Сообщения без ответов | Активные темы Текущее время: 03 окт 2024, 16:23



Ответить на тему  [ Сообщений: 27 ]  На страницу 1, 2  След.
OSPF Проблема 
Автор Сообщение

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
День добрый.
Никак не разберусь с проблемкой. Надеюсь на коллективный разум.
Строю банальный DMVPN c 2HUBами

на SPOKE

router ospf 100
log-adjacency-changes
passive-interface default
no passive-interface Tunnel62
network 10.100.52.0 0.0.0.15 area 1
network 172.16.62.0 0.0.0.127 area 1


на HUBах

router ospf 62 vrf vpn-group
router-id 172.16.62.254
log-adjacency-changes
network 10.0.62.16 0.0.0.15 area 0
network 172.16.62.0 0.0.0.127 area 1

Хочу сделать банальный маршрут по умолчанию на SPOKE. Для этого необходимо на обоих HUBaх сказать команду default-information originate или на одном?
Пробовал на одном. На 2-м хабе маршрут по умолчанию появляется, а на SPOKE нет.
Понять ничего не могу:(
На всякий пожарный выкладываю конфигурицию тунелей

на SPOKE

interface Tunnel62
ip address 172.16.62.20 255.255.255.128
no ip redirects
ip mtu 1400
ip nhrp authentication ****
ip nhrp map multicast dynamic
ip nhrp map 172.16.62.1 *.*.*.148
ip nhrp map multicast *.*.*.148
ip nhrp map 172.16.62.2 *.*.*.147
ip nhrp map multicast *.*.*.147
ip nhrp network-id 10
ip nhrp nhs 172.16.62.1
ip nhrp nhs 172.16.62.2
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 10


на Hubах

interface Tunnel62
description Tunnel to RZN
ip vrf forwarding vpn-group
ip address 172.16.62.1(2) 255.255.255.128
no ip redirects
ip mtu 1400
ip nhrp authentication ***
ip nhrp map multicast dynamic
ip nhrp network-id 10
ip ospf network broadcast
ip ospf priority 9
tunnel source GigabitEthernet0/0.211
tunnel mode gre multipoint
tunnel key 10


по OSPF все друг друга видят

на SPOKE

Neighbor ID Pri State Dead Time Address Interface
172.16.62.254 8 2WAY/DROTHER 00:00:39 172.16.62.2 Tunnel62
172.16.62.255 9 FULL/DR 00:00:39 172.16.62.1 Tunnel62


на HUB1

Neighbor ID Pri State Dead Time Address Interface
172.16.62.254 1 FULL/BDR 00:00:39 10.0.62.17 GigabitEthernet0/1.97
172.16.62.20 0 FULL/DROTHER 00:00:39 172.16.62.20 Tunnel62

на HUB2

Neighbor ID Pri State Dead Time Address Interface
172.16.62.255 1 FULL/DR 00:00:35 10.0.62.18 GigabitEthernet0/1.97
172.16.62.20 0 FULL/DROTHER 00:00:38 172.16.62.20 Tunnel62


на SPOKE

O IA 10.0.62.16/28 [110/1001] via 172.16.62.2, 00:03:04, Tunnel62
[110/1001] via 172.16.62.1, 00:02:44, Tunnel62

и более ничего не хочет показывать. Команда default-information originate не помогает (на на что не влияет,ни на одном хабе)

Что я делаю не так?


27 янв 2012, 14:36
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 19
Добрый день,

1. если на маршрутизаторе, который инжектирует дефолт в OSPF есть сам дефолт (например статический), то действительно достаточно:
default-information originate

2. если на маршрутизаторе, который инжектирует дефолт нет дефолта, то тогда необходимо добавить always (пишется как название прокладок ;)
default-information originate always



RTFM -> http://www.cisco.com/en/US/tech/tk365/t ... c9f0.shtml



P.S. ты для себя решил кто должен распространять этот самый дефолт соседям? На нём и надо прописывать эту комманду.


