Элтекс

Не получается получить соседство по OSPF между Cisco и ESR-200.
Пока в режиме стенда собираю перед тем, как запускать в продакшн. Для стенда Cisco 2811.
Смущает настройка area в ESR-200, на циске это одна цифра, а на ESR значение формата х.х.х.х
mtu, hello, dead совпадают, прямые пинги между интерфейсами есть (в режиме стенда просто напрямую патчкорд проброшен).
Сомнения только к area.
Допустим, если у меня на Cisco 192.168.0.0 0.0.255.255 area 16, то как будет верно настроить ответно area на ESR-200?
Пробовал использовать в качестве area на ESR-200 следующие значения:
1. 0.0.0.16
2.192.168.0.0
Внутри в обоих случаях прописывал сеть 192.168.0.0/16, но не получается соседство(
enable делал и внутри area и на самом ospf процессе.
На интерфейсе area прописывал, ospf instance тоже.
Отдельно хочу заметить, что повлиять можно только на настройку area на ESR-200, в продакшне на цисках area 16 и только 16, изменить в угоду ESR-200 невозможно, т.к. уже существует большой сегмент сети.
Прошивка для ESR последняя на сегодня.

в продакшне на цисках area 16 и только 16, изменить в угоду ESR-200 невозможно

4 цифры в виде IP - это стандарт вообще-то, это не в угоду ESR. А вот одна цифра, не исключено, что цискина отсебятина. Вообще, Area ID - 32 разряда, так что, видимо, 0.0.0.16 - это то же самое. Что показывает в логе? Там есть параметр "router ospf log-adjacency-changes". Иногда полезно включить, как минимум при начальной отладке. Вот фрагмент рабочего конфига (на другой стороне L3 коммутатор SNR и Juniper M7 на разных пирах):

По логам даже нет попыток установить соседство. Возможно, я что-то упускаю. Не знал, что формат циски отсебятина, но зная их, не удивлён. Тем не менее, на данный момент пока приходится подстраиваться под существующую сеть.

ELTEX ESR-200


CISCO


Внимательнее прочёл мануал, не хватало настройки ip ospf на интерфейса, тогда он появился среди sh ip ospf int, но соседство всё равно не устанавливается. Ответный маршрутизатор висит в init, на ESR-200 пустая таблица OSPF.

OSPF на вход разрешили на ESR ?
область 16 = 0.0.0.16

Garri писал(а):OSPF на вход разрешили на ESR ?

А где именно это нужно сделать? Пожалуйста, подскажите, какую часть мануала изучить подробнее. Или если есть пример конфигурации, то был бы очень признателен.
Относительно заводской конфигурации убрал только dhcp и nat за ненадобностью, больше ничего глобально не менял, никаких аксес-листов не настраивал.

В "security zone-pair trusted self" необходимо создать правило разрешающее обработку входящих OSPF-сессий.
Подробнее в разделе про firewall

Если зайти на ESR с логином techsupport (пароль отдельно задаётся, и надо ещё tech-support login enable), то там будет консолька Linux, и там есть tcpdump. Можно посмотреть, кто что шлёт.

По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы. И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf". По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вроде

Если зайти на ESR с логином techsupport (пароль отдельно задаётся, и надо ещё tech-support login enable), то там будет консолька Linux, и там есть tcpdump. Можно посмотреть, кто что шлёт.

А можно прямо в CLI воспользоваться командой monitor

tops писал(а):В "security zone-pair trusted self" необходимо создать правило разрешающее обработку входящих OSPF-сессий.
Подробнее в разделе про firewall

А могли бы подробнее рассказать или привести пример конфигурации? Вряд ли там команда permit OSPF)) До этого имел дело только со старенькими цисками и Dionis DPS 2000-3000, там без проблем заводится OSPF (вероятно, в виду отсутствия фаервола), тут же пока в режиме стенда, в качестве костыля сделал ip firewall disable на интерфейсе, тогда OSPF поднялся, действительно дело в том, что ESR получается не пускал OSPF.
Правда прямо точка-точка от физического интерфейса ESR'a к физическому интерфейсу Cisco не вышло, но я в GRE-туннель завернул всё это дело с отключенным фаерволом на порту и заработал OSPF.

asy писал(а):По конфигу. А с чего "ip ospf network point-to-point"? Ethernet ни разу не PtP, отдельно нейборы не заданы.

Там по идее сетка по 30 маске точка точка или в принципе если физический интерфейс к физическому интерфейсу, то надо non-broadcast ставить и соответственно нейборгов руками прописывать?
На самом деле, на продакшне так подключать и не нужно, как писал выше, с GRE-туннелем всё получилось, но отключив фаервол на интерфейсах.

asy писал(а):И ещё у меня на интерфейсе на ESR присутствует просто "ip ospf".

ip ospf на интерфейс я добавил вчера ещё, сразу не заметил, да. Немного экзотичное видение у элтекса, привычнее как на цисках и дионисах в самом router ospf задавать какие порты no-passive. Но справедливости ради, сам виноват, в мануале чёрным по белому написано о том, что на интерфейсе надо ip ospf задавать, чтобы интерфейс был активен в OSPF.

asy писал(а):По файрволу. На интерфейсе вижу "security-zone trusted". Добавьте что-нибудь вроде

Код: Выделить всё

security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit

action permit разрешит ospf? Или дополнительно надо что-то ещё прописать? К сожалению, по конфигурированию фаервола опыта нет.

Нашёл следующее:

Там по идее сетка по 30 маске точка точка или в принципе если физический интерфейс к физическому интерфейсу, то надо non-broadcast ставить и соответственно нейборгов руками прописывать?

Можно по разному, но чтобы правильно. Не важно, что там /30, оно само не должно, по идее, догадаться, что нейбор - другой IP. Это надо лишнюю логику реализовывать. Может оно и правда заработает, но у меня идей проверять не возникало никогда.

action permit разрешит ospf?

В таком виде вообще весь трафик должен пройти. Цель же - чтобы заработало? Ну а потом уже правильно файрвол делать.