|
Автор |
Сообщение |
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
День добрый. Никак не разберусь с проблемкой. Надеюсь на коллективный разум. Строю банальный DMVPN c 2HUBами
на SPOKE
router ospf 100 log-adjacency-changes passive-interface default no passive-interface Tunnel62 network 10.100.52.0 0.0.0.15 area 1 network 172.16.62.0 0.0.0.127 area 1
на HUBах
router ospf 62 vrf vpn-group router-id 172.16.62.254 log-adjacency-changes network 10.0.62.16 0.0.0.15 area 0 network 172.16.62.0 0.0.0.127 area 1
Хочу сделать банальный маршрут по умолчанию на SPOKE. Для этого необходимо на обоих HUBaх сказать команду default-information originate или на одном? Пробовал на одном. На 2-м хабе маршрут по умолчанию появляется, а на SPOKE нет. Понять ничего не могу:( На всякий пожарный выкладываю конфигурицию тунелей
на SPOKE
interface Tunnel62 ip address 172.16.62.20 255.255.255.128 no ip redirects ip mtu 1400 ip nhrp authentication **** ip nhrp map multicast dynamic ip nhrp map 172.16.62.1 *.*.*.148 ip nhrp map multicast *.*.*.148 ip nhrp map 172.16.62.2 *.*.*.147 ip nhrp map multicast *.*.*.147 ip nhrp network-id 10 ip nhrp nhs 172.16.62.1 ip nhrp nhs 172.16.62.2 ip ospf network broadcast ip ospf priority 0 tunnel source FastEthernet4 tunnel mode gre multipoint tunnel key 10
на Hubах
interface Tunnel62 description Tunnel to RZN ip vrf forwarding vpn-group ip address 172.16.62.1(2) 255.255.255.128 no ip redirects ip mtu 1400 ip nhrp authentication *** ip nhrp map multicast dynamic ip nhrp network-id 10 ip ospf network broadcast ip ospf priority 9 tunnel source GigabitEthernet0/0.211 tunnel mode gre multipoint tunnel key 10
по OSPF все друг друга видят
на SPOKE
Neighbor ID Pri State Dead Time Address Interface 172.16.62.254 8 2WAY/DROTHER 00:00:39 172.16.62.2 Tunnel62 172.16.62.255 9 FULL/DR 00:00:39 172.16.62.1 Tunnel62
на HUB1
Neighbor ID Pri State Dead Time Address Interface 172.16.62.254 1 FULL/BDR 00:00:39 10.0.62.17 GigabitEthernet0/1.97 172.16.62.20 0 FULL/DROTHER 00:00:39 172.16.62.20 Tunnel62
на HUB2
Neighbor ID Pri State Dead Time Address Interface 172.16.62.255 1 FULL/DR 00:00:35 10.0.62.18 GigabitEthernet0/1.97 172.16.62.20 0 FULL/DROTHER 00:00:38 172.16.62.20 Tunnel62
на SPOKE
O IA 10.0.62.16/28 [110/1001] via 172.16.62.2, 00:03:04, Tunnel62 [110/1001] via 172.16.62.1, 00:02:44, Tunnel62
и более ничего не хочет показывать. Команда default-information originate не помогает (на на что не влияет,ни на одном хабе)
Что я делаю не так?
|
27 янв 2012, 14:36 |
|
|
1432
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 19
|
Добрый день, 1. если на маршрутизаторе, который инжектирует дефолт в OSPF есть сам дефолт (например статический), то действительно достаточно: default-information originate 2. если на маршрутизаторе, который инжектирует дефолт нет дефолта, то тогда необходимо добавить always (пишется как название прокладок default-information originate always RTFM -> http://www.cisco.com/en/US/tech/tk365/t ... c9f0.shtmlP.S. ты для себя решил кто должен распространять этот самый дефолт соседям? На нём и надо прописывать эту комманду.