Вложения:
[Расширение jpg было запрещено, вложение больше недоступно.]
27 янв 2012, 16:15
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Всё было бы шоколадно, если бы не было так прискорбно :(
Команда не дает ничего нового.
Дефолтный маршрут на клиенте не появился :(

Кстати на тему прописывать команду на одном из HUBов - так ведь смысл то в том что если один умирает - 2-й подхватывает. Т.е. наверное писать команду надо на обоих и приоритетом ставить один маршрут лучше другого.

По вашей ссылке нашел оч удачный примерчик вот здесь
http://www.cisco.com/en/US/tech/tk365/t ... c9f7.shtml
вариант практически мой (у меня все таки тунели, а не серийники)
Ну и вы думаете помогло? А вот шиш!.

Может баг какой то? Дурдом просто :(


27 янв 2012, 16:29
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
В посленем примере который вы смотрели другой тип зоны присутствует – stub, при ее использовании spoke дефолт получать должен точно. Кстати вы с типом зон не намудрили случаем ? Может скопировали не до конца конфигурацию OSPF ?

Рекомендую вам перезапустить ospf процессы и еще вопрос, вы это на реальном оборудовании настраиваете ?


27 янв 2012, 19:46
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Да я настраиваю на реально моборудовании.

К тому же я вроде конфиги сверху привел. Они сняты с оборудования т.е. сейчас работает так. Но я добавил на всех 3-х железказ что area 1 stub.
Если бы все получалось как написано, я бы сюда не писал. Голову сломал уже.
Но слава богу есть выходные. Я его добью. По крайней мере обязан разобраться в чем косяк.
(Есть одна особенность, SPOKE еще одновременно подключен как easy vpn client к одному из HUB. Я не стал удалять коннект потому что делал в рабочее время, а там люди. Думал что перетянет ospf дефолтеый маршрут на себя (на тунели) и тогда снесу клиента. А оно никак :( )


27 янв 2012, 20:54
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Да я настраиваю на реальном оборудовании.

К тому же я вроде конфиги сверху привел. Они сняты с оборудования т.е. сейчас работает так. Но я добавил на всех 3-х железказ что area 1 stub.
Если бы все получалось как написано, я бы сюда не писал. Голову сломал уже.
Но слава богу есть выходные. Я его добью. По крайней мере обязан разобраться в чем косяк.
(Есть одна особенность, SPOKE еще одновременно подключен как easy vpn client к одному из HUB. Я не стал удалять коннект потому что делал в рабочее время, а там люди. Думал что перетянет ospf дефолтный маршрут на себя (на тунели) и тогда снесу клиента. А оно никак :( )


27 янв 2012, 20:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
Все что вам выше советовали - работает. Нужна помощь - давайте конфиги.


27 янв 2012, 23:14
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Со stub работать и не будет, тк default-information генерирует Type-5 маршрут. А он в данный тип арии не передается.


27 янв 2012, 23:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Советую вообще перевести все маршрутизаторы в арию 0.0.0.0 , делить ospf на части надо при очень больших сетях.


27 янв 2012, 23:20
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
А что такое stab ? Там и так будет дефолт эта команда там не нужна.


27 янв 2012, 23:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
Вовет по поводу area 0, тоже весьма странный, дело тут не только в размере сети, но и в ширине каналов тоже, правильно настроенная суммаризаиця может дать преимущество при относительно не большом количестве маршрутизаторов но при большом количестве маршрутов и правильной настройке.


28 янв 2012, 01:02
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Выкладываю конфиги.
Я убрал часть конфигурации которая явно не имеет отношения к делу. (Например настройки VPN,aaa,acl,passwords)

HUBы с3825 c3825-advipservicesk9-mz.124-24.T4.bin
SPOKE с871W c870-advipservicesk9-mz.124-24.T2.bin

---SPOKE---


no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname rt-nnv-cuu
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 4096
logging rate-limit 10 except warnings
logging console critical

!
no aaa new-model

!

