Vlákno názorů k článku Mikrotik: dynamické routování od LENIN POWER! - Kazdy ISP kdyz si muze dovolit lepsi routovaci...
-
LENIN POWER! (neregistrovaný)Kazdy ISP kdyz si muze dovolit lepsi routovaci protokol tak ho nasadi. OSPF je nespolehlive, dost casto se nepropaguji routy tak jak maji. To uz je lepsi pouzit BGP interne (kdyz nemame na lepsi routovaci soft), sice se to obtizneji nastavuje, ale pak to jede perfektne.
-
quagga i cisco to delaji u velkych siti. XORP to zda se nedela, ale ten jsme v produkci delsi dobu nemeli nemeli nebo OSPF jiz davno nejedeme a ti ISP s kteryma peerujeme ho taky nejedou. Kdyz se to rozsynchronizuje musi se rebootovat nebo restartovan ospfd postupne na vsech routerech.
ospf je prilis komplikovany protokol tak proto jsou jeho implementace bugovy. -
Caleb (neregistrovaný)OSPF na ROS pouzivame na priblizne 15 distribucnich routerech - 3 oblasti. V ranych verzich ROS 3.x (rekl bych tak 3.9 a nizsi) byla jeho nespolehlivost opravdu velka - nektere routy se vubec nepropagovaly, prakticky pravidelne se spatne delegovaly default gatewaye (mame 2 ruzne konktivity), tj. restartovani OSPF nebo i celych routeru bylo na denim poradku. Dnes s verzi 3.13 uz OSPF v ROS povazuju za pouzitelne, tj. vse funguje bez problemu.
Clanek bych oznacil za celkem zbytecny, obsahuje mnoho zjednoduseni a vubec neresi dulezite veci - typy oblasti, default gateway a delegace statickych rout, ABR, ASBR, metrika, DR, BDR atd. -
>OSPF je nespolehlive, dost casto se nepropaguji routy tak jak maji.
každý z těch hlavních směrovacích protokolů (eigrp, ospf, bgp, isis) je spolehlivý... bohužel je jeho spolehlivost často ovlivněna schopnostmi administrátora sítě... Pokud není schopen na routerech synchronizovat čas, navrhnout logickou architekturu sítě nebo nastavovat parametry, tak ano, s ospf má problémy. Ale říkat že quagga nebo Cisco neumí na větších sítích OSPF to trochu přestřelujete :D.
Použít BGP interně je zajímavé řešení. Jednak z důvodu rychlosti reakce na změny, jednak z důvodu peeringu routerů a jednak z důvodu výpočtu metrik... to už vůbec nezmiňuji, že musí už existovat známá cesta mezi jednotlivými iBGP routery. Ale každopádně zajimavá "reusability of knowledge" (když už umím pilotovat letadlo, tak s ním budu litat i do sámošky :D)
ISIS počítám, že máte v jedné oblasti, nastavené na hodně pomalé reakce "aby byla síť stabilní" (usuzuju podle toho, že jste předtím měli BGP)... samozřejmě, i to je způsob jak se dá ušetřit na platech :D -
ja nerikam OSPF spolehlivost tomu ze musite nastavit milion veci soucasne a kdyz jedna vypadne (treba se rozsynchronuje cas) tak se routing podela. To je teda dost fragile.
Proc by mel treba admin nastavovat helo a dead time vsude stejne kdyz to ospf protokol nevyzaduje, ale quaga pak kurvi routing. Proc by se navic admin mel zatezovat s navrhovanim logicke struktury site aby vyhovel pozadavku nepadajiciho ospf? Routovaci protokol a soft proste fungovat musi jinak pujde do haje a nahradi ho ten co funguje lepe. OSPF a quagga neni pro nas modla, abychom se ji podrizovali a porad ji oddane slouzili a bali se ze je to zase nekde podela jako uz mnohokrat pred tim - proste si radsi koupime poradny soft a zijeme v klidu.
