Podivnosti OSPF

Milan Kocián milon na wq.cz
Čtvrtek Srpen 3 09:59:48 CEST 2006 

Dobry den,

On Tue, 2006-08-01 at 15:13 +0200, Petr Klima wrote:
> Dobry den,
> bylo mi dano za ukol transformovat ne zcela fungujici sit o cca 100
> routerech rozesetych po plose stovek nebo tisicu ctverecnich kilometru a
> propojenych nejruznejsimi druhy linek (ruzne leased copper lines, xDSL,
> radio 5GHz, vyjimecne 2.4GHz) s nejruznejsimi rychlostmi (zhruba 1-20Mbps).
> Topologie nema zadny smysl, alespon mne se ho nepodarilo odhalit, je to
> proste ponekud zmatena sit routeru a linek mezi nimi. Prvni muj dotaz
> znel, jestli muzu neco udelat s topologii a pokusit se ji dat nejaky
> tvar a prvni obdrzena odpoved znela "ne" (a pak i ty nasledujici)....
> Pouzity routovaci protokol byl RIP + strasna spousta statickych rout,
> nove bych rad pouzil OSPF, protoze nevim o nicem jinem lepsim. Nadrizeni
> si od OSPF slibuji uzasnou redundanci internetoveho pripojeni
> jednotlivych routeru danou vyuzitim one mesh struktury site.
> 
> System na naproste vetsine techto stroju je Debian Woody, quagga je
> 0.98.3 (tam, kde jsem ji uz updatoval) nebo 0.96.4 tam, kde jsem to
> zatim neudelal.
> 
> Na krajich site je nekolik serveru s BGP sessions k providerum.
> 
> Nejak jsem zacal, nejakou dobu to moc hezky fungovalo, ale ted kdyz
> pridavam dalsi stroje (jsem nekde v polovine), se zacinaji dit divne
> veci, pro ktere nemam vysvetleni:
> 
> 1. Na routeru A pridam do OSPF konfigu nejaky link do area 0 a v te
> chvili router B ztrati route na subnet X, ktery je ohlasovany nejakym
> uplne jinym routerem... Routery A,B a C nemusi byt primo propojeny,
> ztrata routy nastava pokazde.

To by se urcite stavat nemelo (tedy pokud nezadavate nejaky nesmysl :-))
Predpokladam, ze tim link myslite network.

> 
> 2. Opet na nejakem jinem routeru A pridam link (subnet), nacez routery B
> a C, ktere opet nemaji s A zadnou primou souvislost, prestanou byt
> schopny komunikace (nepingaji, netraceroutuji)
> 
Viz. vysse.

> 3. Mam dva servery z ruznych oblasti (area 3 a 4), jedine spojeni techto
> oblasti je area 0, ovsem jsou zde minimalne 2 cesty skrz area 0. OSPF si
> zasadne vybira tu s vyssi cenou.... V soucasne dobe jde o jeden urcity
> router
To by se take stavat nemelo. I kdyz jednou se mi stalo, ze to slo jinou
trasou a ani za nic to nechtelo jit levnejsi trasou. Na routeru, pres
ktery to nemelo jit jsem zvysoval cenu trasy a nic. Pak az jsem zjistil,
ze router, pres ktery to melo jit, mel podivne navazanou adjacency s
routery v danem segmentu. Nicmene sve site na segmentu propagoval
spravne. Pomohl restart daemona, ale to bylo gated.
.
> 
> Opravdu nevim, cim to muze byt vse zpusobeno, jestli mam nadavat sobe a
> navrhu rozdeleni struktury OSPF site, nebo quagga demonu a jeho chybam,
> nebo je to OSPF "vlastnost", nebo za to muze zmatena struktura site, se
> kterou si OSPF neporadi. Taky by za neco z toho mohla moct redistribuce
> RIPu do OSPF, ale to uz je pomerne malo rout a v teto prechodne fazi je
> to nezbytne. Ovsem napr. to ztraceni routy je zpusobeno necim jinym,
> protoze na onom serveru uz RIP davno nebezi.

