The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OSPF over PPP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"OSPF over PPP"  
Сообщение от ShyLion (ok) on 27-Ноя-08, 15:37 
Задача:
Связать центральный маршрутизатор с филиальным. Филиальный имеет динамический IP внешний, так что статические тунели не подходят. В сетке давно работает динамическая маршрутизация OSPF, корп-сетка 10/8, ария одна на всех 0.0.0.0. Железки 2801 на обоих концах.

В общем и целом,если не считать мелких трудностей, задача решена использованием L2TP:

server:

!
vpdn enable
!
vpdn-group l2tp
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 1
no l2tp tunnel authentication
l2tp tunnel receive-window 1024
!
!
interface Loopback1
ip address 10.35.13.1 255.255.255.0
ip ospf network point-to-point
!
interface Virtual-Template1
description l2tp_template
mtu 1200
ip unnumbered Loopback1
ip ospf network point-to-point
peer default ip address pool vpn
ppp authentication chap callin vpn
ppp authorization vpn
ppp accounting vpn
ppp ipcp mask 255.255.255.0
!
ip local pool vpn 10.35.13.100 10.35.13.200


client:

!
ip dhcp pool LOCAL
   import all
   origin ipcp
!
l2tp-class VPN
!
pseudowire-class PWIRE
encapsulation l2tpv2
protocol l2tpv2 VPN
!
interface Loopback1
ip address pool LOCAL
!
interface Virtual-PPP1
ip unnumbered Loopback1
ip mtu 1200
ip ospf network point-to-point
ppp authentication chap callin
ppp chap hostname test
ppp chap password 7 120D000406
ppp ipcp mask request
pseudowire A.B.C.D 10 pw-class PWIRE
!

OSPF работает, соседи друг-друга видят, но есть одна загвоздка: у клиента loopback1 получает адрес из пула, но маску /24, соответственно в локальной системе появляется маршрут:

C       10.35.13.0/24 is directly connected, Loopback1

и из-за этого пакеты к другим PPP пирам центрального маршрутизатора не уходят никуда, а пропадают на лупбеке.
Сетку 10.35.13.0/24 сервер экспортит в OSPF, и все участники протокола ее принимают, кроме PPP пиров (видимо из-за того, что она у них connected).

Как вариант решения промблемы может есть какая-то возможность на филиальной кисе отрубить публикацию connected маршрута на интерфейсе loopback1?

Может есть более правильное решение используя 2801 с обеих сторон?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • OSPF over PPP, fantom, 16:53 , 27-Ноя-08, (1)  
    • OSPF over PPP, ShyLion, 08:49 , 28-Ноя-08, (3)  
  • OSPF over PPP, nm, 21:10 , 27-Ноя-08, (2)  
    • OSPF over PPP, BJ, 09:38 , 28-Ноя-08, (4)  
      • OSPF over PPP, ShyLion, 10:42 , 28-Ноя-08, (5)  
        • OSPF over PPP, BJ, 11:54 , 28-Ноя-08, (6)  
        • OSPF over PPP, nm, 11:54 , 28-Ноя-08, (7)  
          • OSPF over PPP, ShyLion, 13:31 , 28-Ноя-08, (8)  
            • OSPF over PPP, BJ, 15:39 , 28-Ноя-08, (9)  

Сообщения по теме [Сортировка по времени | RSS]


1. "OSPF over PPP"  
Сообщение от fantom email(ok) on 27-Ноя-08, 16:53 
>[оверквотинг удален]
>и из-за этого пакеты к другим PPP пирам центрального маршрутизатора не уходят
>никуда, а пропадают на лупбеке.
>Сетку 10.35.13.0/24 сервер экспортит в OSPF, и все участники протокола ее принимают,
>кроме PPP пиров (видимо из-за того, что она у них connected).
>
>
>Как вариант решения промблемы может есть какая-то возможность на филиальной кисе отрубить
>публикацию connected маршрута на интерфейсе loopback1?
>
>Может есть более правильное решение используя 2801 с обеих сторон?

А что мешает повесить на loop /32 адрес?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "OSPF over PPP"  
Сообщение от ShyLion (ok) on 28-Ноя-08, 08:49 
>А что мешает повесить на loop /32 адрес?

С которой стороны?
Со стороны клиента не получается, DHCP пул тогда не работает, пишет что маска неверная.
Если PPP интерфейсы не делать unnumbered, то OSPF на PPP не работает принципиально на циске.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OSPF over PPP"  
Сообщение от nm email(??) on 27-Ноя-08, 21:10 
луппбек анонсится с 24 сетью потому что ты вбил на нем
ip osp net point-to-point
поставь ip osp ne bro и он будет анонсится как /32 в независимости от вбитой битовой маски

>[оверквотинг удален]
>и из-за этого пакеты к другим PPP пирам центрального маршрутизатора не уходят
>никуда, а пропадают на лупбеке.
>Сетку 10.35.13.0/24 сервер экспортит в OSPF, и все участники протокола ее принимают,
>кроме PPP пиров (видимо из-за того, что она у них connected).
>
>
>Как вариант решения промблемы может есть какая-то возможность на филиальной кисе отрубить
>публикацию connected маршрута на интерфейсе loopback1?
>
>Может есть более правильное решение используя 2801 с обеих сторон?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OSPF over PPP"  
Сообщение от BJ on 28-Ноя-08, 09:38 
Задача решается с помощью mGRE и NHRP. или как это называет циска DMVPN

сервер

interface Tunnel1234
ip address 10.10.10.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 1234
ip nhrp holdtime 300
ip nhrp server-only
ip tcp adjust-mss 1380
ip ospf network broadcast
ip ospf cost 5500
ip ospf priority 1
ip ospf 1 area 0
load-interval 30
tunnel source Fa 0/0  ( ext addr 192.168.1.2 )
tunnel mode gre multipoint
end

клиент

interface Tunnel1234
ip address 10.10.10.10 255.255.255.0
ip nhrp map multicast 192.168.1.2
ip nhrp map 10.10.10.1 192.168.1.2
ip nhrp network-id 1234
ip nhrp holdtime 300
ip nhrp nhs 192.168.1.2
ip nhrp registration timeout 120
ip ospf network broadcast
ip ospf cost 5500
ip ospf priority 0
tunnel source Fa 0/1  ( ext addr 192.168.100.2 )
tunnel mode gre multipoint
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "OSPF over PPP"  
Сообщение от ShyLion (ok) on 28-Ноя-08, 10:42 
>Задача решается с помощью mGRE и NHRP. или как это называет циска
>DMVPN

Вот это интересней уже, хотя надо проверить в какой версии IOS и с каким набором фич это робит.
А клиентам IP динамически раздавать можно? А как насчет авторизации там?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "OSPF over PPP"  
Сообщение от BJ on 28-Ноя-08, 11:54 
а зачем на тунеле динамический IP ?!? это решение если внешний димамический, а нужен постоянный тунель. авторизации нет, но легко вешается крипто на тунель с прешаред кеем.

>Вот это интересней уже, хотя надо проверить в какой версии IOS и
>с каким набором фич это робит.
>А клиентам IP динамически раздавать можно? А как насчет авторизации там?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OSPF over PPP"  
Сообщение от nm (??) on 28-Ноя-08, 11:54 
ответ на первый вопрос найдете - cisco.com/go/fn
на второй, начните с поиска нужной технологии - cisco.com/go/srnd

>>Задача решается с помощью mGRE и NHRP. или как это называет циска
>>DMVPN
>
>Вот это интересней уже, хотя надо проверить в какой версии IOS и
>с каким набором фич это робит.
>А клиентам IP динамически раздавать можно? А как насчет авторизации там?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "OSPF over PPP"  
Сообщение от ShyLion (ok) on 28-Ноя-08, 13:31 
>ответ на первый вопрос найдете - cisco.com/go/fn
>на второй, начните с поиска нужной технологии - cisco.com/go/srnd
>
>>>Задача решается с помощью mGRE и NHRP. или как это называет циска
>>>DMVPN
>>
>>Вот это интересней уже, хотя надо проверить в какой версии IOS и
>>с каким набором фич это робит.
>>А клиентам IP динамически раздавать можно? А как насчет авторизации там?

Про IPSec я уже понял.
А про IPшники на тоннелях, можно более конкретный хинт? Может можно на центральном рутере DHCP поднять, чтоб на туннеле выдавал адреса?

Почему не статику? Потому что не комильфо это. Надо так чтоб конфиг типовой вбил и не напрягался выясняя какой IP из тунельного диапазона свободен, а то можно ненароком и вырубить кого нибудь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "OSPF over PPP"  
Сообщение от BJ on 28-Ноя-08, 15:39 
>Почему не статику? Потому что не комильфо это. Надо так чтоб конфиг
>типовой вбил и не напрягался выясняя какой IP из тунельного диапазона
>свободен, а то можно ненароком и вырубить кого нибудь.

Документируйте, батенька,  документируйте :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру