ESR-200 + Сisco по OSPF проблемы с AREA

[Sunduk]

Не получается получить соседство по OSPF между Cisco и ESR-200.
Пока в режиме стенда собираю перед тем, как запускать в продакшн. Для стенда Cisco 2811.
Смущает настройка area в ESR-200, на циске это одна цифра, а на ESR значение формата х.х.х.х
mtu, hello, dead совпадают, прямые пинги между интерфейсами есть (в режиме стенда просто напрямую патчкорд проброшен).
Сомнения только к area.
Допустим, если у меня на Cisco 192.168.0.0 0.0.255.255 area 16, то как будет верно настроить ответно area на ESR-200?
Пробовал использовать в качестве area на ESR-200 следующие значения:
1. 0.0.0.16
2.192.168.0.0
Внутри в обоих случаях прописывал сеть 192.168.0.0/16, но не получается соседство(
enable делал и внутри area и на самом ospf процессе.
На интерфейсе area прописывал, ospf instance тоже.
Отдельно хочу заметить, что повлиять можно только на настройку area на ESR-200, в продакшне на цисках area 16 и только 16, изменить в угоду ESR-200 невозможно, т.к. уже существует большой сегмент сети.
Прошивка для ESR последняя на сегодня.

[asy]

в продакшне на цисках area 16 и только 16, изменить в угоду ESR-200 невозможно

4 цифры в виде IP - это стандарт вообще-то, это не в угоду ESR. А вот одна цифра, не исключено, что цискина отсебятина. Вообще, Area ID - 32 разряда, так что, видимо, 0.0.0.16 - это то же самое. Что показывает в логе? Там есть параметр "router ospf log-adjacency-changes". Иногда полезно включить, как минимум при начальной отладке. Вот фрагмент рабочего конфига (на другой стороне L3 коммутатор SNR и Juniper M7 на разных пирах):

Код: Выделить всё

router ospf 1
  router-id x.y.z.46
  redistribute connected
  redistribute static
  area 0.0.0.0
    network x1.y1.z1.44/30
    network x2.y2.z2.60/30
    enable
  exit
  enable
exit
!
interface tengigabitethernet 1/0/1.12
  ip address x1.y1.z1.46/30
  ip ospf instance 1
  ip ospf mtu-ignore
  ip ospf
exit
interface tengigabitethernet 1/0/1.810
  ip address x2.y2.z2.62/30
  ip ospf instance 1
  ip ospf mtu-ignore
  ip ospf
exit

[Sunduk]

По логам даже нет попыток установить соседство. Возможно, я что-то упускаю. Не знал, что формат циски отсебятина, но зная их, не удивлён. Тем не менее, на данный момент пока приходится подстраиваться под существующую сеть.

ELTEX ESR-200

Код: Выделить всё


router ospf log-adjacency-changes
router ospf 100
  router-id xx.xx.xx.247
  compatible rfc1583      //пробовал с/без этой оцпией(и)
  redistribute connected
  redistribute static
  area 0.0.0.16
    network 192.168.0.0/16
    enable
  exit
  enable

interface gigabitethernet 1/0/2
  mtu 1400
  security-zone trusted
  ip address 192.168.1.217/30
  ip ospf instance 100
  ip ospf area 0.0.0.16
  ip ospf cost 100
  ip ospf network point-to-point
exit


CISCO

Код: Выделить всё


router ospf 100
 router-id xx.xx.xx.235
 log-adjacency-changes
 passive-interface default
 no passive-interface FastEthernet0/1
 network 192.168.0.0 0.0.255.255 area 16
 distance 200

interface FastEthernet0/1
 bandwidth 10000
 ip address 192.168.1.218 255.255.255.252
 ip mtu 1400
 ip ospf network point-to-point
 load-interval 30
 delay 30
 duplex auto
 speed auto


Внимательнее прочёл мануал, не хватало настройки ip ospf на интерфейса, тогда он появился среди sh ip ospf int, но соседство всё равно не устанавливается. Ответный маршрутизатор висит в init, на ESR-200 пустая таблица OSPF.