dot11 syslog
!
dot11 ssid ******
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 ******
!
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.100.52.1
!
ip dhcp pool LAN-DHCP-POOL
network 10.100.52.0 255.255.255.240
domain-name oranta-sk.ru
default-router 10.100.52.1
dns-server 10.52.10.20 10.62.10.100
lease 30
!
!
ip cef

ip inspect name Out-If-Inspect tcp
ip inspect name Out-If-Inspect udp
ip inspect name Out-If-Inspect isakmp
ip inspect name Out-If-Inspect icmp
ip inspect name Out-If-Inspect ssh
ip inspect name Out-If-Inspect https
ip inspect name Out-If-Inspect dns
ip inspect name BVI-If-Inspect tcp
ip inspect name BVI-If-Inspect udp
ip inspect name BVI-If-Inspect icmp
ip inspect name BVI-If-Inspect http
ip inspect name BVI-If-Inspect https
ip inspect name BVI-If-Inspect esmtp
ip inspect name VTI-If-Inspect tcp
ip inspect name VTI-If-Inspect udp
ip inspect name VTI-If-Inspect icmp
no ipv6 cef
!
multilink bundle-name authenticated
!
password encryption aes
dot1x system-auth-control
!

!
bridge irb
!
!

!
interface Tunnel62
ip address 172.16.62.20 255.255.255.128
no ip redirects
ip mtu 1400
ip nhrp authentication cisco123
ip nhrp map multicast dynamic
ip nhrp map 172.16.62.1 *.*.*.148
ip nhrp map multicast *.*.*.148
ip nhrp map 172.16.62.2 *.*.*.147
ip nhrp map multicast *.*.*.147
ip nhrp network-id 10
ip nhrp nhs 172.16.62.1
ip nhrp nhs 172.16.62.2
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 10
!
interface FastEthernet0
switchport access vlan 2
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
ip address *.*.*.1 255.255.255.0
no ip proxy-arp
ip nat outside
ip inspect Out-If-Inspect in
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1 type tunnel
ip unnumbered BVI2
ip inspect VTI-If-Inspect in
shutdown
tunnel mode ipsec ipv4
!
interface Dot11Radio0
no ip address
!
encryption vlan 2 mode ciphers tkip
!
encryption mode ciphers tkip
!
ssid AG-77-185
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 spanning-disabled
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
no ip address
bridge-group 2
bridge-group 2 spanning-disabled
!
interface BVI2
ip address 10.100.52.1 255.255.255.240
ip nat inside
ip inspect BVI-If-Inspect in
no ip virtual-reassembly
!
router ospf 62
log-adjacency-changes
area 1 stub
passive-interface FastEthernet4
network 10.100.52.0 0.0.0.15 area 1
network 172.16.62.0 0.0.0.127 area 1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 95.79.59.254
no ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list Address-Translation interface FastEthernet4 overload
!
ip access-list extended Address-Translation
permit ip 10.100.52.0 0.0.0.15 any


!