Вложения:
[Расширение jpg было запрещено, вложение больше недоступно.]
|
27 янв 2012, 16:15 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Всё было бы шоколадно, если бы не было так прискорбно Команда не дает ничего нового. Дефолтный маршрут на клиенте не появился Кстати на тему прописывать команду на одном из HUBов - так ведь смысл то в том что если один умирает - 2-й подхватывает. Т.е. наверное писать команду надо на обоих и приоритетом ставить один маршрут лучше другого. По вашей ссылке нашел оч удачный примерчик вот здесь http://www.cisco.com/en/US/tech/tk365/t ... c9f7.shtmlвариант практически мой (у меня все таки тунели, а не серийники) Ну и вы думаете помогло? А вот шиш!. Может баг какой то? Дурдом просто
|
27 янв 2012, 16:29 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
В посленем примере который вы смотрели другой тип зоны присутствует – stub, при ее использовании spoke дефолт получать должен точно. Кстати вы с типом зон не намудрили случаем ? Может скопировали не до конца конфигурацию OSPF ?
Рекомендую вам перезапустить ospf процессы и еще вопрос, вы это на реальном оборудовании настраиваете ?
|
27 янв 2012, 19:46 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Да я настраиваю на реально моборудовании. К тому же я вроде конфиги сверху привел. Они сняты с оборудования т.е. сейчас работает так. Но я добавил на всех 3-х железказ что area 1 stub. Если бы все получалось как написано, я бы сюда не писал. Голову сломал уже. Но слава богу есть выходные. Я его добью. По крайней мере обязан разобраться в чем косяк. (Есть одна особенность, SPOKE еще одновременно подключен как easy vpn client к одному из HUB. Я не стал удалять коннект потому что делал в рабочее время, а там люди. Думал что перетянет ospf дефолтеый маршрут на себя (на тунели) и тогда снесу клиента. А оно никак )
|
27 янв 2012, 20:54 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Да я настраиваю на реальном оборудовании. К тому же я вроде конфиги сверху привел. Они сняты с оборудования т.е. сейчас работает так. Но я добавил на всех 3-х железказ что area 1 stub. Если бы все получалось как написано, я бы сюда не писал. Голову сломал уже. Но слава богу есть выходные. Я его добью. По крайней мере обязан разобраться в чем косяк. (Есть одна особенность, SPOKE еще одновременно подключен как easy vpn client к одному из HUB. Я не стал удалять коннект потому что делал в рабочее время, а там люди. Думал что перетянет ospf дефолтный маршрут на себя (на тунели) и тогда снесу клиента. А оно никак )
|
27 янв 2012, 20:55 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
Все что вам выше советовали - работает. Нужна помощь - давайте конфиги.
|
27 янв 2012, 23:14 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
Со stub работать и не будет, тк default-information генерирует Type-5 маршрут. А он в данный тип арии не передается.
|
27 янв 2012, 23:17 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
Советую вообще перевести все маршрутизаторы в арию 0.0.0.0 , делить ospf на части надо при очень больших сетях.
|
27 янв 2012, 23:20 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
А что такое stab ? Там и так будет дефолт эта команда там не нужна.
|
27 янв 2012, 23:21 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
Вовет по поводу area 0, тоже весьма странный, дело тут не только в размере сети, но и в ширине каналов тоже, правильно настроенная суммаризаиця может дать преимущество при относительно не большом количестве маршрутизаторов но при большом количестве маршрутов и правильной настройке.
|
28 янв 2012, 01:02 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Выкладываю конфиги. Я убрал часть конфигурации которая явно не имеет отношения к делу. (Например настройки VPN,aaa,acl,passwords)
HUBы с3825 c3825-advipservicesk9-mz.124-24.T4.bin SPOKE с871W c870-advipservicesk9-mz.124-24.T2.bin
---SPOKE---
no service pad service timestamps debug datetime msec service timestamps log datetime localtime service password-encryption ! hostname rt-nnv-cuu ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 4096 logging rate-limit 10 except warnings logging console critical
! no aaa new-model
!
