xyyx Nov 6 2013 at 10:36

Mikrotik и OSPF. С чем пришлось столкнуться и как мы это побороли

9 min

71K

System administration*Network technologies*

Comments 16

Andrey_Zentavr Nov 6 2013 at 15:04

Читаю про микротик и начинаю жалеть что его купил. Не ужели все так плохо?

Я вот никак не подружу его с амазоновским ipsec в VPC+bgp.

Вроде туннель есть, сессия бгп устанавливается, а рвется коннект то каждую минуту, то каждые пять.

Night_Snake Nov 6 2013 at 15:23

Скажем так, его действительно нужно уметь готовить. Иногда колдунство включает в себя апгрейд/даунгрейд прошивки, на которой нужная вам функция работает наиболее стабильно.
Плюс к тому, действительно бывает некоторая несовместимость с другими вендорами, особенно в части IPSec/OSFP.

Так что не сказать, чтобы совсем плохо, просто зависит от задач.

xyyx Nov 6 2013 at 16:08

Насчет прошивок в точку. Сам лично оставил свои регионы на 5.19. Ребята сидят на 5.26. Тьфу-тьфу, пока работает все. Про IPsec, это да, как-нибудь напишу про дружбу с Juniper srx-650.

Night_Snake Nov 6 2013 at 23:58

C Cisco, помнится, так нормально и не взлетело

xyyx Nov 7 2013 at 04:09

Хм, с Cisco проблем никаких нет. С джуном после колдунства на стороне джуна все работает как часы.

vladadm Nov 7 2013 at 10:22

Взлетело cisco-ipsec-mikrotik и osfp по туннелю между ними? Норм пашет?

xyyx Nov 7 2013 at 10:27

cisco ipsec с aes и isakmp c 3des + ospf.
На циске есть небольшой костыль:
kron occurrence CLEASA in 5 recurring
policy-list CLEASA
!
kron policy-list CLEASA
cli clear crypto sa
!

Night_Snake Nov 7 2013 at 11:17

Ну вот сделать такой костыль на циске возможностей не было, да :(
Так что в итоге поставили 1760

xyyx Nov 7 2013 at 12:32

Думаю, что не прогадали:) Была б возможность начать все сначала, начали б с cisco dmvpn+eigrp.

Night_Snake Nov 7 2013 at 22:08

Я больше склоняюсь к варианту Juniper SRX + OSPF. Хотя уже и на другой работе, да :)

xyyx Nov 8 2013 at 04:00

Ну если нужна полносвязная схема, то без dmvpn ничего не сделать:(

Night_Snake Nov 8 2013 at 08:56

А чем вас point-to-multipoint не устраивает?

xyyx Nov 8 2013 at 09:02

Тем, что нет резерва на случай выхода из строя хаба (центрального узла). Допустим, в случае пожара или еще чего:) Вот тут бы полносвязность и пригодилась.

Night_Snake Nov 9 2013 at 18:56

Так а вам что резервировать надо? Внутри одной area полносвязь это не проблема ни разу. от смерти abr спасает резервный abr, что самим протоколом by design поддерживается

xyyx Nov 10 2013 at 17:18

Много лишних туннелей придется делать, dmvpn с динамическими spoke-to-spoke рулит.

Night_Snake Nov 10 2013 at 20:55

Ну в случае одного сегмента на все точки — лишнего строить не надо будет.
В целом, согласен с вами, что DMVPN в полносвязной схеме выглядит красиво.
Только это vendor lock. А это уже не комильфо :)