Andrey Glazkov: Set policy-o policiy-s vpn-a-ospf term 1 from then accept

Обычную политику рисуй

т.е. обычная редистрибьюция в OSPF? А там ведь еще OSPF как IGP в провайдерском ядре нарисован.

Set routing-i VPN-A proto ospf export vpn-a-ospf

Ну ты политику то в роутинг инстанс вешаешь

И если ты ее вешаешь в роутинг инстанс, то все это дело по дефолту идет из rib VPN-A.inet.0

о, спасибо, сейчас попробую

Можешь для успокоения души в политики дописать, from rib VPN-A.inet.0

Но и так будет работать

Спасибо еще раз, заработало

Непонятно только, почему "с той стороны" доставленные маршруты на СЕ (тут ios) отмечаются - какие-то как IA, а какие-то - как E2

И дальний PE в трассировке не виден, пес его знает, почему

И дальний PE в трассировке не виден, пес его знает, почему

Vrf-table-label ?

стоит

Vrf-table-label ?

еще из странного - я писал уже, что на СЕ маршруты, полученные от СЕ с противоположной стороны, получились и как внешние (Е2) и как межзоновые (IA), хотя там везде объявлена зона 0. И на СЕ те, маршруты, которые E2 - c метрикой 0, а у тех, что IA - нормальная

короче, буду ковырятся дальше. Однако заработало - и это уже изрядно радует

Так можт они у тебя уже на первом СЕ откуда то в оспф экспортируются? Т.е. изначально экстернал?

еще из странного - я писал уже, что на СЕ маршруты, полученные от СЕ с противоположной стороны, получились и как внешние (Е2) и как межзоновые (IA), хотя там везде объявлена зона 0. И на СЕ те, маршруты, которые E2 - c метрикой 0, а у тех, что IA - нормальная

С джуном не работаю, но один domain ID поставил в оспф?

Нет, они не видны в оспф ядра и появляются на РЕ в vrf таблице с источником -bgp

С джуном не работаю, но один domain ID поставил в оспф?

Это ж нужна, как я понимаю, потом, когда vrf несколько станет?

Это ж нужна, как я понимаю, потом, когда vrf несколько станет?

Нет

НужнО, конечно же...

О, тогда попробую

Сек, а какие получились ia, какие e?

И какие ты хочешь получать?

Ia - внутренние сети за дальним СЕ, Е2 - сеть РЕ-СЕ

не то чтобы хочу - я не понимаю почему так получилось

И странность с метрикой тоже странная ))

А ты на дальнем pe делаешь redistribute connected? Аналог джуна не знаю

Нет, только bgp в ospf

Без хтого на СЕ были только connected

Я бы смотрел на дальнем pe community для этого e префикса

Даже ospf в bgp там нет - само прицепилось (а в циске надо обратную редистрибьюцию тоже)

Смотри комьюнити, receiving pe в зависимости от комьюнити будет редистрибьютить как type 3 или 5

https://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/vpns-configuring-routing-between-pe-and-ce-routers-in-layer-3-vpns.html#id-10950345

Ок, спасибо, пойду поработаю , попозже посмотрю

ребят, вопрос по части голоса. есть Linksys spa3102. Звонки проходят и в ту и в другую сторону. Абоненту позвонили с городской линии - слышит, мы его нет. Где копать?

с PSTN косяк

офигеть, Дима постит ссылки на сайт джуна, скоро unl задеплоишь:)

офигеть, Дима постит ссылки на сайт джуна, скоро unl задеплоишь:)

я деплоил :)

а чем большинство пользуется для лаб?

GNS3 ?

EVE-NG, выбший UnetLab\

боюсь спросить, что лучше? что менее ресурсоемко?

боюсь спросить, что лучше? что менее ресурсоемко?

мне лучше EVE, т.к. это виртуалка на линуксе, которая развернута у меня в корпоративной инфраструктуре, в вСфере. Доступ по вебморде.

ева много жрет на 1 роутер?

Может ГНС сейчас тоже что-то подобное сделал, они там конкретно продвинулись, а я особо не слежу. Но один фиг использоваьт и в том и в другом случае Cisco iol образы одни и те же, так что разницы особой нет

ева много жрет на 1 роутер?

нихрена не жрет почти. ГНС тоже не будет, если IOL используешь, а не dynamips или как его там

смотря что за роутеры запускаешь. некоторые используют поллинг, из-за чего цпу жрётся постоянно, хотя и не так активно.

мне лучше EVE, т.к. это виртуалка на линуксе, которая развернута у меня в корпоративной инфраструктуре, в вСфере. Доступ по вебморде.