dot11 syslog ! dot11 ssid ****** authentication open authentication key-management wpa guest-mode wpa-psk ascii 7 ****** ! ip source-route ! ! no ip dhcp use vrf connected ip dhcp excluded-address 10.100.52.1 ! ip dhcp pool LAN-DHCP-POOL network 10.100.52.0 255.255.255.240 domain-name oranta-sk.ru default-router 10.100.52.1 dns-server 10.52.10.20 10.62.10.100 lease 30 ! ! ip cef
ip inspect name Out-If-Inspect tcp ip inspect name Out-If-Inspect udp ip inspect name Out-If-Inspect isakmp ip inspect name Out-If-Inspect icmp ip inspect name Out-If-Inspect ssh ip inspect name Out-If-Inspect https ip inspect name Out-If-Inspect dns ip inspect name BVI-If-Inspect tcp ip inspect name BVI-If-Inspect udp ip inspect name BVI-If-Inspect icmp ip inspect name BVI-If-Inspect http ip inspect name BVI-If-Inspect https ip inspect name BVI-If-Inspect esmtp ip inspect name VTI-If-Inspect tcp ip inspect name VTI-If-Inspect udp ip inspect name VTI-If-Inspect icmp no ipv6 cef ! multilink bundle-name authenticated ! password encryption aes dot1x system-auth-control !
! bridge irb ! !
! interface Tunnel62 ip address 172.16.62.20 255.255.255.128 no ip redirects ip mtu 1400 ip nhrp authentication cisco123 ip nhrp map multicast dynamic ip nhrp map 172.16.62.1 *.*.*.148 ip nhrp map multicast *.*.*.148 ip nhrp map 172.16.62.2 *.*.*.147 ip nhrp map multicast *.*.*.147 ip nhrp network-id 10 ip nhrp nhs 172.16.62.1 ip nhrp nhs 172.16.62.2 ip ospf network broadcast ip ospf priority 0 tunnel source FastEthernet4 tunnel mode gre multipoint tunnel key 10 ! interface FastEthernet0 switchport access vlan 2 ! interface FastEthernet1 switchport access vlan 2 ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 2 ! interface FastEthernet4 ip address *.*.*.1 255.255.255.0 no ip proxy-arp ip nat outside ip inspect Out-If-Inspect in no ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Virtual-Template1 type tunnel ip unnumbered BVI2 ip inspect VTI-If-Inspect in shutdown tunnel mode ipsec ipv4 ! interface Dot11Radio0 no ip address ! encryption vlan 2 mode ciphers tkip ! encryption mode ciphers tkip ! ssid AG-77-185 ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root bridge-group 2 bridge-group 2 subscriber-loop-control bridge-group 2 spanning-disabled bridge-group 2 block-unknown-source no bridge-group 2 source-learning no bridge-group 2 unicast-flooding ! interface Vlan1 no ip address shutdown ! interface Vlan2 no ip address bridge-group 2 bridge-group 2 spanning-disabled ! interface BVI2 ip address 10.100.52.1 255.255.255.240 ip nat inside ip inspect BVI-If-Inspect in no ip virtual-reassembly ! router ospf 62 log-adjacency-changes area 1 stub passive-interface FastEthernet4 network 10.100.52.0 0.0.0.15 area 1 network 172.16.62.0 0.0.0.127 area 1 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 95.79.59.254 no ip http server ip http secure-server ! ! ip dns server ip nat inside source list Address-Translation interface FastEthernet4 overload ! ip access-list extended Address-Translation permit ip 10.100.52.0 0.0.0.15 any
!
