? Mám za to, že si ty networks udělá ospf interně samo z toho, co na těch interface najde ... podle čeho by si vybralo jeden segment, ze kterého půjdou hello? Čili to je vlastně stejný, akorát se z routeru stane ASBR.


A když vás tak poslouchám, tak jsem jeden z mála, co ospf zprasené naopak nemá, neboť jeho konfigurace je "ta minimální potřebná".

[Dalibor Toman]

Tyhle předpoklady (Dalibor, radik) jsou pro mě nepřípustné ... proč bych tam dával něco, co tam být nemá? A ani víc sítí na jednom interface nemá důvod ... snad až na typ "přečíslování segmentu" na klientské straně - jenže to je stejně passive.

jedna gateway (linux), L2 sit za ni, desitky AP, kazde s vlastnim privatnim rozsahem a kazda lokalita s vlastnimi verejnymi rozsahy = desitky IP rozsahu na jednom interface

Pokud už se mi chce "defragmentovat", tak použiji stub area, lze-li. Ale jinak mě to moc netrápí. Jsou sítě s tisíci záznamy v routovací tabulce (na mikrotikách, v jedné area) a bez problému. Naopak považuji za konfigurační problém si dělat složitosti typu "někde redistribuuju", "někde optimalizuji pomocí blackhole", "závisím na filtrech" (ona taková quagga je myslím nemá dodnes).

OSPF pouzivam jen na Cisco a Linux. Takze kdyz jsem mluvil o filtrech mel jsem na mysli jejich pouziti prave v quagga baliku. Takze quagga je podporuje.
A omezovani poctu routu na pateri se hodi, kdyz L3 paterni switche nemaji neomezene mnozstvi TCAMu..

Si to budu muset asi zkusit - dvě sítě na jednom interface opravdu řeší connected redistribuce? Mám za to, že si ty networks udělá ospf interně samo z toho, co na těch interface najde ... podle čeho by si vybralo jeden segment, ze kterého půjdou hello? Čili to je vlastně stejný, akorát se z routeru stane ASBR.

v networks je subneta. Ospf proces proleze seznam IP na interfacech a ty interfacy, co padnou do nejake networks tak pouzije k posilani multicastu. A ty site, co nejsou v networks do OSPF neposle (pokud nejsou v redistribute). Doufam, ze se nepletu

I na Ciscu musim IMHO zapnout redistribute connected, abych dostal do OSPF secondary IP na interfacu.

[ludvik]

Aha. Na to já mám VLANy ... Fakt nevedu víc síti na jednom rozhraní (s výjimkou těch, co jsou zároveň passive - což mě přijde, že ty bys měl mít také).

Tyhle předpoklady (Dalibor, radik) jsou pro mě nepřípustné ... proč bych tam dával něco, co tam být nemá? A ani víc sítí na jednom interface nemá důvod ... snad až na typ "přečíslování segmentu" na klientské straně - jenže to je stejně passive.

jedna gateway (linux), L2 sit za ni, desitky AP, kazde s vlastnim privatnim rozsahem a kazda lokalita s vlastnimi verejnymi rozsahy = desitky IP rozsahu na jednom interface

Quagga má filtr ala ospf-in na mikrotiku? Od jaké verze? Redistribuční filtry ano, ty tam jsou. Ale čistě ospf ne (tedy pokud to z toho mikrotiku chápu správně, nepoužívám to).

I na Ciscu musim IMHO zapnout redistribute connected, abych dostal do OSPF secondary IP na interfacu.

Cisca nevedu ... ale nemusím to ani na Brocadách, ani netgearech (ale ty bych snad ani nezmiňoval). A myslím, že jsem to zkoušel i na UBNT routerech (tam je myslím nějaká varianta Vyatta systému).

[radik]

No on je mozna problem trochu v nepochopeni.
Connected posle do OSPF vsechny site co visi na routeru, takze i primarni i second adresy u cisca (ale je to vsude stejne). Jsou pripady kdy je potreba vic siti na iface (ale to je ted celkem jedno), ale tam vetsinou nebezi OSPF. Problem fakt muze nastat v bezpecnosti, kdyz je to v networku a rozhodne to neni spravne (tim bych to asi zakoncil).

Me osobne pripada jednodussi pouzit redistribuci. Vem si ze mas klienta a routujes za neho nejakou sit. To u neho pustis OSPF? To asi moc ne, kdyz ma svuj router. To pak tu sit das do networku? To asi taky nebude moc fungovat, pak jedina moznost je pouzit redistribuci statiky. Od toho to taky je. Obdobne je to s tema connected routama.

V quagga filtry funguji. Jestli tady pak zas nejde k nepochopeni, ale co do OSPF dorazi uz zadny router po ceste neodfiltruje. Router muze pouze filtrovat co vlozi do OSPF procesu a posila dal (routa musi byt z toho stroje) a nebo co si pak router prebira do svoji routovaci tabulky.

Kazdopadne tohle je tu zbytecny resit, protoze se to netyka tohoto vlakna.

[radik]

Ono to mozna beres ze svojeho pohledu, ale z hlediska velke site je nerealny rucne udrzovat a pripisovat routy do networku (kdyz nebudu resit bezpecnost).

[ludvik]

A psát je k interface reálné je? Sice dvojitá práce, ale od toho máme clipboard. Jak často mění routing třeba UPC? Za běžného provozu asi tak jako já ... jednou týdně jedna síť.

Já prostě mám blok (možná dnes již zbytečný) mít všechny routery ASBR.

Případ routování sítě na klienta je relativně specifický a bez statiky (a tedy redistribuce) se neobejdu. Jenže velké sítě to budou řešit pomocí BGP a u malých je to výjimka ... a pokud je router ve správě ISP, tak ani v ospf nevidím problém.

[radik]

Psat k interface co? Snad sit musit vzdy mit na iface aby to fungovalo. Proste ti rikam jak to je, ze je to nerealny z pohledu velke site. Muzes se sice rozcilovat, ale je to tak u velkych.

To co pises zas neni pravda, BGP tam nemusi vubec byt a ve vetsine pripadu ani neni (kdyz se pripoji firma tak maji vlastni router a za tim nejakou sit verejnych - pripadne nekolik siti). A pak se ti to zacne krasne prave michat, ze nekde mas redistirubic a nekde ne. Pak ze to nekde zapomenes napsany a propaguje se ti stejna sit z vice stran. Pak zacne OSPF nahodile delat problemy, ktery se hodne spatne dohledavaji. Tak je to bohuzel v realu.
Z toho ze beres za specificky, ze by nekdo chtel za svuj router hodit sit, se docela divim. Docela bezna vec.

Samozrejme si to delej jak chces, tebe tady neresime. Jen tady prosim netvrd neco co neni pravda. Dik i za ostatni

A timto bych tenhle flame chtel uzavrit a uz na to nebudu reagovat.