ISIS mame v jedne oblasti, timing nevim. interni BGP zdaleka neni zadna hruza; ja vim ze network admini casto strasi male deti tim jak je bgp neskutecne slozite, asi se boji o sva mista. BGP si u nas zakaznici konfiguruji a behaji sami a zatim to zvladl i ten nejvetsi idiot a to dokonce i bez step-by-step manualu pro cvicenou linuxovou opici. -
Lol > Proc by mel treba admin nastavovat helo a dead time vsude stejne kdyz to ospf protokol nevyzaduje
Až jsem se musel znova podívat do RFC 2328:
"Both HelloInterval and RouterDeadInterval must be the same for all routers attached to a common network."
lol > . Proc by se navic admin mel zatezovat s navrhovanim logicke struktury site aby vyhovel pozadavku nepadajiciho ospf?
Protože to proč ospf vypadá tak jak vypadá má svůj důvod právě tom jak se sítě navrhují a v donucení návrháře sítě aby dělal návrh kvalitně.
O bgp jsem neříkal že je komplikovaný na nastavení. A to že je komplikovaný je pravda, to že napsat program hello word v Cecku dokáže člověk už po prvním setkání s programováním určitě neznamená, že programovat v C je jednoduchý... to že to umí kdekdo rozchodit neznamená, že to také chápe :)
Ono celé sítě jsou o protokolech a pravidlech a normách... samozřejmě, že každé z nich můžete porušit nebo nedodržovat, ale chyba je je ignorovat... a samozřejmě je to pak už jen vaše riziko.. například v tom, že něco nebude fungovat :) -
ad 1. common network je sdílený segment. nevidím důvod proč by nemohl být na různých typech sítí různý timeout (například z jedné strany bezdrát, z druhé stabilní optika... každé vyžaduje své)... pokud tomu v nějaké implementaci je, pak to není implementace ospf (je pravda že věci jako mikrotik a podobné ignoruji... pro mě je to maximálně levné pojítko, kdo od toho čeká více...)
ad 2. Ja reagoval na to : interni BGP zdaleka neni zadna hruza; ja vim ze network admini casto strasi male deti tim jak je bgp neskutecne slozite, asi se boji o sva mista. BGP si u nas zakaznici konfiguruji a behaji sami a zatim to zvladl i ten nejvetsi idiot a to dokonce i bez step-by-step manualu pro cvicenou linuxovou opici. ...
Oni nestraší... oni vědí co říkají. BGP je poměrně mohutné (způsob komunikace, filtrování, rozhodování o volbě cesty...) když připočteme různá vylepšení, MBGP, TE, VPN a podobně tak už to je i zajimavé ;). Korektní a bezpečné nastavení není triviální, důkazem budíž i takové věci jako: http://www.lupa.cz/clanky/jak-pakistan-unesl-youtube/
To že lze udělat s-b-s manuál je jenom dobře. Nicméně to neříká nic o jednoduchosti iBGP.
U ibgp není hrůza nastavování, každý umí přidat nového iBGP do peergroupy... ale odhalování nestability sítě, rychlost reakce na výpadky a změny v síti, to že směrovač musí být schopen s peerem navázat TCP spojení... to už věci komplikuje, samozřejmě je to jako s bezpečností "dokud nejsou problémy tak je vše ok". -
rychlost propagace BGP je taky v klidu. Cisco a quagga dela defaultne propagaci kazdych 30 sekund/hop, nevim zda se to tam na nastavit na mene, ale treba juniper to strili ven okamzite, tam s rychlosti propagace neni zadny problem.
Ze si nejaky blb nenastavil import filter? no a co, od toho jsou blacklisty kopneme si ho do blacklistu, neimportujeme timpadem cokoliv co ho ma v as-path a problem je vyresen. Koho zajima nejakej priblblej pakistan. Kdyby jsme nemeli tolik cinskych zakazniku tak podle frekvence DOSu uz davnu neimportuju zadnej cinskej AS.