-----HUB 1 и 2----- ! crypto logging session crypto logging ezvpn ! crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 ! crypto isakmp policy 50 encr 3des hash md5 authentication pre-share group 2
crypto isakmp invalid-spi-recovery crypto isakmp keepalive 20 periodic ! ! archive log config hidekeys ! ! ip ftp source-interface Loopback0 ip tftp source-interface Loopback0 ip ssh source-interface Loopback0 ip ssh rsa keypair-name SSH ip ssh version 2 ip ssh dscp 24 ! ! ! policy-map police_256 class class-default police cir 256000 exceed-action drop violate-action drop ! ! ! ! ! interface Loopback0 description RID ip address 10.0.255.210 255.255.255.255 ! interface Loopback2 description temp ip address 10.62.1.201 255.255.255.255 ! interface Loopback79 ip address *.*.*.134 255.255.255.255 no ip redirects no ip unreachables no ip proxy-arp ip ospf 52164 area 0 ! interface Loopback100 no ip address ! interface Loopback1000 ip vrf forwarding vpn-group ip address 10.62.50.1 255.255.255.255 ! interface Tunnel62 description Tunnel to RZN ip vrf forwarding vpn-group ip address 172.16.62.2 255.255.255.128 no ip redirects ip mtu 1400 ip nhrp authentication cisco123 ip nhrp map multicast dynamic ip nhrp network-id 10 ip ospf network broadcast ip ospf priority 8 tunnel source GigabitEthernet0/0.211 tunnel mode gre multipoint tunnel key 10 ! ! interface Null0 no ip unreachables ! interface GigabitEthernet0/0 description sw1-edge-rzn | Gi0/5 dampening no ip address no ip unreachables no ip proxy-arp ip flow monitor net-flow input ip flow monitor net-flow output load-interval 30 duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/0.211 description description sw1-edge-rzn / vl211 vpn responder encapsulation dot1Q 211 ip address *.*.*.147 255.255.255.248 ip access-group Outside-Inbound-Filter in ip ospf authentication message-digest ip ospf message-digest-key 1 md5 7 ip ospf 52164 area 0 standby version 2 standby 1 ip *.*.*.149 standby 1 priority 150 standby 1 preempt delay reload 300 standby 1 authentication md5 key-string 7 standby 1 name vpn-ha-out-1 standby 1 track GigabitEthernet0/1 60 standby 3 ip *.*.*.150 standby 3 preempt delay reload 300 standby 3 authentication md5 key-string 7 standby 3 name vpn-ha-out-2 standby 3 track GigabitEthernet0/1 ! interface GigabitEthernet0/1 description to sw1-dmz-rzn | Gi1/0/5 dampening no ip address ip flow monitor net-flow input ip flow monitor net-flow output load-interval 30 duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1.96 description vlan96 | backup crypto encapsulation dot1Q 96 ip address 10.62.96.3 255.255.255.240 standby version 2 standby 96 ip 10.62.96.5 standby 96 preempt delay reload 300 standby 96 authentication md5 key-string 7 standby 96 name orn-ha-96 standby 96 track GigabitEthernet0/0 60 ! interface GigabitEthernet0/1.97 description vlan97 | vpn-group encapsulation dot1Q 97 ip vrf forwarding vpn-group ip address 10.0.62.17 255.255.255.240 standby version 2 standby 97 ip 10.0.62.20 standby 97 priority 150 standby 97 preempt delay reload 300 standby 97 authentication md5 key-string 7 standby 97 name vpn-ha-97 standby 97 track GigabitEthernet0/0 60 !
! router ospf 62 vrf vpn-group router-id 172.16.62.254 log-adjacency-changes area 1 stub network 10.0.62.16 0.0.0.15 area 0 network 172.16.62.0 0.0.0.127 area 1 default-information originate ! router ospf 52164 router-id *.*.*.134 log-adjacency-changes passive-interface default no passive-interface GigabitEthernet0/0.211 ! router bgp 65000 template peer-policy branch route-map branch-in in route-map branch-out out soft-reconfiguration inbound send-community exit-peer-policy ! template peer-policy ibgp next-hop-self send-community exit-peer-policy ! template peer-session branch remote-as 52164 version 4 exit-peer-session ! template peer-session ibgp remote-as 65000 update-source Loopback0 version 4 exit-peer-session ! bgp router-id 10.0.255.210 no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 10.0.54.102 inherit peer-session branch neighbor 10.0.63.102 inherit peer-session branch neighbor 10.0.71.102 inherit peer-session branch neighbor 10.0.74.102 inherit peer-session branch neighbor 10.0.77.102 inherit peer-session branch neighbor 10.0.177.102 inherit peer-session branch neighbor 10.0.255.250 inherit peer-session ibgp ! address-family ipv4 neighbor 10.0.54.102 activate neighbor 10.0.54.102 inherit peer-policy branch neighbor 10.0.63.102 activate neighbor 10.0.63.102 inherit peer-policy branch neighbor 10.0.71.102 activate neighbor 10.0.71.102 inherit peer-policy branch neighbor 10.0.74.102 activate neighbor 10.0.74.102 inherit peer-policy branch neighbor 10.0.77.102 activate neighbor 10.0.77.102 inherit peer-policy branch neighbor 10.0.177.102 activate neighbor 10.0.177.102 inherit peer-policy branch neighbor 10.0.255.250 activate neighbor 10.0.255.250 inherit peer-policy ibgp no auto-summary no synchronization network 10.0.255.210 mask 255.255.255.255 exit-address-family !
ip forward-protocol nd ip route 10.0.255.211 255.255.255.255 10.62.96.2 ip route 10.0.255.250 255.255.255.255 10.62.96.1 ip route vrf vpn-group 0.0.0.0 0.0.0.0 10.0.62.25 254 ip route vrf vpn-group 10.62.50.0 255.255.255.0 Null0 254 ip route vrf vpn-group 10.62.51.0 255.255.255.0 Null0 254 ip route vrf vpn-group 10.62.52.0 255.255.255.0 Null0 254 ip route vrf vpn-group 10.62.53.0 255.255.255.0 Null0 254 ip route vrf vpn-group 10.62.54.0 255.255.255.0 Null0 254 no ip http server no ip http secure-server ! ip bgp-community new-format ip as-path access-list 1 permit ^$ ! ! ip access-list extended CPORTAL-GROUP-ACL permit ip host 10.62.10.105 any permit ip host 192.168.10.102 any permit ip host 10.62.10.100 any ip access-list extended DWH-GROUP-ACL permit ip host 192.168.10.144 any permit ip host 10.62.12.110 any ip access-list extended ELISS-GROUP-ACL permit ip host 10.62.10.202 any permit ip host 10.62.10.100 any permit ip host 10.62.64.22 any ip access-list extended IDIT-ACCESS-ACL permit ip host 10.62.12.90 any permit ip host 10.62.10.100 any ip access-list extended IDIT-GROUP-ACL permit ip 10.62.12.0 0.0.0.255 any permit ip host 192.168.213.98 any permit ip host 192.168.17.59 any ip access-list extended OBERON-GROUP-ACL permit ip 10.62.8.0 0.0.0.255 any permit ip 10.62.28.0 0.0.0.255 any
ip access-list extended Routes4Agencies permit ip 10.0.0.0 0.255.255.255 any permit ip 192.168.0.0 0.0.255.255 any permit ip 172.16.0.0 0.15.255.255 any ip access-list extended admin-access-routes permit ip 10.62.0.0 0.0.0.255 any permit ip 10.0.62.16 0.0.0.15 any permit ip 10.0.255.0 0.0.0.255 any permit ip 10.62.4.0 0.0.0.255 any permit ip 10.62.5.0 0.0.0.255 any permit ip 192.168.201.0 0.0.0.255 any permit ip 10.62.19.0 0.0.0.255 any permit ip 10.62.18.0 0.0.0.255 any permit ip 10.62.10.0 0.0.0.255 any permit ip 192.168.213.0 0.0.0.255 any permit ip 10.62.12.0 0.0.0.255 any permit ip 192.168.10.0 0.0.0.255 any ip access-list extended cportal-group-acl ip access-list extended invision-group-routes permit ip 10.62.6.0 0.0.0.255 any permit ip host 10.62.19.34 any permit ip host 10.62.19.33 any ip access-list extended manager-group-acl permit ip 10.62.10.0 0.0.0.255 any permit ip 10.62.12.0 0.0.0.255 any permit ip 192.168.10.0 0.0.0.255 any permit ip host 192.168.213.53 any ! ! ip prefix-list pfx-loop-0 description local loopback 0 address ip prefix-list pfx-loop-0 seq 5 permit 10.0.255.210/32 ip prefix-list pfx-loop-0 seq 10 permit 10.0.255.211/32 ! ip prefix-list vpn-50/51 seq 10 permit 10.62.50.0/24 ip prefix-list vpn-50/51 seq 15 permit 10.62.51.0/24 ! ip prefix-list vpn-52/53 seq 10 permit 10.62.52.0/24 ip prefix-list vpn-52/53 seq 15 permit 10.62.53.0/24 access-list 5 remark -- Hosts permitted to read SNMP MIBs on the router access-list 5 permit 10.62.5.0 0.0.0.255 access-list 10 remark -- NTP Servers for this router access-list 10 permit 10.0.255.250 access-list 10 permit 10.0.255.201 access-list 10 permit 10.0.255.202 access-list 10 permit 10.0.255.99 access-list 11 permit 192.168.201.30 access-list 11 remark for Quiet-Mode permit access-list 11 permit 10.1.1.0 0.0.0.255 access-list 11 permit 10.62.19.0 0.0.0.255 access-list 11 permit 10.62.20.0 0.0.0.255 access-list 109 remark for remote access access-list 109 permit tcp 10.0.255.0 0.0.0.255 any eq 22 access-list 109 permit tcp 10.0.255.