⛹️ 👨🏻 🔘 MikrotikとOSPF。直面しなければならなかったことと、それを克服した方法 ⚔️ 😛 ⚱️

良い一日。今日、私たちが生きることを許さなかった何かについて話したいと思います。それは長い間私たちの脳を吹き飛ばしました-MikrotikとOSPF。
Mikrotik自体は優れたハードウェアであり、低コストで多くの機能を備えていますが、残念ながら欠点がないわけではありません。
次のネットワーク図があります。

ROU1-Cisco c3845
ROU2-Cisco c3845
MT1-Mikrotik 1100Ahx2
MT2-Mikrotik 1100Ahx2
c3550-Cisco c3550
GW68-MikroTik RB751U-2HnD
GW69-MikroTik RB751U-2HnD

ROU1とROU2には、MT1とMT2へのトンネルがあります（IPSecはスキップします）。バックボーンのOSPFプロセスが開始されました。推奨サブネット10.0.0.0/19：

ROU1およびROU2の構成

＃ROU1
トンネルTunnel100641
説明＃XXX_IRK64_YYY＃
IPアドレス172.20.64.1 255.255.255.252
ip access-group DMZ_IN in
ip access-group DMZ_OUT out
ip mtu 1450
IP ospfネットワークポイントツーポイント
ip ospfコスト10
ip ospf mtu-ignore
ip ospf 1エリア0.0.0.0
トンネルソース194.xxx
トンネルモードipip
トンネル宛先195.xxx

ルーターospf 1
router-id 255.255.255.255
OSPF 100メトリックタイプ1サブネットルートマップOSPF_100_to_BBを再配布します
ネットワーク172.20.64.0 0.0.0.3エリア0.0.0.0

＃ROU2
トンネルTunnel100642
説明＃XXX_IRK64_YYY＃
IPアドレス172.20.64.5 255.255.255.252
ip access-group DMZ_IN in
ip access-group DMZ_OUT out
ip mtu 1450
IP ospfネットワークポイントツーポイント
ip ospfコスト40
ip ospf mtu-ignore
ip ospf 1エリア0.0.0.0
トンネルソース109.xxx
トンネルモードipip
トンネル宛先85.xxx

ルーターospf 1
router-id 255.255.255.254
OSPF 100メトリックタイプ1サブネットルートマップOSPF_100_to_BBを再配布します
ネットワーク172.20.64.4 0.0.0.3エリア0.0.0.0

MT1およびMT2では、トンネルアドレスはそれぞれ172.20.64.2および172.20.64.6です。エリアバックボーンはデフォルトですでに存在しています。

MT1およびMT2の構成

＃MT1

＃トンネルを作成する
/ interface ipip add comment = YYY_VL03_ROU1 disabled = no local-address = 195.xxx mtu = 1450 name = ipip_yyy_vl03_rou1 remote-address = 194.xxx

＃住所を掛けます
/ ip address add address = 172.20.64.2 / 30 comment = YYY_VL03_XXX interface = ipip_yyy_vl03_rou1

＃フィルターとIDを追加してインスタンスを修正
/ルーティングospfインスタンスセット[デフォルト= yesを検索] in-filter = ospf-default-in out-filter = ospf-default-out redistribute-other-ospf = as-type-1 router-id = 30.0.64.1

＃サブネットをエリアバックボーンに追加
/ルーティングOSPFネットワーク追加エリア=バックボーンコメント=「バックボーンネットワークVL」ネットワーク= 172.20.64.0 / 30

＃フィルターを作成する
/ルーティングフィルターの追加アクション=チェーンの受け入れ= ospf-default-outプレフィックス= 10.0.64.0 / 19
/ルーティングフィルターの追加アクション=チェーンを受け入れる= ospf-default-outプレフィックス= 172.20.64.0 / 19
/ルーティングフィルターの追加アクション=破棄チェーン= ospf-default-out
/ルーティングフィルターの追加アクション=チェーンの受け入れ= ospf-default-inプレフィックス= 10.0.0.0 / 19
/ルーティングフィルターの追加アクション=チェーンの受け入れ= ospf-default-inプレフィックス= 172.20.0.0 / 19
/ルーティングフィルターの追加アクション=破棄チェーン= ospf-default-in

