Не получается получить соседство по OSPF между Cisco и ESR-200.
Пока в режиме стенда собираю перед тем, как запускать в продакшн. Для стенда Cisco 2811.
Смущает настройка area в ESR-200, на циске это одна цифра, а на ESR значение формата х.х.х.х
mtu, hello, dead совпадают, прямые пинги между интерфейсами есть (в режиме стенда просто напрямую патчкорд проброшен).
Сомнения только к area.
Допустим, если у меня на Cisco 192.168.0.0 0.0.255.255 area 16, то как будет верно настроить ответно area на ESR-200?
Пробовал использовать в качестве area на ESR-200 следующие значения:
1. 0.0.0.16
2.192.168.0.0
Внутри в обоих случаях прописывал сеть 192.168.0.0/16, но не получается соседство(
enable делал и внутри area и на самом ospf процессе.
На интерфейсе area прописывал, ospf instance тоже.
Отдельно хочу заметить, что повлиять можно только на настройку area на ESR-200, в продакшне на цисках area 16 и только 16, изменить в угоду ESR-200 невозможно, т.к. уже существует большой сегмент сети.
Прошивка для ESR последняя на сегодня.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
ESR-200 + Сisco по OSPF проблемы с AREA
Re: ESR-200 + Сisco по OSPF проблемы с AREA
в продакшне на цисках area 16 и только 16, изменить в угоду ESR-200 невозможно
4 цифры в виде IP - это стандарт вообще-то, это не в угоду ESR. А вот одна цифра, не исключено, что цискина отсебятина. Вообще, Area ID - 32 разряда, так что, видимо, 0.0.0.16 - это то же самое. Что показывает в логе? Там есть параметр "router ospf log-adjacency-changes". Иногда полезно включить, как минимум при начальной отладке. Вот фрагмент рабочего конфига (на другой стороне L3 коммутатор SNR и Juniper M7 на разных пирах):
Код: Выделить всё
router ospf 1
router-id x.y.z.46
redistribute connected
redistribute static
area 0.0.0.0
network x1.y1.z1.44/30
network x2.y2.z2.60/30
enable
exit
enable
exit
!
interface tengigabitethernet 1/0/1.12
ip address x1.y1.z1.46/30
ip ospf instance 1
ip ospf mtu-ignore
ip ospf
exit
interface tengigabitethernet 1/0/1.810
ip address x2.y2.z2.62/30
ip ospf instance 1
ip ospf mtu-ignore
ip ospf
exit
Сергей.
Re: ESR-200 + Сisco по OSPF проблемы с AREA
По логам даже нет попыток установить соседство. Возможно, я что-то упускаю. Не знал, что формат циски отсебятина, но зная их, не удивлён. Тем не менее, на данный момент пока приходится подстраиваться под существующую сеть.
ELTEX ESR-200
CISCO
Внимательнее прочёл мануал, не хватало настройки ip ospf на интерфейса, тогда он появился среди sh ip ospf int, но соседство всё равно не устанавливается. Ответный маршрутизатор висит в init, на ESR-200 пустая таблица OSPF.
ELTEX ESR-200
Код: Выделить всё
router ospf log-adjacency-changes
router ospf 100
router-id xx.xx.xx.247
compatible rfc1583 //пробовал с/без этой оцпией(и)
redistribute connected
redistribute static
area 0.0.0.16
network 192.168.0.0/16
enable
exit
enable
interface gigabitethernet 1/0/2
mtu 1400
security-zone trusted
ip address 192.168.1.217/30
ip ospf instance 100
ip ospf area 0.0.0.16
ip ospf cost 100
ip ospf network point-to-point
exit
CISCO
Код: Выделить всё
router ospf 100
router-id xx.xx.xx.235
log-adjacency-changes
passive-interface default
no passive-interface FastEthernet0/1
network 192.168.0.0 0.0.255.255 area 16
distance 200
interface FastEthernet0/1
bandwidth 10000
ip address 192.168.1.218 255.255.255.252
ip mtu 1400
ip ospf network point-to-point
load-interval 30
delay 30
duplex auto
speed auto
Внимательнее прочёл мануал, не хватало настройки ip ospf на интерфейса, тогда он появился среди sh ip ospf int, но соседство всё равно не устанавливается. Ответный маршрутизатор висит в init, на ESR-200 пустая таблица OSPF.
Re: ESR-200 + Сisco по OSPF проблемы с AREA
OSPF на вход разрешили на ESR ?