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.0.1.0 0.0.0.7 any eq 22 access-list 109 permit tcp 10.0.1.0 0.0.0.7 any eq telnet access-list 109 permit tcp 10.62.5.0 0.0.0.255 any eq 22 access-list 109 permit tcp 10.0.0.0 0.0.0.255 any eq 22 access-list 109 permit tcp 10.0.0.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.0.62.0 0.0.0.15 any eq 22 access-list 109 permit tcp 10.0.62.0 0.0.0.15 any eq telnet access-list 109 permit tcp 10.62.3.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.62.4.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.62.18.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.62.19.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.62.54.0 0.0.0.255 any eq telnet access-list 109 permit tcp 192.168.10.0 0.0.0.255 any eq 22 access-list 109 permit tcp 192.168.10.0 0.0.0.255 any eq telnet access-list 109 permit tcp 192.168.0.9 0.0.255.0 any eq 22 access-list 109 permit tcp 192.168.0.9 0.0.255.0 any eq telnet access-list 109 permit tcp 192.168.201.0 0.0.0.255 any eq 22 access-list 109 permit tcp 192.168.201.0 0.0.0.255 any eq telnet access-list 109 permit tcp 192.168.5.0 0.0.0.255 any eq 22 access-list 109 permit tcp 192.168.5.0 0.0.0.255 any eq telnet access-list 109 permit tcp 10.0.62.248 0.0.0.7 any eq telnet access-list 109 permit tcp 10.0.62.248 0.0.0.7 any eq 22 ! ! ! ! route-map branch-in permit 1 ! route-map branch-out permit 10 match ip address prefix-list pfx-loop-0 set community 52164:0 ! route-map branch-out permit 20 match as-path 1 ! route-map branch-out deny 100
Маршрутизация: -- SPOKE --- Прописал внутр сети пока вручную
172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks S 10.0.0.0/8 [1/0] via 172.16.62.2 O IA 10.0.62.16/28 [110/1001] via 172.16.62.1, 00:06:16, Tunnel62 C 10.100.52.0/28 is directly connected, BVI2 95.0.0.0/24 is subnetted, 1 subnets C 95.79.59.0 is directly connected, FastEthernet4 S* 0.0.0.0/0 [1/0] via *.*.*.254 S 172.16.0.0/12 [1/0] via 172.16.62.2 S 192.168.0.0/16 [1/0] via 172.16.62.2
----на HUBs----- 1) C 172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/8 is variably subnetted, 8 subnets, 3 masks S 10.62.52.0/24 is directly connected, Null0 S 10.62.53.0/24 is directly connected, Null0 S 10.62.54.0/24 is directly connected, Null0 S 10.62.50.0/24 is directly connected, Null0 S 10.62.51.0/24 is directly connected, Null0 C 10.0.62.16/28 is directly connected, GigabitEthernet0/1.97 O 10.100.52.0/28 [110/1001] via 172.16.62.20, 00:27:56, Tunnel62 C 10.62.54.254/32 is directly connected, Loopback254 S* 0.0.0.0/0 [100/0] via 10.0.62.25
2)
172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/8 is variably subnetted, 12 subnets, 4 masks S 10.62.52.0/24 is directly connected, Null0 S 10.62.53.0/24 is directly connected, Null0 S 10.62.54.0/24 is directly connected, Null0 S 10.62.50.0/24 is directly connected, Null0 S 10.62.51.0/24 is directly connected, Null0 C 10.62.50.1/32 is directly connected, Loopback1000 S 10.62.54.14/32 [1/0] via 91.77.11.14, Virtual-Access8 C 10.0.62.16/28 is directly connected, GigabitEthernet0/1.97 S 10.100.78.8/29 [1/0] via 0.0.0.0, Virtual-Access2 S 10.100.78.16/28 [1/0] via 0.0.0.0, Virtual-Access4 S 10.100.77.16/28 [1/0] via 0.0.0.0, Virtual-Access3 O IA 10.100.52.0/28 [110/1002] via 10.0.62.18, 00:27:25, GigabitEthernet0/1.97 O*E2 0.0.0.0/0 [110/1] via 10.0.62.25, 01:27:27, GigabitEthernet0/1.97
Вот как то так.
Задача на самом деле немного другая. Я хотел что бы по тунелю были доступны только внутр сети. Но не получилось с наскока и решил сделать хотя бы элементарное, но и это не получилось. Потому и прошу помощи зала.
|
28 янв 2012, 20:05 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
Бессмысленно ждать ospf дефолт при наличии статика ip route 0.0.0.0 0.0.0.0 95.79.59.254
|
28 янв 2012, 20:54 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
В каком виде "внутренние сети" присутствуют на хабах? Если это те несколько статиков в конфиге, то их сначала надо ввести в ospf процесс.
|
28 янв 2012, 21:07 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Хм. Так если этой статики не будет, как же железка в интернет то попадет для того что бы подключится? Единственное - прописать маршрут только на адреса HUBов. Идея!
Хорошо. Скорее всего это получится. (Я буду проверять вечеркомс)
Тогда о задаче. Хочу что бы в OSPF уходили все внутр сети (10.*, 172.16.*, 192.168.*) Этих сетей нет на hub (ну кроме 10.й) . Как их запихать в OSPF? Написать acl с этими сетями и подсунуть в redictribute static network ?
|
28 янв 2012, 21:12 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
Ну да, redictribute static, обычно самый оптимальный способ. Я использую для фильтрации route-map и prefix-list
|
28 янв 2012, 21:18 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
и УБЕРИТЕ stub. иначе ваш redictribute до споков не дойдет.
|
28 янв 2012, 21:19 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Да.. Позабыл я CCNP Без практики.. Сделал на HUBe одном router ospf 62 vrf vpn-group router-id 172.16.62.255 log-adjacency-changes redistribute static route-map Static-to-OSPF network 10.0.62.16 0.0.0.15 area 0 network 172.16.62.0 0.0.0.127 area 1 route-map Static-to-OSPF, permit, sequence 10 Match clauses: ip address (access-lists): 62 Set clauses: Policy routing matches: 0 packets, 0 bytes Standard IP access list 62 10 permit 10.0.0.0, wildcard bits 0.255.255.255 20 permit 192.168.0.0, wildcard bits 0.0.255.255 30 permit 172.16.0.0, wildcard bits 0.15.255.255 В итоге на SPOKE 172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/28 is subnetted, 2 subnets O IA 10.0.62.16 [110/1001] via 172.16.62.2, 00:09:21, Tunnel62 [110/1001] via 172.16.62.1, 00:08:43, Tunnel62 C 10.100.52.0 is directly connected, BVI2 95.0.0.0/24 is subnetted, 1 subnets C 95.79.59.0 is directly connected, FastEthernet4 S* 0.0.0.0/0 [1/0] via 95.79.59.254 Я и для того что бы эти сети пробросить должен убрать дефолтный маршрут? Блин Пока книжку читать опять
|
28 янв 2012, 21:31 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
сделайте так: ip prefix-list ten-net permit 10.0.0.0/8 le 32
route-map Static-to-OSPF match ip address prefix-list ten-net
|
28 янв 2012, 21:37 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
В команде redistribute важно subnets не забыть указать. К автору просьба в следующий раз более четко формулировать задачу To Lomax: Stub Areas: These areas do not accept routes belonging to external autonomous systems (AS); however, these areas have inter-area and intra-area routes. In order to reach the outside networks, the routers in the stub area use a default route which is injected into the area by the Area Border Router (ABR). A stub area is typically configured in situations where the branch office need not know about all the routes to every other office, instead it could use a default route to the central office and get to other places from there. Hence the memory requirements of the leaf node routers is reduced, and so is the size of the OSPF database.