＃OSPFインターフェースを作成する
/ルーティングospfインターフェイス追加認証キー= 0インターフェイス= ipip_yyy_vl03_rou1ネットワークタイプ=ポイントツーポイントプライオリティ= 255

＃MT2

＃トンネルを作成する
/ interface ipip add comment = YYY_VL03_ROU2 disabled = no local-address = 85.xxx mtu = 1450 name = ipip_yyy_vl03_rou2 remote-address = 109.xxx

＃住所を掛けます
/ ip address add address = 172.20.64.6 / 30 comment = YYY_VL03_ROU2 interface = ipip_yyy_vl03_rou2

＃フィルターとIDを追加してインスタンスを修正
/ルーティングospfインスタンスセット[デフォルト= yesを検索] in-filter = ospf-default-in out-filter = ospf-default-out redistribute-other-ospf = as-type-1 router-id = 30.0.64.2

＃サブネットをエリアバックボーンに追加
/ルーティングOSPFネットワーク追加エリア=バックボーンコメント=「バックボーンネットワークVL」ネットワーク= 172.20.64.4 / 30

＃フィルターを作成する
/ルーティングフィルターの追加アクション=チェーンの受け入れ= ospf-default-outプレフィックス= 10.0.64.0 / 19
/ルーティングフィルターの追加アクション=チェーンを受け入れる= ospf-default-outプレフィックス= 172.20.64.0 / 19
/ルーティングフィルターの追加アクション=破棄チェーン= ospf-default-out
/ルーティングフィルターの追加アクション=チェーンの受け入れ= ospf-default-inプレフィックス= 10.0.0.0 / 19
/ルーティングフィルターの追加アクション=チェーンの受け入れ= ospf-default-inプレフィックス= 172.20.0.0 / 19
/ルーティングフィルターの追加アクション=破棄チェーン= ospf-default-in

＃OSPFインターフェースを作成する
/ルーティングospfインターフェース認証キーの追加= 0コスト= 40インターフェース= ipip_yyy_vl03_rou2ネットワークタイプ=ポイントツーポイントの優先度= 200

ただし、MT1とMT2を直接接続する必要があります。
これを行うには、新しいエリアIRKを使用します。 Cisco c3550スイッチだけでなく、ルートデバイスもあり、すべてのVLANがインストールされ、プロバイダーが転送され、vrfが作成されます。（興味深い場合は、ネットワークの組織全体について説明します）
MT3とMT2に接続するためのc3550エリアIRKと2つのVLANを作成します。エリアIRKはRUのメインエリアです。RUに接続されているすべてのルーターが動作するリージョナルノードです。

C3550の構成

インターフェイスvlan66
説明＃MGM 1 VLAN＃
IPアドレス172.20.64.98 255.255.255.252
IPポリシールートマップテスト
ip ospfコスト10
ip ospf hello-interval 5
ip ospf dead-interval 10
ip ospf priority 100
！
インターフェイスVlan67
説明＃MGM 2 VLAN＃
IPアドレス172.20.64.102 255.255.255.252
ip ospfコスト10
ip ospf hello-interval 5
ip ospf dead-interval 10
ip ospf priority 50

ルーターOSPF 100
router-id 10.0.64.0
ログ隣接変更
接続されたメトリックタイプ1サブネットを再配布します
静的メトリックタイプ1サブネットを再配布します
ネットワーク172.20.64.96 0.0.0.3エリア10.0.64.0
ネットワーク172.20.64.100 0.0.0.3エリア10.0.64.0

＃2つのヌルルート

ip route 10.0.64.0 255.255.224.0 Null0 250
ip route 172.20.64.0 255.255.224.0 Null0 250

次に、MT1とMT2でこれらのVLANを受け入れ、新しいospfインスタンスとエリアを作成し、MT1とMT2の間にリンクを追加して、アドレスを添付します。

MT1およびMT2の構成

＃MT1
＃VLANを受け入れる
/ interface vlan add interface = ether1 l2mtu = 1594 name = vlan_66_mgm vlan-id = 66

＃エリアを作成する
/ルーティングOSPFエリアの追加エリアID = 10.0.64.0インスタンス= IRK名= IRK

＃インスタンスを作成
/ routing ospf instance add distribute-default = if-installed-as-type-1 name = IRK redistribute-other-ospf = as-type-1 redistribute-static = as-type-1 router-id = 10.0.64.1

＃IPを掛ける
/ ip address add address = 172.20.64.97 / 30 comment = MGM_Interface interface = vlan_66_mgm
/ ip address add address = 172.20.64.105 / 30 comment = MT-MT_Interface interface = ether2

＃サブネットをエリアIRKに追加
/ルーティングOSPFネットワーク追加エリア= IRKネットワーク= 172.20.64.96 / 30
/ルーティングOSPFネットワーク追加エリア= IRKネットワーク= 172.20.64.104 / 30

＃OSPFインターフェイスを作成する
/ルーティングospfインターフェイスadd dead-interval = 10s hello-interval = 5s interface = vlan_66_mgm network-type = broadcast priority = 255

＃MT2
＃VLANを受け入れる
/ interface vlan add interface = ether1 l2mtu = 1594 name = vlan_67_mgm vlan-id = 67

＃エリアを作成する
/ルーティングOSPFエリアの追加エリアID = 10.0.64.0インスタンス= IRK名= IRK

＃インスタンスを作成
/ルーティングospfインスタンス追加distribute-default = if-installed-as-type-1 name = IRK redistribute-other-ospf = as-type-1 redistribute-static = as-type-1 router-id = 10.0.64.2

＃IPを掛ける
/ ip address add address = 172.20.64.101 / 30 comment = MGM_Interface interface = vlan_67_mgm
/ ip address add address = 172.20.64.106 / 30 comment = MT-MT_Interface interface = ether2

＃サブネットをエリアIRKに追加
/ルーティングOSPFネットワーク追加領域= IRKネットワーク= 172.20.64.100 / 30
/ルーティングOSPFネットワーク追加エリア= IRKネットワーク= 172.20.64.104 / 30

＃OSPFインターフェイスを作成する
/ルーティングospfインターフェイスadd dead-interval = 10s hello-interval = 5s interface = vlan_67_mgm network-type = broadcast priority = 200

私たちが得たものは何も忘れていなかったようです：

1.中央ルーターへのトンネルが2つあり、各Mikrotikから1つです。
2.コストはそれぞれ10および40です。つまり、ライブメインルーター（プロバイダー）MT1を使用して、バックボーン10.0.0.0/19からトンネルを介してROU1へのルートを取得し、デッドルートをROU2へのトンネルを介して取得します。
3.常にc3550を介してトラフィックを駆動しないように、MT1とMT2の間に直接リンクがあります。

セットアップ、セット。すべてが機能します：

＃MT1
ADo dst-address = 10.0.0.0 / 19ゲートウェイ= 172.20.64.1 gateway-status = 172.20.64.1 ipip_yyy_vl03_rou1経由で到達可能距離= 110スコープ= 20ターゲットスコープ= 10 ospf-metric = 40 ospf-type = external-type-1

＃MT2
ADo dst-address = 10.0.0.0 / 19 gateway = 172.20.64.105 gateway-status = 172.20.64.105 ether2経由で到達可能distance = 110 scope = 20 target-scope = 10 ospf-metric = 50 ospf-type = external-type-1

MT2では、原則として、ether2を介したルートは最大10kです。

問題番号1：

一度、MT1でプロバイダーが死にます。サブネット10.0.0.0/19は、ROU2へのトンネルを介してアクセス可能になり、すべてが次のようになります。

＃MT2
ADo dst-address = 10.0.0.0 / 19 gateway = 172.20.64.5 gateway-status = 172.20.64.5 ipip_yyy_vl03_rou2 distance = 110 scope = 20 target-scope = 10 ospf-metric = 70 ospf-type = external-type-1を介して到達可能

しかし！ MT1プロバイダーが登場するとすぐに、次のことがわかります。

＃MT1
ADo dst-address = 10.0.0.0 / 19ゲートウェイ= 172.20.64.1 gateway-status = 172.20.64.1 ipip_yyy_vl03_rou1経由で到達可能距離= 110スコープ= 20ターゲットスコープ= 10 ospf-metric = 40 ospf-type = external-type-1

＃MT2
ADo dst-address = 10.0.0.0 / 19 gateway = 172.20.64.5 gateway-status = 172.20.64.5 ipip_yyy_vl03_rou2 distance = 110 scope = 20 target-scope = 10 ospf-metric = 70 ospf-type = external-type-1を介して到達可能

各ルーターが独自のトンネルを調べることがわかります。これは私たちにはまったく適していません。 MT2を再起動します。彼はMT1からether2を介してルートを受信し始めます。混乱。

一時的な解決策として、地域ノードからROU1およびROU2にすべてのエリアを追加しました。ある日、tsiskaが「ルーティングプロセスが多すぎる」と言うまで、すべてがうまく機能していました。

そして、再びバックボーンの問題に戻りました。サポートとの長い戦いは何にもつながりませんが、ある時点で、エリアス間でルートを再配布するときにミクロティックという回答が得られます（この場合、バックボーンからのルートはIRKを介して再配布されます）
ルートを誤ってインストールし始めます。そして、各ルーターが独自のトンネルを調べる画像を取得します。
それから解決策はそれ自身で来ます：
ether2にIPを追加し、バックボーンに新しいサブネットを追加します。

＃MT1
/ ip address add address = 172.20.64.121 / 30 comment = "MT-MT BB" interface = ether2
/ルーティングOSPFネットワーク追加領域=バックボーンネットワーク= 172.20.64.120 / 30

＃IRKを介したルートの再配布を禁止します
/ルーティングフィルターの追加アクション=チェーンの破棄= ospf-inプレフィックス= 10.0.0.0 / 19

＃MT2
/ ip address add address = 172.20.64.122 / 30 comment = "MT-MT BB" interface = ether2
/ルーティングOSPFネットワーク追加領域=バックボーンネットワーク= 172.20.64.120 / 30

＃IRKを介したルートの再配布を禁止します
/ルーティングフィルターの追加アクション=チェーンの破棄= ospf-inプレフィックス= 10.0.0.0 / 19

そして、ルート10.0.0.0/19は、他の誰かのeriaを介して再配布されるのではなく、そのeria内で受け入れられます。 Fuf、1つの問題が勝ちました。

2番目の問題を検討するために、GW構成を提供します。MT1およびMT2の構成は省略しますが、そこには複雑なものはありません。

図ではGW68とGW69がありますが、設定は1つだけの略語で示します。

Mikrotik 751について：
ether2-バックアッププロバイダー
ether3-メインプロバイダー
ether5-LAN
問題は、なぜether2がメインプロバイダーではないかということです。最初に、メインプロバイダーであるether1を作成しましたが、ポートが半分ソフトウェアであり、IPSecのパフォーマンスがまったくないことがわかりました。設定をあまり編集しないように、ether3に転送しました。

GW68の構成

＃トンネルを作成する
/ interface ipip add comment = X_GW64_X disabled = no local-address = 195.xxx mtu = 1440 name = ipip_x_gw64_x remote-address = 195.xxx
/ interface ipip add comment = Y_GW64_Y disabled = no local-address = 87.xxx mtu = 1440 name = ipip_y_gw64_y remote-address = 85.xxx

＃ブリッジを作成し、wifi apとether5を組み合わせます
/ interface bridge add l2mtu = 1594 name = bridge_private
/ interface bridge port add bridge = bridge_private interface = ether5
/ interface bridge port add bridge = bridge_private interface = wlan_private

＃DHCPを作成
/ IPプールの追加名= 10.0.68.0の範囲= 10.0.68.64-10.0.68.160
/ ip dhcp-server add address-pool = 10.0.68.0 disabled = no interface = bridge_private name = 10.0.68.0
/ ip dhcp-server network add address = 10.0.68.0 / 24 dns-server = 10.0.64.14,10.0.3.6 domain = partner.ru gateway = 10.0.68.1