-----HUB 1 и 2-----
!
crypto logging session
crypto logging ezvpn
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 50
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 20 periodic
!
!
archive
log config
hidekeys
!
!
ip ftp source-interface Loopback0
ip tftp source-interface Loopback0
ip ssh source-interface Loopback0
ip ssh rsa keypair-name SSH
ip ssh version 2
ip ssh dscp 24
!
!
!
policy-map police_256
class class-default
police cir 256000
exceed-action drop
violate-action drop
!
!
!
!
!
interface Loopback0
description RID
ip address 10.0.255.210 255.255.255.255
!
interface Loopback2
description temp
ip address 10.62.1.201 255.255.255.255
!
interface Loopback79
ip address *.*.*.134 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
ip ospf 52164 area 0
!
interface Loopback100
no ip address
!
interface Loopback1000
ip vrf forwarding vpn-group
ip address 10.62.50.1 255.255.255.255
!
interface Tunnel62
description Tunnel to RZN
ip vrf forwarding vpn-group
ip address 172.16.62.2 255.255.255.128
no ip redirects
ip mtu 1400
ip nhrp authentication cisco123
ip nhrp map multicast dynamic
ip nhrp network-id 10
ip ospf network broadcast
ip ospf priority 8
tunnel source GigabitEthernet0/0.211
tunnel mode gre multipoint
tunnel key 10
!
!
interface Null0
no ip unreachables
!
interface GigabitEthernet0/0
description sw1-edge-rzn | Gi0/5
dampening
no ip address
no ip unreachables
no ip proxy-arp
ip flow monitor net-flow input
ip flow monitor net-flow output
load-interval 30
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.211
description description sw1-edge-rzn / vl211 vpn responder
encapsulation dot1Q 211
ip address *.*.*.147 255.255.255.248
ip access-group Outside-Inbound-Filter in
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 7
ip ospf 52164 area 0
standby version 2
standby 1 ip *.*.*.149
standby 1 priority 150
standby 1 preempt delay reload 300
standby 1 authentication md5 key-string 7
standby 1 name vpn-ha-out-1
standby 1 track GigabitEthernet0/1 60
standby 3 ip *.*.*.150
standby 3 preempt delay reload 300
standby 3 authentication md5 key-string 7
standby 3 name vpn-ha-out-2
standby 3 track GigabitEthernet0/1
!
interface GigabitEthernet0/1
description to sw1-dmz-rzn | Gi1/0/5
dampening
no ip address
ip flow monitor net-flow input
ip flow monitor net-flow output
load-interval 30
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.96
description vlan96 | backup crypto
encapsulation dot1Q 96
ip address 10.62.96.3 255.255.255.240
standby version 2
standby 96 ip 10.62.96.5
standby 96 preempt delay reload 300
standby 96 authentication md5 key-string 7
standby 96 name orn-ha-96
standby 96 track GigabitEthernet0/0 60
!
interface GigabitEthernet0/1.97
description vlan97 | vpn-group
encapsulation dot1Q 97
ip vrf forwarding vpn-group
ip address 10.0.62.17 255.255.255.240
standby version 2
standby 97 ip 10.0.62.20
standby 97 priority 150
standby 97 preempt delay reload 300
standby 97 authentication md5 key-string 7
standby 97 name vpn-ha-97
standby 97 track GigabitEthernet0/0 60
!

!
router ospf 62 vrf vpn-group
router-id 172.16.62.254
log-adjacency-changes
area 1 stub
network 10.0.62.16 0.0.0.15 area 0
network 172.16.62.0 0.0.0.127 area 1
default-information originate
!
router ospf 52164
router-id *.*.*.134
log-adjacency-changes
passive-interface default
no passive-interface GigabitEthernet0/0.211
!
router bgp 65000
template peer-policy branch
route-map branch-in in
route-map branch-out out
soft-reconfiguration inbound
send-community
exit-peer-policy
!
template peer-policy ibgp
next-hop-self
send-community
exit-peer-policy
!
template peer-session branch
remote-as 52164
version 4
exit-peer-session
!
template peer-session ibgp
remote-as 65000
update-source Loopback0
version 4
exit-peer-session
!
bgp router-id 10.0.255.210
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 10.0.54.102 inherit peer-session branch
neighbor 10.0.63.102 inherit peer-session branch
neighbor 10.0.71.102 inherit peer-session branch
neighbor 10.0.74.102 inherit peer-session branch
neighbor 10.0.77.102 inherit peer-session branch
neighbor 10.0.177.102 inherit peer-session branch
neighbor 10.0.255.250 inherit peer-session ibgp
!
address-family ipv4
neighbor 10.0.54.102 activate
neighbor 10.0.54.102 inherit peer-policy branch
neighbor 10.0.63.102 activate
neighbor 10.0.63.102 inherit peer-policy branch
neighbor 10.0.71.102 activate
neighbor 10.0.71.102 inherit peer-policy branch
neighbor 10.0.74.102 activate
neighbor 10.0.74.102 inherit peer-policy branch
neighbor 10.0.77.102 activate
neighbor 10.0.77.102 inherit peer-policy branch
neighbor 10.0.177.102 activate
neighbor 10.0.177.102 inherit peer-policy branch
neighbor 10.0.255.250 activate
neighbor 10.0.255.250 inherit peer-policy ibgp
no auto-summary
no synchronization
network 10.0.255.210 mask 255.255.255.255
exit-address-family
!

