The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OSPF: вчегда ходить через дешевый канал"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от plohish email(??) on 21-Апр-10, 18:20 
Здравствуйте.

Имею 2 маршрутизатора (2821, 1841), объединенные 2я каналами связи: L2VPN и дикий интернет (поверх обоих IPSEC в туннельном режиме).
Настройка выглядит следующим образом:
(настройки IPSEC опускаю за ненадобностью)

1841

L2VPN:
interface FastEthernet0/1.169
bandwidth 256
encapsulation dot1Q 169
ip address 172.16.16.2 255.255.255.252
ip ospf network non-broadcast
crypto map VPN_MAP1
service-policy output SHAPER_256

router ospf 1
router-id 172.16.16.2
log-adjacency-changes
redistribute connected subnets route-map REDIST_STATIC
network 172.16.16.0 0.0.0.3 area 0
neighbor 172.16.16.1

Интернет:
interface FastEthernet0/1.20
encapsulation dot1Q 20
ip address 195.184.XXX.YYY 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map VPN_MAP
service-policy output SHAPER_512

Здесь, я так понимаю не обойтись без GRE, даже с NBMA, поэтому:

interface Tunnel0
bandwidth 512
ip address 172.16.17.2 255.255.255.252
tunnel source FastEthernet0/1.20
tunnel destination 92.242.XXX.ZZ

router ospf 2
router-id 172.16.17.2
log-adjacency-changes
redistribute connected subnets route-map REDIST_STATIC
network 172.16.17.0 0.0.0.3 area 0

Прочее:
ip prefix-list OSPF seq 5 permit 10.0.0.0/8 le 32
ip prefix-list OSPF seq 10 permit 172.16.0.0/12 le 32
ip prefix-list OSPF seq 15 permit 192.168.0.0/16 le 32

route-map REDIST_STATIC permit 10
match ip address prefix-list OSPF

Настройки 2821 идеологически идентичны.

Этим всем я преследую цель использовать канал FastEthernet0/1.20 по умолчанию, в случае падения переключаться на FastEthernet0/1.169, что успешно происходит. А вот обратно не перепрыгивает, когда FastEthernet0/1.20 возвращается в строй.
После пинка (clear ip ospf process) возвращаемся на FastEthernet0/1.20.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от Pve1 (ok) on 21-Апр-10, 23:04 
1.)
Чтобы было проще - убирайте Crypto map с интернет-интерфейса. Создайте IPSec-профайлы. И как то так:

crypto ipsec profile myprof
  set transform-set mytrans

interface Tunnel0
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile myprof

Это существенно упростит конфигурацию шифрования на тунельном интерфейсе..
И предполагаю, OSPF через тунель в результате корректнее заработает.

2.)
Какой трафоик вы шифруете на L2VPN интерфейсе? OSPF трафик шифруете?
Я бы не стал. ИМХО достаточно md5 аутентификации - зато стабильность существенно возрастет. А то, что у вас там сетки 10.0.0.0 - это и так всем известно)))

Посмотрите, какой у вас delay на интерфейсах - у OSFP метрика комбинированная, не только от явно прописанной bandwith зависит. Врядли конечно - но может метрика одинаковая выходит?

Попробуйте дебаг посмотреть на момент переключения.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от plohish email(??) on 22-Апр-10, 10:57 
>1.)

Сделал по Вашему, картина не изменилась.
Не хочет возвращаться на основной канал.. ((

>2.)
>Какой трафоик вы шифруете на L2VPN интерфейсе? OSPF трафик шифруете?

Да, шифрую весь между маршрутизаторами.

>Я бы не стал. ИМХО достаточно md5 аутентификации - зато стабильность существенно
>возрастет. А то, что у вас там сетки 10.0.0.0 - это
>и так всем известно)))
>
>Посмотрите, какой у вас delay на интерфейсах - у OSFP метрика комбинированная,
>не только от явно прописанной bandwith зависит. Врядли конечно - но
>может метрика одинаковая выходит?
>
>Попробуйте дебаг посмотреть на момент переключения.
>

В дебаге ничего нету, кроме стадий состояния соседа.
Вот sh ip ospf interface:
Tunnel0 is up, line protocol is up
  Internet Address 172.16.17.2/30, Area 0
  Process ID 2, Router ID 172.16.17.2, Network Type POINT_TO_POINT, Cost: 195
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:02
  Supports Link-local Signaling (LLS)
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 172.16.17.1
  Suppress hello for 0 neighbor(s)
FastEthernet0/1.169 is up, line protocol is up
  Internet Address 172.16.16.2/30, Area 0
  Process ID 1, Router ID 172.16.16.2, Network Type NON_BROADCAST, Cost: 390
  Transmit Delay is 1 sec, State DR, Priority 1
  Designated Router (ID) 172.16.16.2, Interface address 172.16.16.2
  Backup Designated router (ID) 172.16.16.1, Interface address 172.16.16.1
  Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5
    oob-resync timeout 120
    Hello due in 00:00:29
  Supports Link-local Signaling (LLS)
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 40
  Last flood scan time is 0 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 172.16.16.1  (Backup Designated Router)
  Suppress hello for 0 neighbor(s)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от plohish email(??) on 22-Апр-10, 11:35 
Последняя вариант конфигурации выглядит так (ospf на L2VPN-интерфейсе не шифрую):