|
28 янв 2012, 21:48 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Сделал
route-map Static-to-OSPF, permit, sequence 10 Match clauses: ip address prefix-lists: net-ten Set clauses: Policy routing matches: 0 packets, 0 bytes
ip prefix-list net-ten: 1 entries seq 5 permit 10.0.0.0/8 le 32
router ospf 62 vrf vpn-group router-id 172.16.62.255 log-adjacency-changes redistribute static route-map Static-to-OSPF network 10.0.62.16 0.0.0.15 area 0 network 172.16.62.0 0.0.0.127 area 1
и на SPOKE
172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/28 is subnetted, 2 subnets O IA 10.0.62.16 [110/1001] via 172.16.62.2, 00:28:46, Tunnel62 [110/1001] via 172.16.62.1, 00:28:08, Tunnel62 C 10.100.52.0 is directly connected, BVI2 95.0.0.0/24 is subnetted, 1 subnets C 95.79.59.0 is directly connected, FastEthernet4 S* 0.0.0.0/0 [1/0] via 95.79.59.254
Блин
При добавлении subnets появляются только сети которые вручную прописаны на HUBe. А именно получается
172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O E2 10.62.52.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62 O E2 10.62.53.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62 O E2 10.62.54.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62 O E2 10.62.50.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62 O E2 10.62.51.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62 O IA 10.0.62.16/28 [110/1001] via 172.16.62.2, 00:33:04, Tunnel62 [110/1001] via 172.16.62.1, 00:32:26, Tunnel62 C 10.100.52.0/28 is directly connected, BVI2 95.0.0.0/24 is subnetted, 1 subnets C 95.79.59.0 is directly connected, FastEthernet4 S* 0.0.0.0/0 [1/0] via 95.79.59.254
Это мне в итоге просто прописать все 3-и класса сетей на HUB и типа будет счастие? А самим route-map я могу просто фильтровать что отдавать из этих прописанных маршрутов для SPOKE ? Так?
Последний раз редактировалось Starican 28 янв 2012, 21:55, всего редактировалось 1 раз.
|
28 янв 2012, 21:50 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
redistribute static route-map Static-to-OSPF subnets !
|
28 янв 2012, 21:53 |
|
|
998
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 258
|
Покажите sh ip route на HUB для сети которую не видите на spoke..
|
28 янв 2012, 21:58 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Да дошло.... Прописал на HUB-е ip route vrf vpn-group 10.0.0.0 255.0.0.0 10.0.62.25 получил на SPOKE 172.16.0.0/25 is subnetted, 1 subnets C 172.16.62.0 is directly connected, Tunnel62 10.0.0.0/8 is variably subnetted, 8 subnets, 3 masks O E2 10.62.52.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62 O E2 10.62.53.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62 O E2 10.62.54.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62 O E2 10.62.50.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62 O E2 10.62.51.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62 O E2 10.0.0.0/8 [110/20] via 172.16.62.1, 00:00:02, Tunnel62O IA 10.0.62.16/28 [110/1001] via 172.16.62.1, 00:35:20, Tunnel62 C 10.100.52.0/28 is directly connected, BVI2 95.0.0.0/24 is subnetted, 1 subnets C 95.79.59.0 is directly connected, FastEthernet4 S* 0.0.0.0/0 [1/0] via 95.79.59.254 Опустился... Ниже плинтуса..
|
28 янв 2012, 21:59 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
Как мало надо для счастья
|
28 янв 2012, 22:01 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|