ip forward-protocol nd
ip route 10.0.255.211 255.255.255.255 10.62.96.2
ip route 10.0.255.250 255.255.255.255 10.62.96.1
ip route vrf vpn-group 0.0.0.0 0.0.0.0 10.0.62.25 254
ip route vrf vpn-group 10.62.50.0 255.255.255.0 Null0 254
ip route vrf vpn-group 10.62.51.0 255.255.255.0 Null0 254
ip route vrf vpn-group 10.62.52.0 255.255.255.0 Null0 254
ip route vrf vpn-group 10.62.53.0 255.255.255.0 Null0 254
ip route vrf vpn-group 10.62.54.0 255.255.255.0 Null0 254
no ip http server
no ip http secure-server
!
ip bgp-community new-format
ip as-path access-list 1 permit ^$
!
!
ip access-list extended CPORTAL-GROUP-ACL
permit ip host 10.62.10.105 any
permit ip host 192.168.10.102 any
permit ip host 10.62.10.100 any
ip access-list extended DWH-GROUP-ACL
permit ip host 192.168.10.144 any
permit ip host 10.62.12.110 any
ip access-list extended ELISS-GROUP-ACL
permit ip host 10.62.10.202 any
permit ip host 10.62.10.100 any
permit ip host 10.62.64.22 any
ip access-list extended IDIT-ACCESS-ACL
permit ip host 10.62.12.90 any
permit ip host 10.62.10.100 any
ip access-list extended IDIT-GROUP-ACL
permit ip 10.62.12.0 0.0.0.255 any
permit ip host 192.168.213.98 any
permit ip host 192.168.17.59 any
ip access-list extended OBERON-GROUP-ACL
permit ip 10.62.8.0 0.0.0.255 any
permit ip 10.62.28.0 0.0.0.255 any