O rozdeleni site toho moc nepisete, ale presto bych si tipnul na quaggu.
Nekolikrat jsem v konferenci quaggy resil segfaulty ospf deamona, ktere
se skoro nikomu neprojevovaly a projevovaly se jen za urcitych podminek
a vetsinou ve vetsich sitich. Dale tam byl problem s multicasty (pri
smazani ip rozsahu na rozhrani vypadlo cele rozhrani z multicast
groupy). Nakonec jsem skoncil na verzi 0.99.4 (v ni by se meli uz jen
opravovat chyby (dle anonnouce) s patchem na multicasty, kde me zatim
vse chodi jak ma (nebo jak si predstavuji :-)).
Asi prvni bych upgradnul quaggu. Minimalne na stable 0.98.6. Ve verzich
0.98.4 a .5 byly nejake opravy ohledne ospf.

Na podrobnejsi diagnostiku ospf by bylo potreba porovnaval LSA databaze
routeru po a pred zasahem. Nebo zapnout debug a sledovat co se pri te
zmene vsechno deje.

Jinak je urcite dobre precist si rfc (pokud uz jste necetl). Vim, ze je
to dlouhe, ale budete schopen poznat co je s nejvetsi pravdepodobnosti
chyba implementace (kdy to proste musi chodit) a kdy chyba v navrhu
topologie. Alespon me to tak pomohlo.

> Jeste jedna mozna neprijemnost je, ze nejaky dobrak pouzil na nektere
> linky privatni subnety (192.168.x.x). S tim ja bohuzel nic neudelam,
> pripadne mohu pouze zazadat o precislovani.
> 
> Ma nekdo ze zkusenych napad, cim podobne veci mohou byt?
> 
> Diky za radu,
> Tosuja
> 
> P.S.: bezny konfigurak na serveru vypada zhruba takto:
> 
> !interface eth0
> !    ip ospf cost 500
> interface eth1
>     ip ospf cost 400
> interface eth7
>     ip ospf cost 250
> interface eth9
>     ip ospf cost 200
> interface eth10
>     ip ospf cost 115
> interface eth11
>     ospf cost 500
> interface eth12
>     ip ospf cost 30
> 
> router ospf
>     ospf router-id a.b.c.d
> 
>     redistribute rip
> 
>     !Backbone area
>     network a.b.c.d/e area 0
>     network a.b.c.d/e area 0
>     network a.b.c.d/e area 0
>     network a.b.c.d/e area 0
>     network a.b.c.d/e area 0
>     area 0 authentication message-digest
> !    area 0 export-list no-private
> !    area 0 import-list no-private
> 
>     network a.b.c.d/e area 1
>     network a.b.c.d/e area 1
>     area 1 authentication message-digest
> !    area 1 export-list no-private
> !    area 1 import-list no-private
>     area 1 virtual-link f.g.h.j
> 
> !Deny private networks propagation
> access-list no-private deny 10.0.0.0/8
> access-list no-private deny 127.0.0.0/8
> access-list no-private deny 172.16.0.0/12
> access-list no-private deny 192.168.0.0/16
> access-list no-private deny 224.0.0.0/11
> access-list no-private permit any
> !
> log file /var/log/quagga/ospfd.log
> 
> Autentizacni a message-digest klice u interfacu samozrejme jsou, ja jsem
> je jen umazal...
> 
> -- 
>  Petr Klima
> 
>  TheNet-Internet Services AG,
>  Morgenstrasse 129
>  CH-3018, Bern, Switzerland
>  Tel 031 998 4333, Fax 031 998 4330
>  http://www.thenet.ch
>  http://wlan.thenet.ch
> 

S pozdravem 

-- 
Milan Kocián <milon na wq.cz>

Další informace o konferenci Linux