xyyx 6 ноя 2013 в 06:36

Mikrotik и OSPF. С чем пришлось столкнуться и как мы это побороли

9 мин

72K

Системное администрирование * Сетевые технологии *

Комментарии 16

Andrey_Zentavr 6 ноя 2013 в 11:04

Читаю про микротик и начинаю жалеть что его купил. Не ужели все так плохо?

Я вот никак не подружу его с амазоновским ipsec в VPC+bgp.

Вроде туннель есть, сессия бгп устанавливается, а рвется коннект то каждую минуту, то каждые пять.

Night_Snake 6 ноя 2013 в 11:23

Скажем так, его действительно нужно уметь готовить. Иногда колдунство включает в себя апгрейд/даунгрейд прошивки, на которой нужная вам функция работает наиболее стабильно.
Плюс к тому, действительно бывает некоторая несовместимость с другими вендорами, особенно в части IPSec/OSFP.

Так что не сказать, чтобы совсем плохо, просто зависит от задач.

xyyx 6 ноя 2013 в 12:08

Насчет прошивок в точку. Сам лично оставил свои регионы на 5.19. Ребята сидят на 5.26. Тьфу-тьфу, пока работает все. Про IPsec, это да, как-нибудь напишу про дружбу с Juniper srx-650.

Night_Snake 6 ноя 2013 в 19:58

C Cisco, помнится, так нормально и не взлетело

xyyx 7 ноя 2013 в 00:09

Хм, с Cisco проблем никаких нет. С джуном после колдунства на стороне джуна все работает как часы.

vladadm 7 ноя 2013 в 06:22

Взлетело cisco-ipsec-mikrotik и osfp по туннелю между ними? Норм пашет?

xyyx 7 ноя 2013 в 06:27

cisco ipsec с aes и isakmp c 3des + ospf.
На циске есть небольшой костыль:
kron occurrence CLEASA in 5 recurring
policy-list CLEASA
!
kron policy-list CLEASA
cli clear crypto sa
!

Night_Snake 7 ноя 2013 в 07:17

Ну вот сделать такой костыль на циске возможностей не было, да :(
Так что в итоге поставили 1760

xyyx 7 ноя 2013 в 08:32

Думаю, что не прогадали:) Была б возможность начать все сначала, начали б с cisco dmvpn+eigrp.

Night_Snake 7 ноя 2013 в 18:08

Я больше склоняюсь к варианту Juniper SRX + OSPF. Хотя уже и на другой работе, да :)

xyyx 8 ноя 2013 в 00:00

Ну если нужна полносвязная схема, то без dmvpn ничего не сделать:(

Night_Snake 8 ноя 2013 в 04:56

А чем вас point-to-multipoint не устраивает?

xyyx 8 ноя 2013 в 05:02

Тем, что нет резерва на случай выхода из строя хаба (центрального узла). Допустим, в случае пожара или еще чего:) Вот тут бы полносвязность и пригодилась.

Night_Snake 9 ноя 2013 в 14:56

Так а вам что резервировать надо? Внутри одной area полносвязь это не проблема ни разу. от смерти abr спасает резервный abr, что самим протоколом by design поддерживается

xyyx 10 ноя 2013 в 13:18

Много лишних туннелей придется делать, dmvpn с динамическими spoke-to-spoke рулит.

Night_Snake 10 ноя 2013 в 16:55

Ну в случае одного сегмента на все точки — лишнего строить не надо будет.
В целом, согласен с вами, что DMVPN в полносвязной схеме выглядит красиво.
Только это vendor lock. А это уже не комильфо :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий