Podivnosti OSPF

Dalibor Straka dast na panelnet.cz
Čtvrtek Srpen 3 00:47:44 CEST 2006


On Tue, Aug 01, 2006 at 03:13:41PM +0200, Petr Klima wrote:
>
[...] 
> System na naproste vetsine techto stroju je Debian Woody, quagga je
> 0.98.3 (tam, kde jsem ji uz updatoval) nebo 0.96.4 tam, kde jsem to
> zatim neudelal.
> 
Doporucuji vsude drzet klidne i starsi quaggu, ale _stejne_ verze.

> Na krajich site je nekolik serveru s BGP sessions k providerum.
> 
> Nejak jsem zacal, nejakou dobu to moc hezky fungovalo, ale ted kdyz
> pridavam dalsi stroje (jsem nekde v polovine), se zacinaji dit divne
> veci, pro ktere nemam vysvetleni:
> 
> 1. Na routeru A pridam do OSPF konfigu nejaky link do area 0 a v te
> chvili router B ztrati route na subnet X, ktery je ohlasovany nejakym
> uplne jinym routerem... Routery A,B a C nemusi byt primo propojeny,
> ztrata routy nastava pokazde.
> 
> 2. Opet na nejakem jinem routeru A pridam link (subnet), nacez routery B
> a C, ktere opet nemaji s A zadnou primou souvislost, prestanou byt
> schopny komunikace (nepingaji, netraceroutuji)
> 
> 3. Mam dva servery z ruznych oblasti (area 3 a 4), jedine spojeni techto
> oblasti je area 0, ovsem jsou zde minimalne 2 cesty skrz area 0. OSPF si
> zasadne vybira tu s vyssi cenou.... V soucasne dobe jde o jeden urcity
> router
> 
V tech areach se podle vaseho zbezneho popisu moc nevyznam. Zvlastni
peclivost je treba venovat sousedskym ip adresam. Tuzka, papir a kafe
temer vzdy odhali chybu nejrychleji.
 
> Opravdu nevim, cim to muze byt vse zpusobeno, jestli mam nadavat sobe a
> navrhu rozdeleni struktury OSPF site, nebo quagga demonu a jeho chybam,
> nebo je to OSPF "vlastnost", nebo za to muze zmatena struktura site, se
> kterou si OSPF neporadi. Taky by za neco z toho mohla moct redistribuce
> RIPu do OSPF, ale to uz je pomerne malo rout a v teto prechodne fazi je
> to nezbytne. Ovsem napr. to ztraceni routy je zpusobeno necim jinym,
> protoze na onom serveru uz RIP davno nebezi.
> 
> Jeste jedna mozna neprijemnost je, ze nejaky dobrak pouzil na nektere
> linky privatni subnety (192.168.x.x). S tim ja bohuzel nic neudelam,
> pripadne mohu pouze zazadat o precislovani.
> 
Ani ne, spis je dulezity router_id a jaka sit je za nim. Linka nic
neznamena ;-).

> Ma nekdo ze zkusenych napad, cim podobne veci mohou byt?
> 
Koukam, ze problem je docela komplexni ;). Zvazte, jestli se nevyplati
rozdelit onen "the mesh" na nekolik oblasti routovanych mezi sebou
pres BGP a uvnitr OSPF. Take je treba peclive ohodnotit spoje 
temer individualne a spravne. Je docela rozdil, kdyz date napr. wifi
200 bodu a ethernetu 100 nebo 500 a 100! Vyzkouseny system ohodnoceni
je na www.czfree.net. Hezky clanek od Johanky je na www.root.cz.

> P.S.: bezny konfigurak na serveru vypada zhruba takto:
> 
muj konfigurak vypada mnohem jednoduseji:
hostname zlesicka
password ********
enable password ********
interface lo
interface eth0
 description zlesicka-local
 ip ospf cost 500
router ospf
  ospf router-id 10.38.0.26
  network 10.38.2.0/24 area 10.38.0.0
  neighbor 10.38.2.131
  neighbor 10.38.2.134
  neighbor 10.38.2.158
  access-list net-10 permit 10.0.0.0/8
  access-list term permit 127.0.0.1/32
  access-list term deny any

route-map just-10 permit 10
 match ip address net-10
line vty
 access-class term

>     redistribute rip
> 
Rip muze delat paseku, mit dva protokoly v jedne siti...

Quagga umi redistribuovat i staticke routy.
-- Dalibor Straka


Další informace o konferenci Linux