Ja rozhodne nepodporuju myslenky ze by na inetu mel za kazdych okolnosti BFU pravo komunikovat s kym se mu zachce. Kdyz nas nekdo DOSi a ten od koho to jde to nechce resit, tak mu proste prestaneme routit trafik. Kdyz se mu to nelibi tak at si jde na nas stezovat, zadny zakon nam narizuje ze nesmime mit u BGP import filter. -
Pokud myslite ze BGP je rychle tak ok. Pokud mylite ze je to lepši IGP než OSPF pak taky ok. Pokud myslite ze odriznutim vlastni site od ostatnich vsechno vyresite, taky ok. Pokud myslite, ze 30 sekund je u bgp "ten čas" pak taky ok. Co jsem chtel napsat jsem naspal. Vaše reakce nemá nic co by me motivovalo pokracovat :)
PS: Pochybuji ze to byl blb, jen si dostatecne neuvedomil co vlastne pouziva za nastroj a co to muze mit za nasledky, nedostatečně si otestoval co to vlastně bude zadávat, samozrejme ze oni uz vedi v cem to bylo, a asi se zrovna toto opakovat nebude, ale to neznamena ze jsou chytri, spíš myslim že si ten pracovník vybojoval dalších pár školení, možná i více financí na testovací labík :D ... po bitve je kazdy general, ale vedet to i predtim nez se to stane. No nic...
PSS: nemit u BGP import filter je sebevrazda. -
Ondrej SanTiago Zajicek (neregistrovaný)> Pokud není schopen na routerech synchronizovat čas,
Rozumna implementace OSPF by nemela vyzadovat synchronizovany cas na routerech.
> jednotlivými iBGP routery
Myslim, ze kdyz uz by nekdo chtel pouzit BGP jako IGP, tak je lepsi ho pouzit jako eBGP - tedy kazdymu routeru priradit jiny ASN. -
Ad 1. souhlasím... vím že některé implementace s tím mají problémy, nikdy jsem to moc nezkoumal, ale může to pramenit z toho, že se určuje DD možná i další údaje podle aktuálního času a v případě rychlé změny času na zařízení, bez výpadku partnerství může dojít k nekonzistenci.
Ad 2. to nevim jestli by byla výhoda... to už raději RIPv2 ... rozhodovat o směrování v interní síti podle počtu ANS v cestě... nebo jste měl na mysli něco jiného? -
lucky (neregistrovaný)quagga je dle mych zkusenosti dost zavysla na spravnem nastaveni + na naprosto stejne verzi na cele siti ci staci se nekde upsat a napr. hello a dead timy nastavit jinak a uz to nejede tak jak ma, ono ani ta implementace ospf v ruznejch verzich mikrotiku neni nic moc (obcas nam vypadavali v pravidelnych intervalech routy, atd.), ale ted jsme odladili konfiguraci a v siti o cca 45+ routerech (zatim to prasime do 2 area-y pac bychom jich museli mit tak 20+ jelikoz nemame jednoduchou topologii site) a uz to funguje jak to ma (pokud vypadne nejakej spoj, tak se to krasne po par sec prehodi na backup lajnu)...
-
>(zatim to prasime do 2 area-y pac bychom jich museli mit tak 20+ jelikoz nemame jednoduchou topologii site)
Není pravda... můžete celou síť hodit do jedné oblasti. Proč všichni myslí, že je potřeba mít takto malé sítě rozdělené na oblasti o 2-3 routerech, se pak nedivim proč si lidi stěžují, že to blbne, nechová se tak jak má a pod. Samozřejmě přiměřené rozdělení je správné, ale 20 oblastí se mi zdá moc (samo nevidim mnoho detailů sítě, ale i tak je to moc)
> nekde upsat a napr. hello a dead timy nastavit jinak a uz to nejede tak jak ma
No proto taky quagga řve jak pominutá, stačí zapnout terminal monitor :) :
ospfd# terminal monitor
ospfd# OSPF: Packet 10.0.5.19 [Hello:RECV]: HelloInterval mismatch.
ospfd# OSPF: Packet 10.0.5.19 [Hello:RECV]: RouterDeadInterval mismatch.
že by směrovač 10.0.5.19 neměl něco správně nastaveno? ;)
ČLÁNKY DO MAILU