ip access-list extended Routes4Agencies
permit ip 10.0.0.0 0.255.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
permit ip 172.16.0.0 0.15.255.255 any
ip access-list extended admin-access-routes
permit ip 10.62.0.0 0.0.0.255 any
permit ip 10.0.62.16 0.0.0.15 any
permit ip 10.0.255.0 0.0.0.255 any
permit ip 10.62.4.0 0.0.0.255 any
permit ip 10.62.5.0 0.0.0.255 any
permit ip 192.168.201.0 0.0.0.255 any
permit ip 10.62.19.0 0.0.0.255 any
permit ip 10.62.18.0 0.0.0.255 any
permit ip 10.62.10.0 0.0.0.255 any
permit ip 192.168.213.0 0.0.0.255 any
permit ip 10.62.12.0 0.0.0.255 any
permit ip 192.168.10.0 0.0.0.255 any
ip access-list extended cportal-group-acl
ip access-list extended invision-group-routes
permit ip 10.62.6.0 0.0.0.255 any
permit ip host 10.62.19.34 any
permit ip host 10.62.19.33 any
ip access-list extended manager-group-acl
permit ip 10.62.10.0 0.0.0.255 any
permit ip 10.62.12.0 0.0.0.255 any
permit ip 192.168.10.0 0.0.0.255 any
permit ip host 192.168.213.53 any
!
!
ip prefix-list pfx-loop-0 description local loopback 0 address
ip prefix-list pfx-loop-0 seq 5 permit 10.0.255.210/32
ip prefix-list pfx-loop-0 seq 10 permit 10.0.255.211/32
!
ip prefix-list vpn-50/51 seq 10 permit 10.62.50.0/24
ip prefix-list vpn-50/51 seq 15 permit 10.62.51.0/24
!
ip prefix-list vpn-52/53 seq 10 permit 10.62.52.0/24
ip prefix-list vpn-52/53 seq 15 permit 10.62.53.0/24
access-list 5 remark -- Hosts permitted to read SNMP MIBs on the router
access-list 5 permit 10.62.5.0 0.0.0.255
access-list 10 remark -- NTP Servers for this router
access-list 10 permit 10.0.255.250
access-list 10 permit 10.0.255.201
access-list 10 permit 10.0.255.202
access-list 10 permit 10.0.255.99
access-list 11 permit 192.168.201.30
access-list 11 remark for Quiet-Mode permit
access-list 11 permit 10.1.1.0 0.0.0.255
access-list 11 permit 10.62.19.0 0.0.0.255
access-list 11 permit 10.62.20.0 0.0.0.255
access-list 109 remark for remote access
access-list 109 permit tcp 10.0.255.0 0.0.0.255 any eq 22
access-list 109 permit tcp 10.0.255.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.0.1.0 0.0.0.7 any eq 22
access-list 109 permit tcp 10.0.1.0 0.0.0.7 any eq telnet
access-list 109 permit tcp 10.62.5.0 0.0.0.255 any eq 22
access-list 109 permit tcp 10.0.0.0 0.0.0.255 any eq 22
access-list 109 permit tcp 10.0.0.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.0.62.0 0.0.0.15 any eq 22
access-list 109 permit tcp 10.0.62.0 0.0.0.15 any eq telnet
access-list 109 permit tcp 10.62.3.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.62.4.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.62.18.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.62.19.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.62.54.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 192.168.10.0 0.0.0.255 any eq 22
access-list 109 permit tcp 192.168.10.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 192.168.0.9 0.0.255.0 any eq 22
access-list 109 permit tcp 192.168.0.9 0.0.255.0 any eq telnet
access-list 109 permit tcp 192.168.201.0 0.0.0.255 any eq 22
access-list 109 permit tcp 192.168.201.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 192.168.5.0 0.0.0.255 any eq 22
access-list 109 permit tcp 192.168.5.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.0.62.248 0.0.0.7 any eq telnet
access-list 109 permit tcp 10.0.62.248 0.0.0.7 any eq 22
!
!
!
!
route-map branch-in permit 1
!
route-map branch-out permit 10
match ip address prefix-list pfx-loop-0
set community 52164:0
!
route-map branch-out permit 20
match as-path 1
!
route-map branch-out deny 100



Маршрутизация:
-- SPOKE ---
Прописал внутр сети пока вручную

172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
S 10.0.0.0/8 [1/0] via 172.16.62.2
O IA 10.0.62.16/28 [110/1001] via 172.16.62.1, 00:06:16, Tunnel62
C 10.100.52.0/28 is directly connected, BVI2
95.0.0.0/24 is subnetted, 1 subnets
C 95.79.59.0 is directly connected, FastEthernet4
S* 0.0.0.0/0 [1/0] via *.*.*.254
S 172.16.0.0/12 [1/0] via 172.16.62.2
S 192.168.0.0/16 [1/0] via 172.16.62.2


----на HUBs-----
1)
C 172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/8 is variably subnetted, 8 subnets, 3 masks
S 10.62.52.0/24 is directly connected, Null0
S 10.62.53.0/24 is directly connected, Null0
S 10.62.54.0/24 is directly connected, Null0
S 10.62.50.0/24 is directly connected, Null0
S 10.62.51.0/24 is directly connected, Null0
C 10.0.62.16/28 is directly connected, GigabitEthernet0/1.97
O 10.100.52.0/28 [110/1001] via 172.16.62.20, 00:27:56, Tunnel62
C 10.62.54.254/32 is directly connected, Loopback254
S* 0.0.0.0/0 [100/0] via 10.0.62.25

2)