2821:

interface Tunnel0
bandwidth 512
ip address 172.16.17.1 255.255.255.252
ip ospf network point-to-point
tunnel source GigabitEthernet0/1.1
tunnel destination 195.184.XXX.YYY
tunnel mode ipsec ipv4
tunnel protection ipsec profile GRE_IPSEC

interface GigabitEthernet0/1.169
bandwidth 256
encapsulation dot1Q 169
ip address 172.16.16.1 255.255.255.252
ip ospf network point-to-point
crypto map APK_VPN_MAP1
service-policy output SHAPER_256

router ospf 1
router-id 172.16.16.1
log-adjacency-changes
redistribute connected subnets route-map REDIST_STATIC
redistribute static subnets route-map REDIST_STATIC
network 172.16.16.0 0.0.0.3 area 0

router ospf 2
router-id 172.16.17.1
log-adjacency-changes
redistribute connected subnets route-map REDIST_STATIC
redistribute static subnets route-map REDIST_STATIC
network 172.16.17.0 0.0.0.3 area 0

Neighbor ID     Pri   State           Dead Time   Address         Interface
172.16.17.2       0   FULL/  -        00:00:35    172.16.17.2     Tunnel0
172.16.16.2       0   FULL/  -        00:00:35    172.16.16.2     GigabitEthernet0/1.169

Tunnel0 is up, line protocol is up
  Internet Address 172.16.17.1/30, Area 0
  Process ID 2, Router ID 172.16.17.1, Network Type POINT_TO_POINT, Cost: 195
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:02
  Supports Link-local Signaling (LLS)
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 39
  Last flood scan time is 0 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 172.16.17.2
  Suppress hello for 0 neighbor(s)
GigabitEthernet0/1.169 is up, line protocol is up
  Internet Address 172.16.16.1/30, Area 0
  Process ID 1, Router ID 172.16.16.1, Network Type POINT_TO_POINT, Cost: 390
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:00
  Supports Link-local Signaling (LLS)
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 40
  Last flood scan time is 0 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 172.16.16.2
  Suppress hello for 0 neighbor(s)


1841:

interface Tunnel0
bandwidth 512
ip address 172.16.17.2 255.255.255.252
ip ospf network point-to-point
tunnel source FastEthernet0/1.20
tunnel destination 92.242.YYY.ZZ
tunnel mode ipsec ipv4
tunnel protection ipsec profile GRE_IPSEC

interface FastEthernet0/1.169
bandwidth 256
encapsulation dot1Q 169
ip address 172.16.16.2 255.255.255.252
ip ospf network point-to-point
crypto map VPN_MAP1
service-policy output SHAPER_256

router ospf 1
router-id 172.16.16.2
log-adjacency-changes
redistribute connected subnets route-map REDIST_STATIC
network 172.16.16.0 0.0.0.3 area 0

router ospf 2
router-id 172.16.17.2
log-adjacency-changes
redistribute connected subnets route-map REDIST_STATIC
network 172.16.17.0 0.0.0.3 area 0

172.16.17.1       0   FULL/  -        00:00:38    172.16.17.1     Tunnel0
172.16.16.1       0   FULL/  -        00:00:36    172.16.16.1     FastEthernet0/1.169

Tunnel0 is up, line protocol is up
  Internet Address 172.16.17.2/30, Area 0
  Process ID 2, Router ID 172.16.17.2, Network Type POINT_TO_POINT, Cost: 195
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:06
  Supports Link-local Signaling (LLS)
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 172.16.17.1
  Suppress hello for 0 neighbor(s)
FastEthernet0/1.169 is up, line protocol is up
  Internet Address 172.16.16.2/30, Area 0
  Process ID 1, Router ID 172.16.16.2, Network Type POINT_TO_POINT, Cost: 390
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:06
  Supports Link-local Signaling (LLS)
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 172.16.16.1
  Suppress hello for 0 neighbor(s)

Вышеописанная непереключаемость сохранилась, но, плюс ко всему, после перезагрузки 1841 садится на канал с большей стоимостью.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от ShyLion (ok) on 22-Апр-10, 11:37 
>router ospf 1
>router ospf 2

Я интересуюсь, это с какой целью два роутинг процесса?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от plohish email(??) on 22-Апр-10, 11:47 
>>router ospf 1
>>router ospf 2
>
>Я интересуюсь, это с какой целью два роутинг процесса?

На разные интерфейсы, и чтобы RID различать опять же..нельзя ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от plohish email(??) on 22-Апр-10, 11:57 
>>router ospf 1
>>router ospf 2
>
>Я интересуюсь, это с какой целью два роутинг процесса?

Спасибо, помогло. :-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от ShyLion (ok) on 22-Апр-10, 12:53 
>>>router ospf 1
>>>router ospf 2
>>
>>Я интересуюсь, это с какой целью два роутинг процесса?
>
>Спасибо, помогло. :-)

у тебя были два независимых процесса и маршруты они ставили - кто вперед

два процесса - это такая экзотика и очень специфическое применение

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от ShyLion (ok) on 22-Апр-10, 07:35 
в OSPF цену маршрута модно задать явно, на интерфейсе ip ospf cost xxx
чем выше cost тем менее предпочитаемый линк. при выборе пути OSPF все цены по маршруту суммирует и выбирает наименьший. Цену желательно одну и ту-же с обеих сторон линка делать, чтобы не было ситуаций несииметричного трафика.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "OSPF: вчегда ходить через дешевый канал"  +/
Сообщение от plohish email(??) on 22-Апр-10, 11:45 
>в OSPF цену маршрута модно задать явно, на интерфейсе ip ospf cost
>xxx
>чем выше cost тем менее предпочитаемый линк. при выборе пути OSPF все
>цены по маршруту суммирует и выбирает наименьший. Цену желательно одну и
>ту-же с обеих сторон линка делать, чтобы не было ситуаций несииметричного
>трафика.

Что явно, что через band - все одно..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру