Поставлена задача: повысить надежность каналов связи центрального офиса с удаленными обьектами
Вот приблезительная схема
http://img38.imageshack.us/img38/2373/64681479.jpg
на каждом удаленном офисе стоит роутер на базе debian, на нем поднято 2 VPN тунеля (openVPN)
на каждом роутере поднята quagga (zebra, ospf)Между роутерами Web(id10.10.0.80) и hm(id10.10.0.9) настроена динамическая маршрутизация и при пропадании основного канала переключается на резервный.
ospf.conf на Web(id10.10.0.80):
!
hostname web
password xxx
log file /var/log/quagga/ospfd.log
!
!
!
interface eth2
!
interface eth3
!
interface lo
!
interface tun0
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.80
redistribute connected route-map Local_Network
network 10.10.9.1/30 area 0.0.0.0
network 10.11.9.1/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.1.1.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!ospf.conf на hm(id10.10.0.9):
!
hostname hm
password xxx
log file /var/log/quagga/ospfd.log
!
!
!
interface eth2
!
interface lo
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.9
redistribute connected route-map Local_Network
network 10.10.9.2/30 area 0.0.0.0
network 10.11.9.2/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.3.9.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!Я озадачился тем как настроить теперь ospf чтобы он работал с роутерами k4 и k11
настраивал по мануалу http://wiki.sys-adm.org.ua/net/quagga-ospf.php
что-то не опнял в чем проблема? прорыть еще тунелей от к4 до к11 и сделать full-mesh
>что-то не опнял в чем проблема? прорыть еще тунелей от к4 до
>к11 и сделать full-meshмне нада чтобы все сетки видели сетку WEB а между собой друг друга не видели, проблема только в ospf.conf, я незнаю как добавить еще 2 тунеля туда
>>что-то не опнял в чем проблема? прорыть еще тунелей от к4 до
>>к11 и сделать full-mesh
>
>мне нада чтобы все сетки видели сетку WEB а между собой друг
>друга не видели, проблема только в ospf.conf, я незнаю как добавить
>еще 2 тунеля тудаПрювет,
так сделай copy с hm и paste на к4 и к11. Смени только IP на интерфейсах, сети анонсирования ospf, ну и сам prefix-listи для к4 и к11 (то есть заменить на локальные).
Вот и все. Конфиг вроде норм.
Вопрос: в таблице маршрутизации на Web есть сеть с hm?
>[оверквотинг удален]
>
>Прювет,
>
>так сделай copy с hm и paste на к4 и к11. Смени
>только IP на интерфейсах, сети анонсирования ospf, ну и сам prefix-listи
>для к4 и к11 (то есть заменить на локальные).
>
>Вот и все. Конфиг вроде норм.
>
>Вопрос: в таблице маршрутизации на Web есть сеть с hm?не то что сделать на перефирии я понимаю, в этом вопрос не стоит, как прописать это в ospf.conf на WEB, ведь к нему будут конектится уже не 1 роутер а три....
web# show ip ospf route
============ OSPF network routing table ============
N 10.10.9.2/32 [10] area: 0.0.0.0
directly attached to tun91
N 10.11.9.2/32 [20] area: 0.0.0.0
directly attached to tun92============ OSPF router routing table =============
R 10.10.0.9 [10] area: 0.0.0.0, ASBR
via 10.10.9.2, tun91============ OSPF external routing table ===========
N E2 10.3.9.0/24 [10/20] tag: 0
via 10.10.9.2, tun91hm# show ip ospf route
============ OSPF network routing table ============
N 10.10.9.1/32 [10] area: 0.0.0.0
directly attached to tun91
N 10.10.9.2/32 [20] area: 0.0.0.0
via 10.10.9.1, tun91
N 10.11.9.1/32 [20] area: 0.0.0.0
directly attached to tun92
N 10.11.9.2/32 [30] area: 0.0.0.0
via 10.10.9.1, tun91============ OSPF router routing table =============
R 10.10.0.80 [10] area: 0.0.0.0, ASBR
via 10.10.9.1, tun91============ OSPF external routing table ===========
N E2 10.1.1.0/24 [10/20] tag: 0
via 10.10.9.1, tun91на hm и web разные ОС
>[оверквотинг удален]
> via 10.10.9.1, tun91
>
>============ OSPF external routing table ===========
>N E2 10.1.1.0/24
> [10/20] tag: 0
>
>
> via 10.10.9.1, tun91
>
>на hm и web разные ОС))))
Тебе нужны настройки, логику оспф или настройки ОС (тунелли, ВПН)
Вот настройки на WEB:
interface tun93
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun94
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
interface tun95
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun96
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
router ospf
ospf router-id 10.10.0.80
redistribute connected route-map Local_Network
network 10.10.9.0/30 area 0.0.0.0 {убрал с последнего октета 1 - некоректно кажется или для quagga-ospf пофиг?)
network 10.11.9.0/30 area 0.0.0.0
network 10.10.11.0/30 area 0.0.0.0 - main channel to k4
network 10.11.11.0/30 area 0.0.0.0 - reserve channel to k4
network 10.10.11.0/30 area 0.0.0.0 - вот тут вопрос? Это же main channel to k4. А он идет к k11 тоже (смотри свой рис)
network 10.11.11.0/30 area 0.0.0.0 - вот тут вопрос? Это же reserve channel to k4. А он идет к k11 тоже (смотри свой рис)area 0.0.0.0 authentication message-digest
Ну вот и все. Чуть сегментацию подчитать.