172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/8 is variably subnetted, 12 subnets, 4 masks
S 10.62.52.0/24 is directly connected, Null0
S 10.62.53.0/24 is directly connected, Null0
S 10.62.54.0/24 is directly connected, Null0
S 10.62.50.0/24 is directly connected, Null0
S 10.62.51.0/24 is directly connected, Null0
C 10.62.50.1/32 is directly connected, Loopback1000
S 10.62.54.14/32 [1/0] via 91.77.11.14, Virtual-Access8
C 10.0.62.16/28 is directly connected, GigabitEthernet0/1.97
S 10.100.78.8/29 [1/0] via 0.0.0.0, Virtual-Access2
S 10.100.78.16/28 [1/0] via 0.0.0.0, Virtual-Access4
S 10.100.77.16/28 [1/0] via 0.0.0.0, Virtual-Access3
O IA 10.100.52.0/28
[110/1002] via 10.0.62.18, 00:27:25, GigabitEthernet0/1.97
O*E2 0.0.0.0/0 [110/1] via 10.0.62.25, 01:27:27, GigabitEthernet0/1.97


Вот как то так.

Задача на самом деле немного другая. Я хотел что бы по тунелю были доступны только внутр сети.
Но не получилось с наскока и решил сделать хотя бы элементарное, но и это не получилось.
Потому и прошу помощи зала.


28 янв 2012, 20:05
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Бессмысленно ждать ospf дефолт при наличии статика
ip route 0.0.0.0 0.0.0.0 95.79.59.254


28 янв 2012, 20:54
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
В каком виде "внутренние сети" присутствуют на хабах? Если это те несколько статиков в конфиге, то их сначала надо ввести в ospf процесс.


28 янв 2012, 21:07
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Хм. Так если этой статики не будет, как же железка в интернет то попадет для того что бы подключится?
Единственное - прописать маршрут только на адреса HUBов. Идея!

Хорошо. Скорее всего это получится. (Я буду проверять вечеркомс)

Тогда о задаче.
Хочу что бы в OSPF уходили все внутр сети (10.*, 172.16.*, 192.168.*)
Этих сетей нет на hub (ну кроме 10.й) . Как их запихать в OSPF? Написать acl с этими сетями и подсунуть в redictribute static network ?


28 янв 2012, 21:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Ну да, redictribute static, обычно самый оптимальный способ.
Я использую для фильтрации route-map и prefix-list


28 янв 2012, 21:18
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
и УБЕРИТЕ stub.
иначе ваш redictribute до споков не дойдет.


28 янв 2012, 21:19
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Да.. Позабыл я CCNP :( Без практики..

Сделал
на HUBe одном
router ospf 62 vrf vpn-group
router-id 172.16.62.255
log-adjacency-changes
redistribute static route-map Static-to-OSPF
network 10.0.62.16 0.0.0.15 area 0
network 172.16.62.0 0.0.0.127 area 1

route-map Static-to-OSPF, permit, sequence 10
Match clauses:
ip address (access-lists): 62
Set clauses:
Policy routing matches: 0 packets, 0 bytes

Standard IP access list 62
10 permit 10.0.0.0, wildcard bits 0.255.255.255
20 permit 192.168.0.0, wildcard bits 0.0.255.255
30 permit 172.16.0.0, wildcard bits 0.15.255.255

В итоге на SPOKE

172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/28 is subnetted, 2 subnets
O IA 10.0.62.16 [110/1001] via 172.16.62.2, 00:09:21, Tunnel62
[110/1001] via 172.16.62.1, 00:08:43, Tunnel62
C 10.100.52.0 is directly connected, BVI2
95.0.0.0/24 is subnetted, 1 subnets
C 95.79.59.0 is directly connected, FastEthernet4
S* 0.0.0.0/0 [1/0] via 95.79.59.254

Я и для того что бы эти сети пробросить должен убрать дефолтный маршрут? Блин :( Пока книжку читать опять :(


28 янв 2012, 21:31
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
сделайте так:
ip prefix-list ten-net permit 10.0.0.0/8 le 32

route-map Static-to-OSPF
match ip address prefix-list ten-net


28 янв 2012, 21:37
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
В команде redistribute важно subnets не забыть указать.

