Podivnosti OSPF

Petr Klima klima na thenet.ch
Úterý Srpen 1 15:13:41 CEST 2006


Dobry den,
bylo mi dano za ukol transformovat ne zcela fungujici sit o cca 100
routerech rozesetych po plose stovek nebo tisicu ctverecnich kilometru a
propojenych nejruznejsimi druhy linek (ruzne leased copper lines, xDSL,
radio 5GHz, vyjimecne 2.4GHz) s nejruznejsimi rychlostmi (zhruba 1-20Mbps).
Topologie nema zadny smysl, alespon mne se ho nepodarilo odhalit, je to
proste ponekud zmatena sit routeru a linek mezi nimi. Prvni muj dotaz
znel, jestli muzu neco udelat s topologii a pokusit se ji dat nejaky
tvar a prvni obdrzena odpoved znela "ne" (a pak i ty nasledujici)....
Pouzity routovaci protokol byl RIP + strasna spousta statickych rout,
nove bych rad pouzil OSPF, protoze nevim o nicem jinem lepsim. Nadrizeni
si od OSPF slibuji uzasnou redundanci internetoveho pripojeni
jednotlivych routeru danou vyuzitim one mesh struktury site.

System na naproste vetsine techto stroju je Debian Woody, quagga je
0.98.3 (tam, kde jsem ji uz updatoval) nebo 0.96.4 tam, kde jsem to
zatim neudelal.

Na krajich site je nekolik serveru s BGP sessions k providerum.

Nejak jsem zacal, nejakou dobu to moc hezky fungovalo, ale ted kdyz
pridavam dalsi stroje (jsem nekde v polovine), se zacinaji dit divne
veci, pro ktere nemam vysvetleni:

1. Na routeru A pridam do OSPF konfigu nejaky link do area 0 a v te
chvili router B ztrati route na subnet X, ktery je ohlasovany nejakym
uplne jinym routerem... Routery A,B a C nemusi byt primo propojeny,
ztrata routy nastava pokazde.

2. Opet na nejakem jinem routeru A pridam link (subnet), nacez routery B
a C, ktere opet nemaji s A zadnou primou souvislost, prestanou byt
schopny komunikace (nepingaji, netraceroutuji)

3. Mam dva servery z ruznych oblasti (area 3 a 4), jedine spojeni techto
oblasti je area 0, ovsem jsou zde minimalne 2 cesty skrz area 0. OSPF si
zasadne vybira tu s vyssi cenou.... V soucasne dobe jde o jeden urcity
router

Opravdu nevim, cim to muze byt vse zpusobeno, jestli mam nadavat sobe a
navrhu rozdeleni struktury OSPF site, nebo quagga demonu a jeho chybam,
nebo je to OSPF "vlastnost", nebo za to muze zmatena struktura site, se
kterou si OSPF neporadi. Taky by za neco z toho mohla moct redistribuce
RIPu do OSPF, ale to uz je pomerne malo rout a v teto prechodne fazi je
to nezbytne. Ovsem napr. to ztraceni routy je zpusobeno necim jinym,
protoze na onom serveru uz RIP davno nebezi.

Jeste jedna mozna neprijemnost je, ze nejaky dobrak pouzil na nektere
linky privatni subnety (192.168.x.x). S tim ja bohuzel nic neudelam,
pripadne mohu pouze zazadat o precislovani.

Ma nekdo ze zkusenych napad, cim podobne veci mohou byt?

Diky za radu,
Tosuja

P.S.: bezny konfigurak na serveru vypada zhruba takto:

!interface eth0
!    ip ospf cost 500
interface eth1
    ip ospf cost 400
interface eth7
    ip ospf cost 250
interface eth9
    ip ospf cost 200
interface eth10
    ip ospf cost 115
interface eth11
    ospf cost 500
interface eth12
    ip ospf cost 30

router ospf
    ospf router-id a.b.c.d

    redistribute rip

    !Backbone area
    network a.b.c.d/e area 0
    network a.b.c.d/e area 0
    network a.b.c.d/e area 0
    network a.b.c.d/e area 0
    network a.b.c.d/e area 0
    area 0 authentication message-digest
!    area 0 export-list no-private
!    area 0 import-list no-private

    network a.b.c.d/e area 1
    network a.b.c.d/e area 1
    area 1 authentication message-digest
!    area 1 export-list no-private
!    area 1 import-list no-private
    area 1 virtual-link f.g.h.j

!Deny private networks propagation
access-list no-private deny 10.0.0.0/8
access-list no-private deny 127.0.0.0/8
access-list no-private deny 172.16.0.0/12
access-list no-private deny 192.168.0.0/16
access-list no-private deny 224.0.0.0/11
access-list no-private permit any
!
log file /var/log/quagga/ospfd.log

Autentizacni a message-digest klice u interfacu samozrejme jsou, ja jsem
je jen umazal...

-- 
 Petr Klima

 TheNet-Internet Services AG,
 Morgenstrasse 129
 CH-3018, Bern, Switzerland
 Tel 031 998 4333, Fax 031 998 4330
 http://www.thenet.ch
 http://wlan.thenet.ch


Další informace o konferenci Linux