И еще я не панимать еще одного. Все раутеры находятся в area 0, почему тогда в таблице маршрутизации они помечены как E2?
Если честно не читал quagga-ospf, я просто Cisco ospf знаю)))
http://img39.imageshack.us/img39/3566/96190415.jpgвидимо мой рисунок чуть не так поняли ну или я не совсем коректно нарисовал
так как я понял с вашего последнего поста нада на WEB сделать вот такospf.conf
!
hostname web
password xxx
log file /var/log/quagga/ospfd.log
!
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
!
interface tun41
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun42
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
!
interface tun111
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun112
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.80
redistribute connected route-map Local_Network
network 10.10.9.1/30 area 0.0.0.0
network 10.11.9.1/30 area 0.0.0.0
network 10.10.4.1/30 area 0.0.0.0
network 10.11.4.1/30 area 0.0.0.0
network 10.10.11.1/30 area 0.0.0.0
network 10.11.11.1/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.1.1.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!я все правильно понял?? так как WEB общий для всех сетей то area у меня должна быть одна?
>[оверквотинг удален]
>ip prefix-list Local_Network seq 100 deny any
>!
>route-map Local_Network permit 10
> match ip address prefix-list Local_Network
>!
>line vty
>!
>
>я все правильно понял?? так как WEB общий для всех сетей то
>area у меня должна быть одна?Необязательно area для всех должна быть одна. Просто в Вашем случае может быть одна, так как немного узлов. Могут быть и другие area, но они все должны быть подключены напрямую к areа 0.
Да все верно. Конфиг вроде правильный, так шо дерзайте.
P.S. IP адресация уже другая, чем на картинке. Смотрите не заплутайтесь)))
>Необязательно area для всех должна быть одна. Просто в Вашем случае может
>быть одна, так как немного узлов. Могут быть и другие area,
>но они все должны быть подключены напрямую к areа 0.
>
>Да все верно. Конфиг вроде правильный, так шо дерзайте.
>
>P.S. IP адресация уже другая, чем на картинке. Смотрите не заплутайтесь)))благодарю за помощь :)
нащет запутатся... бывает.... так как у меня там далеко не 3 узла... это так дал для примера чтобы разобратся :)
>[оверквотинг удален]
>>быть одна, так как немного узлов. Могут быть и другие area,
>>но они все должны быть подключены напрямую к areа 0.
>>
>>Да все верно. Конфиг вроде правильный, так шо дерзайте.
>>
>>P.S. IP адресация уже другая, чем на картинке. Смотрите не заплутайтесь)))
>
>благодарю за помощь :)
>нащет запутатся... бывает.... так как у меня там далеко не 3 узла...
>это так дал для примера чтобы разобратся :)Нима за шо,
Если там не три узла то предпочтительнее добавить несколько area, назначить центральные узлы в каждой area DR (просто создать loopback с наибольшим IP адресом в area), подумать над BDR (если упадет центральный, ну и сответственно линки то есть realiability $ availability), можно поиграться с таймингом hello пакетов, помнить что ospf link-state протокол, каждое изменение - это перестройка дерева сети)))
и еще: нада уделить время к более грамотному IP адресному плану.
И будя всьо просто и спокойно, без всяких переводвыпертов (смотрим первый рисунок))))
>[оверквотинг удален]
>узлы в каждой area DR (просто создать loopback с наибольшим IP
>адресом в area), подумать над BDR (если упадет центральный, ну и
>сответственно линки то есть realiability $ availability), можно поиграться с таймингом
>hello пакетов, помнить что ospf link-state протокол, каждое изменение - это
>перестройка дерева сети)))
>
>и еще: нада уделить время к более грамотному IP адресному плану.
>
>И будя всьо просто и спокойно, без всяких переводвыпертов (смотрим первый рисунок))))
>если падает центральный то толку от конектов между остальными никакого :)так как все сервера стоят в центр офисе :)
>[оверквотинг удален]
>>hello пакетов, помнить что ospf link-state протокол, каждое изменение - это
>>перестройка дерева сети)))
>>
>>и еще: нада уделить время к более грамотному IP адресному плану.
>>
>>И будя всьо просто и спокойно, без всяких переводвыпертов (смотрим первый рисунок))))
>>
>
>если падает центральный то толку от конектов между остальными никакого :)так как
>все сервера стоят в центр офисе :)Ну ... тебе виднее