К автору просьба в следующий раз более четко формулировать задачу :)

To Lomax:

Stub Areas: These areas do not accept routes belonging to external autonomous systems (AS); however, these areas have inter-area and intra-area routes. In order to reach the outside networks, the routers in the stub area use a default route which is injected into the area by the Area Border Router (ABR). A stub area is typically configured in situations where the branch office need not know about all the routes to every other office, instead it could use a default route to the central office and get to other places from there. Hence the memory requirements of the leaf node routers is reduced, and so is the size of the OSPF database.


28 янв 2012, 21:48
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Сделал

route-map Static-to-OSPF, permit, sequence 10
Match clauses:
ip address prefix-lists: net-ten
Set clauses:
Policy routing matches: 0 packets, 0 bytes


ip prefix-list net-ten: 1 entries
seq 5 permit 10.0.0.0/8 le 32


router ospf 62 vrf vpn-group
router-id 172.16.62.255
log-adjacency-changes
redistribute static route-map Static-to-OSPF
network 10.0.62.16 0.0.0.15 area 0
network 172.16.62.0 0.0.0.127 area 1

и на SPOKE

172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/28 is subnetted, 2 subnets
O IA 10.0.62.16 [110/1001] via 172.16.62.2, 00:28:46, Tunnel62
[110/1001] via 172.16.62.1, 00:28:08, Tunnel62
C 10.100.52.0 is directly connected, BVI2
95.0.0.0/24 is subnetted, 1 subnets
C 95.79.59.0 is directly connected, FastEthernet4
S* 0.0.0.0/0 [1/0] via 95.79.59.254

Блин

При добавлении subnets появляются только сети которые вручную прописаны на HUBe.
А именно получается

172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks
O E2 10.62.52.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62
O E2 10.62.53.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62
O E2 10.62.54.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62
O E2 10.62.50.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62
O E2 10.62.51.0/24 [110/20] via 172.16.62.1, 00:00:02, Tunnel62
O IA 10.0.62.16/28 [110/1001] via 172.16.62.2, 00:33:04, Tunnel62
[110/1001] via 172.16.62.1, 00:32:26, Tunnel62
C 10.100.52.0/28 is directly connected, BVI2
95.0.0.0/24 is subnetted, 1 subnets
C 95.79.59.0 is directly connected, FastEthernet4
S* 0.0.0.0/0 [1/0] via 95.79.59.254

Это мне в итоге просто прописать все 3-и класса сетей на HUB и типа будет счастие?
А самим route-map я могу просто фильтровать что отдавать из этих прописанных маршрутов для SPOKE ? Так?


Последний раз редактировалось Starican 28 янв 2012, 21:55, всего редактировалось 1 раз.



28 янв 2012, 21:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
redistribute static route-map Static-to-OSPF subnets !


28 янв 2012, 21:53
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
Покажите sh ip route на HUB для сети которую не видите на spoke..


28 янв 2012, 21:58
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Да дошло....
Прописал на HUB-е
ip route vrf vpn-group 10.0.0.0 255.0.0.0 10.0.62.25

получил на SPOKE

172.16.0.0/25 is subnetted, 1 subnets
C 172.16.62.0 is directly connected, Tunnel62
10.0.0.0/8 is variably subnetted, 8 subnets, 3 masks
O E2 10.62.52.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62
O E2 10.62.53.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62
O E2 10.62.54.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62
O E2 10.62.50.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62
O E2 10.62.51.0/24 [110/20] via 172.16.62.1, 00:02:56, Tunnel62
O E2 10.0.0.0/8 [110/20] via 172.16.62.1, 00:00:02, Tunnel62
O IA 10.0.62.16/28 [110/1001] via 172.16.62.1, 00:35:20, Tunnel62
C 10.100.52.0/28 is directly connected, BVI2
95.0.0.0/24 is subnetted, 1 subnets
C 95.79.59.0 is directly connected, FastEthernet4
S* 0.0.0.0/0 [1/0] via 95.79.59.254

:( Опустился... Ниже плинтуса..


28 янв 2012, 21:59
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Как мало надо для счастья :D


28 янв 2012, 22:01
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 27 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB