OSPF-v2 v ROS 7

mirek_k · 2022-05-25T10:38:25+00:00

Trochu bojuju s OSPF v ROS 7. Některé routery vidím ve stavu Full, některé v TwoWay. Nikde jsem se nedočetl rozdíl. Funguje mi jen broadcast type a chtěl byc...

Puski

pepulis jenom upozornim že defaultně je v těch filtrech vše zakázaný, takže v momentě kdy ho použiješ, tak si musíš povolit vše co potřebuješ.

pepulis

Puski A poradíte mi prosím jak na to? Cílem je prostě vše povolit, jen nastavit metric na predem danou hodnotu. Cílem je to, aby se všechen provoz / routy přesměrovaly na jiný GW, kde je metric hodnota nižší = 1. Díky OSPF se tedy všechny routy přehodí na druhou záložní GW.

Když je tedy to pravidlo, které jste mi tady uvedly vypnuté, je metric na defaultní hodnotě, tedy na jedniččce. Když to pravidlo chain=ospf rule="if (dst==0.0.0.0/0) {set ospf-ext-metric 1500; accept;}" aktivuji, tak se zmeni metric na 1500 a?

kmotrik

Jak píše @Puski jedná se o filtraci jako takovou tedy co neprojde pravidlem accept to zahodí.

k3ny

pepulis to mas dobre, rekl bych

Puski

pepulis Nemůžu říct, že jsem v pozici že bych v tom mohl moc radit. Moje OSPF jede snad v nejjednoduší instalaci. Jen jsem upozorňoval na možná rizika. Taky jsem s tím dlouho zápasil. Jako backup ospf nikde nejedu, jenom si propaguju routy mezi routery v serverovně. Zbytek pak jede na VLANách a RSTP čímž mám backup vyřešený.

Ale ve zkratce jak to třeba může vypadat taková jednoduchá filtrace.

Tímhle říkám, že na vstupu příjmu defaultní routu a jakoukoliv routu z rozsahu 172.16.x.y. Co není povoleno je tedy zakázáno, takže kdyby mi náhodou nějakej router posílal třeba routu 192.168.1.0/24 tak se mi v routovací tabulce sice ukáže, ale bude červená se značkou "F" jakože je filtered. Tedy nebude platná.

/routing filter rule
add chain=OSPF-IN disabled=no rule="if ( dst==0.0.0.0/0 ) { accept }"
add chain=OSPF-IN disabled=no rule="if ( dst in 172.16.0.0/16 ) { accept }"

Tímhle říkám, že tento router bude posílat ven pouze routy z adresního rozsahu 10.0.0.0/8 a 172.16.0.0/16. Takže kdybych si tam pak přidal třeba někam 192.168.5.0/24 kvůli něčemu tak se to nebude distribuovat do zbytku sítě. V případě, že bych chtěl propagovat i defaultní routu tak musím přidat pravidlo s dst==0.0.0.0/0 a accept. Případně přidat další parametry co by byly potřeba, třeba set distance +1 a podobně.

/routing filter rule
add chain=OSPF-OUT disabled=no rule="if ( dst in 10.0.0.0/8 ) { accept }"
add chain=OSPF-OUT disabled=no rule="if ( dst in 172.16.0.0/16 ) { accept }"

Takže záleží co teda všechno potřebuješ povolit. Nevim proč ale nějak nejsem zvyklej povolovat všechno. Jenom radím lepší to zkoušet někde na stole nebo aspoň v safe modu 🙂 nebo v nějakym labu, třeba eve-ng

hafieror

Hezké dopoledne,
můžete mě nasměrovat, jak se při přechodu na ros7 řeší posílání dynamických adres, které přiskočí přes pppoe? V ros6 byla dvě možnosti:
1) redistribute connected - nebylo doporučováno
2) do routing/ospf/networks přidat /32 adresu kterou chci posílat v ospf

v ros7 zmizelo networks a je součástí Interface Templeates. Pokud hodím statickou adresu na rozhraní a přidám do ospf interface template networks , přiskočí do ospf.

Jaká je správná cesta s přidáváním dynamických rout do ospf v této verzi. Samozřejmě když zapnu v ospf instance redistribute connected, tak to jde.

Děkuji

/routing ospf instance add disabled=no name=default-v2 redistribute="" router-id=192.168.254.50 /routing ospf area add disabled=yes instance=default-v2 name=backbone-v2 add area-id=0.0.0.11 disabled=no instance=default-v2 name=area50-v2 /routing ospf interface-template add area=area50-v2 auth=md5 auth-id=1 auth-key=mkey cost=10 disabled=no interfaces=wlan1 networks=192.168.254.48/30 priority=1 use-bfd=no add area=area50-v2 auth=md5 auth-id=1 auth-key=mkey cost=10 disabled=no interfaces=ether1 networks=172.23.100.0/24 priority=1 use-bfd=no

coitus

Neviem ako OSPF ale BGP potrebuje vo v7 subnet ako blackhole
/ip route add dst-address=192.168.0.0/24 type=blackhole
a v tom pripade asi redistribute=static

majklik

A co něco jako:
/routing ospf interface-template add area=ppplinks disabled=no interfaces=dynamic passive type=ptp
Jde k tomu přidat i to networks=...,..., pokud je známý a omezený pořet subnetů, pak OSPF naskočí pasivně jen na dynamické interfejsy splňující i tu IP podmínku a začne to propagovat dál. Protože to interfaces=dynamic reaguje na všechny dynamicky přidané interfejsy, ne jen ty od PPP. Pokud mi vzniká víc typů dynamických interfejsů a chci to oříznout jen na to PPP, tak pomocí dynamického interface listu, cca:
/interface list add name=PPPlinks /ppp profile add change-tcp-mss=no interface-list=PPPlinks name=PPPoEaccess only-one=yes use-compression=no use-encryption=no use-ipv6=yes use-mpls=no /routing ospf interface-template add area=ppplinks disabled=no interfaces=PPPlinks passive type=ptp
A jen ten PPP profil "PPPoEaccess" aplikuješ na PPPoE serveru a máš to oříznuto vyloženě na PPPoE.

hocimin1

/routing ospf instance
add disabled=no name=IPV4_v2inst redistribute=connected,static router-id=10.99.1.1

Normalně connected

majklik

Hafieor nechtěl použít connected. Jak použiješ connected, redistribute, ...., tak jak se ti taková první routa objeví (LSA4/5 typ), tak se router stává typu ASBR. Pokud máš víc areí a používáš i stub, tak ASBR router nemůžeš mít v stub arei. Další nepříjemnost je, že se stoupajícím počtem ASBR rotuerů rostla výpočetní náročnost dosti nelineárně nahoru, což větší síť odrovná, pokud každá změna topologie vyvolává úplné přepočítávání stromu mezi ASBR routery. OSPF počítá, že má takové routuery max 2 nebo 3 někde na hranici k uplinkům do BGP a ne několik desítek/stovek (pokud PPPoE ukončuje na 2 centrálních branách, tak to relativně ještě jde, pokud PPPoE ukončuji na hnízdech různě po síti, tak počet ASBR začne rychle stoupat). Zda tohle v ROS7 nějak vylepšili netuším, ale ROS6 stroje to dokázalo slušně odrovnat. Zkrátka OSPF není IS-IS, který toto počítá trochu lépe a stabilněji pro velké sítě....
Hm, vzhledem k tomu, že nám zařadili od ROS7.13 i IS-IS podporu, tak jsem zvědav, kam napřou síly. :-)

hapi

zkus přidat do ospf interface all a tam dopiš do kolonky Networks ten subnet co se používá pro ppp. To je ten network z v6.

majklik

hapi Jj, to je "tupý" přepis ROS6 konfigurace. V ROS7 jde udělat i tím jemnějším způsobem přes interfaces=dynamic nebo přímo portově tím dynamickým interfejs listem a nebabrat se s konkrétními IPčky. Jde o to, jak moc mám ty IPčka rozvětvené, zda napíše dvě, tři /24 nebo musím jmenovat tunu /32.

mirek_k Jistě. :-) Ale zatím je IS-IS ve stavu tak technologické demo, ale IPv4 to odroutuje s nějakými ale. To by bylo spíše na samostatné vlákno, než tady. V mešitě je také nevhodné probírat detaily křesťanské dogmatiky. :-(

mirek_k

Zkoušel jste už někdo IS-IS?

hafieror

Tak potvrzuji, že Majklíkovo řešení funguje podle představ. (y)
Jen dorpbnost u pppoe profilu. Já používám change-tcp-mss=yes a v příkladu je change-tcp-mss=no.

Děkuji.

pepulis

Dobrý den, prosím, mám nastavenou hlavní GW správně tak, aby docházelo k redistribuci default routy? Chystám si GW na v7 a nejsem si tímto jistý a než to dám do chodu, chtěl bych mít ohledně tohoto jasno. Je to GW, kde je default routa a současně OSPF dovnitř sítě.

Je to ve verzi v7 položka Originate default, kde se nastaví if installed?

https://ibb.co/3NM8TJK

Děkuju za konzultaci a radu.

pepulis

Dobrý den,
nemá prosím někdo na GW rozjeté ospf + statickou default routu a poskytnout mi výpis, jak to máte nastavené? Chtěl bych udělat upgrade GW z v6 na v7 a co jsem si zkoušel na jiném HW, tak se mi ospf nastavení přes upgrade package z v6 na v7 korektně nepřevedlo. Sice mám teoreticky představu, jak na to, ale jen tipuju a chtěl bych docílit co nejmenšímu výpadku primární linky.

O co mi jde? U verze 6 se na hlavní GW zadávalo v nastavení ospf instance - redistribute default route na hodnotu if installed a zajímá mě tento zápis na v7. Je to prosím položka, kterou uvádím tady - https://imgbb.com/3NM8TJK ?

Děkuju za odpověď.

basty

pepulis zrovna jsem to dnes chtěl psát taky. Snad se podari

hocimin1

ja používám: originate-default=always

/routing ospf instance
add disabled=no name=IPV4_v2inst originate-default=always redistribute=connected,static router-id=10.0.56.1

a musím tedy říct, že jsem přecházel z verze 6.49 na 7.8.X myslím a ospfko se převedlo v pořádku.

Nyní mám na X86 - 7.10.2

A nyní jsem to zkusil na záložním stroji a upgradoval jsem 6.49 na 7.10.2 a ospf přešlo v pořádku

pepulis

hocimin1 Aby to nevypadalo, že jsem nic nezkusil, tak taky jsem si na náhradní GW, která je kopie primárního HW udělal cvičně upgrade na v7 a právě ospf se mi nepřevedlo v pořádku. Samozřejmě na např. RB922, LHG, tam mi to šlape ok a převod dopadl vždy v pořádku, jen to není hraniční router. V každém případě děkuju, vyzkouším.

ludvik

vždyť je to to samé ... originate-default a je to také pod instance.

Jen se zdrž používat jakékoliv redistribute. Pokud to vyloženě nepotřebuješ a nejde to udělat jinak.

pepulis

ludvik Tím redistribute myslite to, abych v ospf instance neměl v položce REDISTRIBUTE nic zatrhnutého? Jestli se nepletu, mikrotik při převodu z v6 na v7 zatrhne automaticky connected, static, vpn, dhcp, modem. Aspon ja to tak pozoruju u svych zarizeni. Děkuju za upresneni.

« Předchozí stránka Další stránka »