область 16 = 0.0.0.16
область 16 = 0.0.0.16
Re: ESR-200 + Сisco по OSPF проблемы с AREA
Garri писал(а):OSPF на вход разрешили на ESR ?
А где именно это нужно сделать? Пожалуйста, подскажите, какую часть мануала изучить подробнее. Или если есть пример конфигурации, то был бы очень признателен.
Относительно заводской конфигурации убрал только dhcp и nat за ненадобностью, больше ничего глобально не менял, никаких аксес-листов не настраивал.
Re: ESR-200 + Сisco по OSPF проблемы с AREA
В "security zone-pair trusted self" необходимо создать правило разрешающее обработку входящих OSPF-сессий.
Подробнее в разделе про firewall
Подробнее в разделе про firewall
Re: ESR-200 + Сisco по OSPF проблемы с AREA
Если зайти на ESR с логином techsupport (пароль отдельно задаётся, и надо ещё tech-support login enable), то там будет консолька Linux, и там есть tcpdump. Можно посмотреть, кто что шлёт.
По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы. И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf". По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вроде
По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы. И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf". По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вроде
Код: Выделить всё
security zone-pair trusted self
rule 1
action permit
enable
exit
exit
Сергей.
Re: ESR-200 + Сisco по OSPF проблемы с AREA
Если зайти на ESR с логином techsupport (пароль отдельно задаётся, и надо ещё tech-support login enable), то там будет консолька Linux, и там есть tcpdump. Можно посмотреть, кто что шлёт.
А можно прямо в CLI воспользоваться командой monitor
Re: ESR-200 + Сisco по OSPF проблемы с AREA
tops писал(а):В "security zone-pair trusted self" необходимо создать правило разрешающее обработку входящих OSPF-сессий.
Подробнее в разделе про firewall
А могли бы подробнее рассказать или привести пример конфигурации? Вряд ли там команда permit OSPF)) До этого имел дело только со старенькими цисками и Dionis DPS 2000-3000, там без проблем заводится OSPF (вероятно, в виду отсутствия фаервола), тут же пока в режиме стенда, в качестве костыля сделал ip firewall disable на интерфейсе, тогда OSPF поднялся, действительно дело в том, что ESR получается не пускал OSPF.
Правда прямо точка-точка от физического интерфейса ESR'a к физическому интерфейсу Cisco не вышло, но я в GRE-туннель завернул всё это дело с отключенным фаерволом на порту и заработал OSPF.
asy писал(а):По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы.
Там по идее сетка по 30 маске точка точка или в принципе если физический интерфейс к физическому интерфейсу, то надо non-broadcast ставить и соответственно нейборгов руками прописывать?
На самом деле, на продакшне так подключать и не нужно, как писал выше, с GRE-туннелем всё получилось, но отключив фаервол на интерфейсах.
asy писал(а):И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf".
ip ospf на интерфейс я добавил вчера ещё, сразу не заметил, да. Немного экзотичное видение у элтекса, привычнее как на цисках и дионисах в самом router ospf задавать какие порты no-passive. Но справедливости ради, сам виноват, в мануале чёрным по белому написано о том, что на интерфейсе надо ip ospf задавать, чтобы интерфейс был активен в OSPF.
asy писал(а):По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вродеКод: Выделить всё
security zone-pair trusted self
rule 1
action permit
enable
exit
exit
action permit разрешит ospf? Или дополнительно надо что-то ещё прописать? К сожалению, по конфигурированию фаервола опыта нет.
Нашёл следующее:
Код: Выделить всё
RTR(config-zone-pair-rule)# match protocol ospf
error - check zone-pair rule 'protocol': attempt to set non TCP/UDP protocol with some ports
Re: ESR-200 + Сisco по OSPF проблемы с AREA
Там по идее сетка по 30 маске точка точка или в принципе если физический интерфейс к физическому интерфейсу, то надо non-broadcast ставить и соответственно нейборгов руками прописывать?
Можно по разному, но чтобы правильно. Не важно, что там /30, оно само не должно, по идее, догадаться, что нейбор - другой IP. Это надо лишнюю логику реализовывать. Может оно и правда заработает, но у меня идей проверять не возникало никогда.
action permit разрешит ospf?
В таком виде вообще весь трафик должен пройти. Цель же - чтобы заработало? Ну а потом уже правильно файрвол делать.
Сергей.
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 11 гостей