＃ハングIP
/ ip address add address = 10.0.68.1 / 24 comment = LAN interface = bridge_private
/ ip address add address = 172.20.68.2 / 30 comment = X_GW64_X interface = ipip_x_gw64_x
/ ip address add address = 172.20.68.6 / 30 comment = Y_GW64_Y interface = ipip_y_gw64_y
/ ip address add address = 195.xxx / 30 comment = X interface = ether3
/ ip address add address = 87.xxx / 30 comment = Y interface = ether2

＃プロバイダーのゲートウェイを介してアドレスMT1およびMT2にルートを追加します
/ ip route add check-gateway = ping comment = Route_over_Y_to_Y distance = 1 dst-address = 85.xxx / 32 gateway = 1.1.1.1
/ ip route add check-gateway = ping comment = Route_over_X_to_X distance = 1 dst-address = 195.xxx / 32 gateway = 2.2.2.2

＃エリアとインスタンス、ネットワーク、OSPFインターフェースを追加
/ルーティングospfインスタンスセット[find default = yes] disabled = yes
/ルーティングospfインスタンスadd name = IRK router-id = 10.0.68.1
/ルーティングOSPFエリアの追加エリアID = 10.0.64.0インスタンス= IRK名= IRK
/ルーティングOSPFネットワーク追加エリア= IRKネットワーク= 172.20.68.0 / 30
/ルーティングOSPFネットワーク追加エリア= IRKネットワーク= 172.20.68.4 / 30
/ルーティングOSPFネットワーク追加エリア= IRKネットワーク= 10.0.68.0 / 24
/ルーティングospfインターフェイス認証を追加= md5 authentication-key = 0インターフェイス= ipip_x_gw64_xネットワークタイプ=ポイントツーポイントプライオリティ= 0
/ルーティングospfインターフェイス認証の追加= md5認証キー= 0コスト= 40インターフェイス= ipip_y_gw64_yネットワークタイプ=ポイントツーポイントプライオリティ= 0
/ルーティングospfインターフェイス認証の追加= md5認証キー= 0インターフェイス= bridge_privateネットワークタイプ=ブロードキャストパッシブ=はい

仕組み：

GW68は、それぞれが独自のプロバイダーを介してMT1とMT2に2つのトンネルをインストールします。 Mikrotikにはデフォルトはありません。MT1とMT2のアドレスは静的に登録されます。
MT1へのトンネルのコストは10、MT2へのトンネルのコストは40です。トンネルが有効になるとすぐに、MT1からOSPFまでのデフォルトおよびすべてのルートが取得されます。すべてのトラフィックはMT1でラップされます。メインプロバイダーが脱落するとすぐに、
OSPFタイマーが切れると、トンネルを介してMT2へのルートがアクティブになります。

問題2：

ライブメインチャネルでは、GW68ログに表示されます

20:12:26 route、ospf、infoデータベース記述パケットには異なるマスターステータスフラグがあります
20:12:26 route、ospf、info new master flag = false

この時点で、トラフィック自体がMT2へのトンネルを通過し始めます。 MT1へのトンネルはライブであり、トラフィックはMT2へのトンネルを通過します。また、店舗には通常メガバイトの予備があるため、
その後、理由もなく金が枯渇します。
すべてをMT1のトンネルに戻すには、MT1のGW68へのトンネルのオンとオフを切り替える必要がありました。さらに、この問題は一部の都市でのみ発生し、すべてのルーターでは発生しませんでした。
それらで、microticaフォーラムで。誰もサポートしてくれませんでした。同僚がMT1-Juniper SRX-650トンネルを引き上げようとすると、大量のアルコール、探知機、デバッガを装備しました:)
また、IPSecのデバッグ中に、OSPF Mikrotik認証エラーに遭遇しました。 OSPFインターフェースと出来上がりインターフェースの認証を無効にすると、問題は自動的に解消されました。
認可はどのように行われ、失敗はどこにあるのか、今では彼も私も覚えていない。しかし、問題は解決されました。どこでそれが完璧に機能し、承認されたのか、私には言えません。

Mikrotikを使用すると、各サポートの回答は新しい質問であり、新しいファームウェアはそれぞれ新しい問題を提示するため、コーヒーを推測することしかできません:)

MikrotikとOSPF。 直面しなければならなかったことと、それを克服した方法

More articles:

MikrotikとOSPF。直面しなければならなかったことと、それを克服した方法