OSPF - propagace routy

Návody a problémy s konfigurací.
hitmix
Příspěvky: 5
Registrován: 2 years ago

OSPF - propagace routy

Příspěvekod hitmix » 1 week ago

Zdravím
Po delší době bádání se obracím zde, jestli nebude někdo vědět. Nastavuji OSPF, vše okolo nastavení je mi jasné (area, instance, atd.). Co ale nevím, je to, jak mohu propagovat ostatním směrovačům určitý prefix, který není „Connected“, „Default“, „Static route“, či záznam získaný z jiného směrovacího protokolu. Respektive se mi jedná o obdobu funkce BGP, když nastavíte instanci, peer-y a do záložky „Network“ přidáte prefix, propaguje se. A přitom ten prefix není žádný z výše uvedených. Prostě jsem ho jen zadal ve stylu „propaguj tento prefix“ a on ho propaguje. Toto mi v OSPF chybí, nebo spíše jsem to nenašel/neumím. Neřešíme jaké to má dopady, zda to je, či není správný postup a podobně. Je to součásti sady nastavení, takže ostatní je ošetřeno jinak. Děkuji za věcnou a inteligentní radu.
0 x

ludvik
Příspěvky: 4162
Registrován: 7 years ago

Příspěvekod ludvik » 1 week ago

OSPF je link-state protokol. Čili nějaké extra propagace, s tím se nepočítá. Musíš tu routu už nějak mít - ať už jako blackhole (a propagovat static), nebo si udělat loopback adresu (v mikrotiku tedy na bridge).

Ono k čemu taková routa, když nebude nikde k použití? K čemu to? Prostě je to nesmysl. Proto někde ta síť být musí. BGP je to vcelku fuk, co pošle upstreamu. Jestli router takové pakety i zpracuje, to ho vlastně nezajímá.

P.S.: jako dobrá rada je - vyhni se propagacím, pokud opravdu nemusíš. A ohledně area je to také na velké rozmyšlení, zvlášť u STUB (přidáš druhou trasu do zbytku sítě a už máš problém). Často je vidět strach z velkých routovacích tabulek (proto snaha o area), ale ani tisíce záznamů nedělají problémy. Kdežto zbytečné komplikace v konfiguracích už ano.
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

dubrma
Příspěvky: 402
Registrován: 8 years ago

Příspěvekod dubrma » 1 week ago

Myslím, že to jde řešit propagací static routy typu unrechable, kterou pak už OSPF propaguje, ale router podle ní nic nesměruje.
0 x

hitmix
Příspěvky: 5
Registrován: 2 years ago

Příspěvekod hitmix » 1 week ago

K čemu taková routa? Určitým způsobem tímto nahrazuji agregaci. Na router takto propaguji větší prefix, ze kterého jsou pak postupně odebírány prefixy na jednotlivá rozhraní, takže ano, jednotlivé dílčí prefixy fyzicky existují. Nechci ale propagovat každý sebemenší prefix, ale nejlépe celek. Kdybych to takto dělal na celé síti, měl bych opravdu hodně záznamu. Dát tento prefix jako blackhole mě taky napadlo. Ale. Někdy se vyskytne situace (servis, krize, atd.) kdy musím na daný router dát stejný prefix, jako existuje jinde, třeba technik převezl zařízení z jednoho místa do druhého v rámci úpravy sítě (detaily opět irelevantní). Abych se do daného zařízení dostal, lokálně, tak musím na router zadat prefix z místa minulého. V ten moment mi ale statickou routu bude OSPF propagovat, protože kvůli propagaci z blackhole to má tak nastaveno, a je tu kolize záznamů. Ono tak, jak to používám v BGP, se ukázalo jako nejlepší z hlediska agregace, servisu, univerzálnosti. Před OSPF jsem zkoušel iBGP. Bohužel iBGP nedělá redistribuci ostatním směrovačům, pouze sousedům. Z čehož se pro mě stal iBPG jako absolutně nepoužitelný protokol. Nevím, k čemu takový protokol, který nedělá redistribuce. OSPF je zase moc nastavení a málo muziky, vzhledem k jeho složitosti(příkladem je, že každá area musí být sousedící s backbone – Síťový nesmysl, který obchází Virtuální linka).
0 x