[Garri]

OSPF на вход разрешили на ESR ?
область 16 = 0.0.0.16

[Sunduk]

OSPF на вход разрешили на ESR ?

А где именно это нужно сделать? Пожалуйста, подскажите, какую часть мануала изучить подробнее. Или если есть пример конфигурации, то был бы очень признателен.
Относительно заводской конфигурации убрал только dhcp и nat за ненадобностью, больше ничего глобально не менял, никаких аксес-листов не настраивал.

[tops]

В "security zone-pair trusted self" необходимо создать правило разрешающее обработку входящих OSPF-сессий.
Подробнее в разделе про firewall

[asy]

Если зайти на ESR с логином techsupport (пароль отдельно задаётся, и надо ещё tech-support login enable), то там будет консолька Linux, и там есть tcpdump. Можно посмотреть, кто что шлёт.

По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы. И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf". По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вроде

Код: Выделить всё

security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit

[tops]

Если зайти на ESR с логином techsupport (пароль отдельно задаётся, и надо ещё tech-support login enable), то там будет консолька Linux, и там есть tcpdump. Можно посмотреть, кто что шлёт.

А можно прямо в CLI воспользоваться командой monitor

[Sunduk]

В "security zone-pair trusted self" необходимо создать правило разрешающее обработку входящих OSPF-сессий.
Подробнее в разделе про firewall

А могли бы подробнее рассказать или привести пример конфигурации? Вряд ли там команда permit OSPF)) До этого имел дело только со старенькими цисками и Dionis DPS 2000-3000, там без проблем заводится OSPF (вероятно, в виду отсутствия фаервола), тут же пока в режиме стенда, в качестве костыля сделал ip firewall disable на интерфейсе, тогда OSPF поднялся, действительно дело в том, что ESR получается не пускал OSPF.
Правда прямо точка-точка от физического интерфейса ESR'a к физическому интерфейсу Cisco не вышло, но я в GRE-туннель завернул всё это дело с отключенным фаерволом на порту и заработал OSPF.

По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы.

Там по идее сетка по 30 маске точка точка или в принципе если физический интерфейс к физическому интерфейсу, то надо non-broadcast ставить и соответственно нейборгов руками прописывать?
На самом деле, на продакшне так подключать и не нужно, как писал выше, с GRE-туннелем всё получилось, но отключив фаервол на интерфейсах.

И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf".

ip ospf на интерфейс я добавил вчера ещё, сразу не заметил, да. Немного экзотичное видение у элтекса, привычнее как на цисках и дионисах в самом router ospf задавать какие порты no-passive. Но справедливости ради, сам виноват, в мануале чёрным по белому написано о том, что на интерфейсе надо ip ospf задавать, чтобы интерфейс был активен в OSPF.

По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вроде

Код: Выделить всё

security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit

action permit разрешит ospf? Или дополнительно надо что-то ещё прописать? К сожалению, по конфигурированию фаервола опыта нет.

Нашёл следующее:

Код: Выделить всё

RTR(config-zone-pair-rule)# match protocol ospf
error - check zone-pair rule 'protocol': attempt to set non TCP/UDP protocol with some ports


[asy]

Там по идее сетка по 30 маске точка точка или в принципе если физический интерфейс к физическому интерфейсу, то надо non-broadcast ставить и соответственно нейборгов руками прописывать?

Можно по разному, но чтобы правильно. Не важно, что там /30, оно само не должно, по идее, догадаться, что нейбор - другой IP. Это надо лишнюю логику реализовывать. Может оно и правда заработает, но у меня идей проверять не возникало никогда.

action permit разрешит ospf?

В таком виде вообще весь трафик должен пройти. Цель же - чтобы заработало? Ну а потом уже правильно файрвол делать.