Здравствуйте.
Имеется обычная топология звезда (центральный офис и к нему подключены филиалы). Филиалы подключаются через GRE туннели.
Хочется сделать так чтобы через OSPF раздавать маршруты:
1) центральному филиалы маршруты только на филиалы. Прилетел маршрут на центральный чтобы на подсеть филиала, ходил через GRE адрес.
2) филиалам только маршруты к центральному. Прилетел маршрут если нужно ходить на внутреннюю подсеть центрального, то ходил через GRE адрес.
Сейчас такая штука при настройке OSPF добавляю интерфейсы GRE туннелей и сети внутренней сети (на филиалах и центральном), добавляю на соотвествующих роутерах филиалов внутренние сети филиалов в сетях.
Итого, получаю что все роутеры получают все маршруты. На филиал прилетает маршрут до подсети соседнего филиала, через центральный роутер (через gre).
А хотелось бы так чтобы прилетали маршруты только в одну сторону Центральный <---> Филиал. Так чтобы из филиала в другой филиал не попасть (там эти маршруты не нужны).
OSPF маршруты только с центральный офисом
-
freeddos
- Сообщения: 56
- Зарегистрирован: 15 окт 2017, 10:54
Например даже если я под каждый филиал выделяю свою Area
то не понятно как передавать маршрут от центральной сети.
то не понятно как передавать маршрут от центральной сети.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Все area должны сходиться на центральном (по сути у вас не будет backbone), и тогда на нем же в area ranges можно будет проставить для сетей всех area галку advertise=no.
В итоге: в центре все маршруты будут (потому что он будет присутствовать во всех area), но между area передаваться не будут.
В итоге: в центре все маршруты будут (потому что он будет присутствовать во всех area), но между area передаваться не будут.
Telegram: @thexvo
-
freeddos
- Сообщения: 56
- Зарегистрирован: 15 окт 2017, 10:54
На центральном я настраиваю так:
Интерфейсы: GRE_до_филиала1 и GRE_до_филиала2.
Сети: Внутренняя сеть центрального офиса, сеть GRE до филиала1, сеть GRE до филиала2.
На филиалах так:
Интерфейсы: GRE_до_центрального.
Сети: Внутренняя сеть филиала офиса, сеть GRE до центрального.
Мне нужно везде в сетях (networks и центральном и филиале) выставить backbone?
А на центральном для каждого филиала в в area range сделать настройку?
Интерфейсы: GRE_до_филиала1 и GRE_до_филиала2.
Сети: Внутренняя сеть центрального офиса, сеть GRE до филиала1, сеть GRE до филиала2.
На филиалах так:
Интерфейсы: GRE_до_центрального.
Сети: Внутренняя сеть филиала офиса, сеть GRE до центрального.
Мне нужно везде в сетях (networks и центральном и филиале) выставить backbone?
А на центральном для каждого филиала в в area range сделать настройку?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Нет, на каждом филиале будет своя area - в которую будут входить локальные сети + сам туннель.
В центре - каждый туннель будет входить в соответствующую area филиала, а в backbone оставить только локальные сети центра.
Telegram: @thexvo
-
freeddos
- Сообщения: 56
- Зарегистрирован: 15 окт 2017, 10:54
Сделал так что на центральном под каждый филиал своя area, эту area (каждого филиала) поместил в area range и назначил ip подсети филиала (advertise=no)
На филиалах завел одноименную и с тем же id area (на каждом свой) и данную area сделал для внутреннй сети и сети gre тунеля.
На филиалах все нормально отобразилось в маршрутах (поправочка, тоже не нормально, так же филиалы передали друг другу маршруты на себя)
А вот на центральном появилось два маршрута:
- до внутренней сети филиала, через пустой gateway, c distance 109.
- до внутренней сети филиала, через gre филиала, с distance 110 (этот правильный и он по идее должен быть один).
На филиалах завел одноименную и с тем же id area (на каждом свой) и данную area сделал для внутреннй сети и сети gre тунеля.
На филиалах все нормально отобразилось в маршрутах (поправочка, тоже не нормально, так же филиалы передали друг другу маршруты на себя)
А вот на центральном появилось два маршрута:
- до внутренней сети филиала, через пустой gateway, c distance 109.
- до внутренней сети филиала, через gre филиала, с distance 110 (этот правильный и он по идее должен быть один).
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
И то и другое нормально:
- маршрут на свой же туннельный адрес можно отфильтровать, но он ничему не мешает;
- unreachable маршрут тоже вроде не должен быть активным и мешать - активным станет, только если туннель отвалится.
- маршрут на свой же туннельный адрес можно отфильтровать, но он ничему не мешает;
- unreachable маршрут тоже вроде не должен быть активным и мешать - активным станет, только если туннель отвалится.
Telegram: @thexvo
-
freeddos
- Сообщения: 56
- Зарегистрирован: 15 окт 2017, 10:54
Основная проблема с филиалами, что они передают друг другу свои маршруты (когда из одного филиала можно дойти до соседнего - чего не нужно) сохраняется.
на центре и филиале созданы свои area для каждого филиала.
На филиалах все gre и сеть филиала добавлена в свою area.
На центральном настроены все area и по ним разнесены gre сети филиалов. Внутренняя сеть центральная добавлена в backbone. Так же на центральном в area range, сделал настройку для каждого area филиала (например range 10.10.2.0).
на центре и филиале созданы свои area для каждого филиала.
На филиалах все gre и сеть филиала добавлена в свою area.
На центральном настроены все area и по ним разнесены gre сети филиалов. Внутренняя сеть центральная добавлена в backbone. Так же на центральном в area range, сделал настройку для каждого area филиала (например range 10.10.2.0).
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не должно быть такого.
Конфиг с центра покажите.
Upd.: немного поэкспериментировал - unreachable маршрут, который создается через area ranges все-таки мешает, если использовать area ranges не совсем по назначению и добавлять туда сети с той же маской, что и сами маршруты (то есть как в данном случае).
Но это легко лечится добавлением фильтра:
Конфиг с центра покажите.
Upd.: немного поэкспериментировал - unreachable маршрут, который создается через area ranges все-таки мешает, если использовать area ranges не совсем по назначению и добавлять туда сети с той же маской, что и сами маршруты (то есть как в данном случае).
Но это легко лечится добавлением фильтра:
Код: Выделить всё
/routing filter add action=discard chain=ospf-in distance=109Telegram: @thexvo
-
freeddos
- Сообщения: 56
- Зарегистрирован: 15 окт 2017, 10:54
вот данный с центрального.
Там два туннеля идут с разных провайдеров.
Вот данные с одного филиала:
Там два туннеля идут с разных провайдеров.
Код: Выделить всё
INTERFACE COST PRI NETWORK-TYPE AUT... AUTHENTICATIO...
0 gre_F1_ISP1 10 1 point-to-point none
1 gre_F1_ISP2 20 1 point-to-point none
2 gre_F2_ISP1 10 1 point-to-point none
3 gre_F2_ISP2 20 1 point-to-point none
4 D ether5 10 1 broadcast none
NETWORK AREA
0 172.17.0.12/30 area_f1
1 192.168.200.8/30 area_f1
2 10.10.1.0/24 backbone
3 192.168.200.16/30 area_f2
4 172.17.0.52/30 area_f2
NAME AREA-ID TYPE DEFAULT-COST
0 * backbone 0.0.0.0 default
1 area_f1 0.0.0.2 default
2 area_f2 0.0.0.3 default
AREA RANGE COST ADVERTISE
0 area_f1 10.10.2.0/32 calculated no
1 area_f2 10.10.3.0/32 calculated noКод: Выделить всё
INTERFACE COST PRIORITY NETWORK-TYPE AUTHENTICATION AUTHENTICATION-KEY
0 gre_Main_ISP1 10 1 point-to-point none
1 gre_Main_ISP2 20 1 point-to-point none
2 D bridge1 10 1 broadcast none
NETWORK AREA
0 172.17.0.12/30 area_f1
1 192.168.200.8/30 area_f1
2 10.10.2.0/24 area_f1
NAME AREA-ID TYPE DEFAULT-COST
0 * backbone 0.0.0.0 default
1 area_f1 0.0.0.2 default
AREA TYPE ID ORIGINATOR SEQUENCE-NUMBER AGE
area_f1 router 10.10.1.254 10.10.1.254 0x8000000D 1220
area_f1 router 10.10.2.254 10.10.2.254 0x80000009 1218
area_f1 summary-n... 10.10.1.0 10.10.1.254 0x80000007 259
area_f1 summary-n... 10.10.3.0 10.10.1.254 0x80000005 1207
area_f1 summary-n... 172.17.0.52 10.10.1.254 0x80000007 259
area_f1 summary-n... 192.168.200.16 10.10.1.254 0x80000007 259