И у меня так же стоит ПК в серверной нашей с Ubuntu 16.04 и накатанной с нуля EVE. VPN до сети компании и всё доступно, пили с какого хочешь места :)

И у меня так же стоит ПК в серверной нашей с Ubuntu 16.04 и накатанной с нуля EVE. VPN до сети компании и всё доступно, пили с какого хочешь места :)

ну да, вариант удобный!

И у меня так же стоит ПК в серверной нашей с Ubuntu 16.04 и накатанной с нуля EVE. VPN до сети компании и всё доступно, пили с какого хочешь места :)

у меня также с gns3

Ну раньше GNS много ресурсов кушала. Даже видео Марата смотрел у него там лаба по BGP тормозила :) А тут в EVE я запускаю порядка 20 железок и норм )

Ну раньше GNS много ресурсов кушала. Даже видео Марата смотрел у него там лаба по BGP тормозила :) А тут в EVE я запускаю порядка 20 железок и норм )

потому что использовал динамипс

потому что использовал динамипс

Щас они изменили схему?

Щас они изменили схему?

они это кто?

GNS

Щас не Дайнамипс используют?

подкаст то слушал?

#49

не

в линкмиап канале и подкасты не слушаешь :)

Вчерашний слушал )

Слушаю, руки до этого не дошли пока

Щас не Дайнамипс используют?

можно и динамипс, можно и иол, можно и qemu

Ну круто :)

все глючит примерно одинаково? ))

ERROR: S client not available

Но для gns3 не нужно никаких левых виртуалок ... кроме qemu.

Добрый вечер. Подскажите пожалуйста как побороть проблему с MTU ADSL на Cisco DMVPN

Добрый вечер. Подскажите пожалуйста как побороть проблему с MTU ADSL на Cisco DMVPN

попробуй tcp adjust-mss на туннельном интерфейсе.

Уже стоит ip tcp adjust-mss 1420

А, собственно, как проблема-то проявляется именно у тебя?

Какие проблемы?

У меня куча филиалов на адсл DMVPN

Косяков нет.

ping server -f -l 1380 Пакет не доходят

ping 8.8.8.8 size 1420 Всё ОК

<removed>

<removed>

ОК. Но виндовая авторизация (Kerberos) не работает

ОК. Но виндовая авторизация (Kerberos) не работает

tcpdump/wireshark запускал?

ip tcp adjust-mss 1452 на юзверском

В туннеле поставь ip mtu 1400

tcpdump/wireshark запускал?

Техподдержку майкрософта напрягал, проблему нашли: Пакет Kerberos размером1416 и он не делим

ip tcp adjust-mss 1452 на юзверском

На Юзерском?

? ага

interface Vlan222 description —— LAN interface —— ip address 192.168.21.254 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ip policy route-map checkpoint ! Например

sh run int dia 1 interface Dialer1 description WAN ip address negotiated ip mtu 1452 ip nbar protocol-discovery ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp chap hostname ########## ppp chap password ##### ppp pap sent-username #### password ########## ppp ipcp dns request accept no cdp enable end sh run int tun 1 interface Tunnel1 description VPN_Uprava_WAN ip address 10.10.255.127 255.255.255.0 no ip redirects ip mtu 1460 ip nhrp authentication ####### ip nhrp map multicast dynamic ip nhrp map multicast 8######### ip nhrp map 10.10.255.1 ########## ip nhrp map multicast ######### ip nhrp map 10.10.255.2 ######### ip nhrp network-id 1 ip nhrp holdtime 300 ip nhrp nhs 10.10.255.1 priority 1 cluster 1 ip nhrp nhs 10.10.255.2 priority 2 cluster 1 ip nhrp nhs cluster 1 max-connections 1 ip nhrp nhs fallback 5 ip nhrp registration timeout 3 ip nhrp shortcut ip nhrp redirect ip tcp adjust-mss 1422 keepalive 10 3 tunnel source Dialer1 tunnel mode gre multipoint tunnel key 1 tunnel route-via Dialer1 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-1 end

Сорри

В туннеле сделай 1400

Хотя хз, если icmp то пролазит

А толще пролазит?

В туннеле сделай 1400

ip mtu или mtu ?

ip mtu и 1452 Может хидеры не пролазят

Собери лабу в unl или GNS3

ip mtu или mtu ?

Тупанул маленько. ссори

ip mtu или mtu ?

Готово

И?

Dialer1 is up, line protocol is up (spoofing) Hardware is Unknown Description: WAN Internet address is ######### MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 91/255

Ну так пролазят пакет то?)