rsaf
Příspěvky: 1135
Registrován: 12 years ago

Příspěvekod rsaf » 1 week ago

Kolik těch rout máš, že řešíš počet. Nějaké stovky nejsou problém ani pro malé mikrotiky, zásadní dopad na výkon to nemá. Jinak správné řešení je routa do blackhole.
Ono na ně dost adminů kašle a potom vznikají routovací smyčly, ideální cíl pro útok.
0 x

ludvik
Příspěvky: 4162
Registrován: 7 years ago

Příspěvekod ludvik » 1 week ago

Ne, to opravdu není správný způsob. Pokud nevíš, co je v zařízení nastaveno, tak prostě do sítě nesmí. Resp. nesmí tam, co může způsobit problém. Howg.

OSPF je nejjednodušší protokol. Dokonce můžeš na prasáka jen narvat sítě do networks. Zbytek je už jen ladění ... OSPFv3 to dotáhl ještě dál, stačí zapnout na interface.
OSPF agregovat umí. Ale na hranicích area. Já osobně to nakonec ale omezil, protože to fakt není potřeba. Jen to komplikuje práci.
Tvrdit, že BGP je výhodnější (či jednodušší nebo vhodnější do vnitřku sítě) mi přijde jako výzva k dehonestaci ... To fakt není.

Blackhole ti nevyhovuje z nějakých podivných důvodů. Ale myslíš, že by se to v tom tvém případě chovalo jinak, kdyby byla ta routa definovaná jen v OSPF? Vypropagovalo by se to stejně.

Určení BGP je prostě jiné. Co je na tom divného? OSPF routuje podle stavů linek. Má fungovat prostě "samo" v celé síti. BGP je pro výměnu routovacích informací mezi cizími sítěmi, majiteli. Výpočty jsou tam úplně jinak a třeba možnosti filtrování také. Jsi schopný pomluvit metro, že nemá vlastnosti zaoceánské lodi.

hitmix píše:K čemu taková routa? Určitým způsobem tímto nahrazuji agregaci. Na router takto propaguji větší prefix, ze kterého jsou pak postupně odebírány prefixy na jednotlivá rozhraní, takže ano, jednotlivé dílčí prefixy fyzicky existují. Nechci ale propagovat každý sebemenší prefix, ale nejlépe celek. Kdybych to takto dělal na celé síti, měl bych opravdu hodně záznamu. Dát tento prefix jako blackhole mě taky napadlo. Ale. Někdy se vyskytne situace (servis, krize, atd.) kdy musím na daný router dát stejný prefix, jako existuje jinde, třeba technik převezl zařízení z jednoho místa do druhého v rámci úpravy sítě (detaily opět irelevantní). Abych se do daného zařízení dostal, lokálně, tak musím na router zadat prefix z místa minulého. V ten moment mi ale statickou routu bude OSPF propagovat, protože kvůli propagaci z blackhole to má tak nastaveno, a je tu kolize záznamů. Ono tak, jak to používám v BGP, se ukázalo jako nejlepší z hlediska agregace, servisu, univerzálnosti. Před OSPF jsem zkoušel iBGP. Bohužel iBGP nedělá redistribuci ostatním směrovačům, pouze sousedům. Z čehož se pro mě stal iBPG jako absolutně nepoužitelný protokol. Nevím, k čemu takový protokol, který nedělá redistribuce. OSPF je zase moc nastavení a málo muziky, vzhledem k jeho složitosti(příkladem je, že každá area musí být sousedící s backbone – Síťový nesmysl, který obchází Virtuální linka).
2 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

hitmix
Příspěvky: 5
Registrován: 2 years ago

Příspěvekod hitmix » 4 days ago

Hele, položil jsem nějakou otázku, odpověď je více méně „OSPF neumí“. Na Váš dotaz jsem trochu nastínil proč to tak chci. Jinak vůbec nejde o to proč co a jak. Otázka zněla jasně! Další diskuze, co si o tom myslí ostatní a co si myslí, že je nejlepší, neřeším. Vždy to bude každý dělat po svém. Nestojím o vyhrocené dohady ve fóru mimo položenou otázku. Ani já ostatním nerozmlouvám způsob jejich práce. Prostě to tak na síti dělám, pracuje efektivně, stabilně a je servisovatelná. Jiný výsledek mě nezajímá. Způsob s blackhole, nebo něco na tento způsob vyzkouším, uvidíme jak mi bude sedět. Děkuji Vám za odpověď a věnováni se tomuto tématu. Ať se daří.
0 x

ludvik
Příspěvky: 4162
Registrován: 7 years ago

Příspěvekod ludvik » 4 days ago

Zase jeden arogant, co za rady jen prudí a radši pomluví třicet let starý protokol, než aby se mu přizpůsobil.
Jestli si myslíš, že by tvé názory zde zůstaly bez odezvy, jsi na omylu. Už jenom pro ty, co to budou číst třeba příští rok ... ti si z toho třeba něco pozitivního vezmou.

Pokud chceš rady bez diskuse, nejsi na správném místě.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
hapi
Příspěvky: 12376
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 days ago

souhlasím s "hitmix". Keci vo ničem mimo téma. Řeší se spíš proč to nejde a ne jak to udělat. Výsledkem je další vlákno totálně k ničemu stejně jako 99% ostatních vláken.
0 x

ludvik
Příspěvky: 4162
Registrován: 7 years ago

Příspěvekod ludvik » 4 days ago

Radu dostal hned třetí větou prvního odstavce ... tak co si stěžuje? Že to několik lidí považuje za blbost? Tedy jeho za začátečníka a snaží se mu pomoci i jinak? Navést ho na standardnější řešení?

Jediný kecy mimo téma jsou ty tvoje.
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

rsaf
Příspěvky: 1135
Registrován: 12 years ago

Příspěvekod rsaf » 4 days ago

Žádný rozumný směrovací protokol přece nemůže z routeru propagovat prefix, který u sebe nemá "pokrytý" - přece router na jedné straně nemůže říct "u mě je síť 192.0.2.0/24" a následně paket poslaný na 192.0.2.250 poslat zpátky na default gateway, protože si s ním neví rady. Takže buďto z routeru propagovat všechny použité prefixy (tím je vše pokryté) nebo mít blackhole routu a filtrovat, co se redistribuuje.
Ono to s těmi routami naslepo funguje, do chvíle, než někdo pošle na takovou nevykrytou adresu směšných 30Mbit UDP provozu a a zabije tím gigabitovou linku.
0 x

hitmix
Příspěvky: 5
Registrován: 2 years ago

Příspěvekod hitmix » 4 days ago

Pro „Ludvik“ dle počtu příspěvků soudím, že s diskuzemi máš zkušenost. Ne, arogant nejsem, jen se snažím zabrzdit diskuzi mimo. Proto stále opakuji „Otázka zni jasně“ Právě protože i já čtu fóra, tak mě někdy štve sálo dlouhé pojednávaní, které už ani nepatří k otázce. Já jsem všem vděčný za rady a příspěvky která jste podali. Jsem rád že mě alespoň „hapi“ pochopil.
„rsaf“ Ano souhlasím, takto to dokážeš zabít i silnou linku. Ale jak je v mém prvním dotazu. Je to součásti sady nastavení, nejen jedna tato konkrétní věc. Ale určitě jsi podal jasný důvod, proč to tak asi OSPF nemá.
Takže ještě jednou děkuji pánové, že jste věnovali čas mému dotazu.
PS: Příště to tedy zkusím napsat tak, aby to neznělo „arogantně“
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti