Блокировка многоадресных адресов OSPF | OTUS

Блокировка многоадресных адресов OSPF

Одна из неполадок в работе протокола OSPF может быть связана с блокировкой многоадресных адресов. Представим, что в нашем распоряжении есть 2 маршрутизатора и у нас возникла следующая проблема:

14_1-1801-1b6e82.png 15_1-1801-ac82f0.png 16_2-1801-b7cecb.png

Интересно отметить следующее: R1 показывает, что наш сосед OSPF находится в состоянии INIT, при этом R2 не показывает ничего.

17_2-1801-363b43.png 18_2-1801-2f0ae7.png

Как видно из примера выше, OSPF был настроен корректно на обоих интерфейсах. Так как R1 показывает состояние INIT, можно сделать вывод, что R1 получает что-то от R2. Так как R2 не показывает ничего, вероятнее всего, он ничего не получает от R1. Протокол OSPF использует пакеты приветствия для установления соседства OSPF, при этом они отправляются с применением многоадресного адреса 224.0.0.5.

19_2-1801-2ee262.png 20_2-1801-03a6b3.png

Тут желательно проверить, а можем ли мы пропинговать адрес многоадресной рассылки, то есть адрес, который протокол OSPF применяет для пакетов приветствия. Как видим, и R1, и R2 не получают ответа оба.

21_2-1801-431d7d.png 22_2-1801-96d37f.png

Отправляем эхо-запросы друг другу — никаких проблем. Что же тогда может вызвать имеющиеся проблемы с отправкой и получением многоадресного трафика OSPF? А может, речь в списке доступа?

23_2-1801-36154b.png 24_2-1801-f04d3a.png

Так, что-то обнаружили. И это «что-то» заключается в том, что на R2 есть входящий список доступа с именем BLOCKSTUFF.

25_2-1801-cbcbd2.png

Вот так вот. Список доступа разрешает лишь TCP-, UDP- и ICMP-трафик. Протокол OSPF не использует TCP либо UDP, в результате чего он удаляется этим списком доступа по причине deny any. И пусть мы не видим этого в верхнем листинге, зато в нижней части access-list данный запрет существует.

Screenshot_1-1801-434401.png 26_2-1801-c48196.png

Корректируем access-list так, чтобы разрешить трафик OSPF.

27_2-1801-a1fe22.png

Ура, проблема решена.

28_2-1801-8403dc.png 29_2-1801-81b14f.png

Что же, теперь можно уже пинговать адрес многоадресной рассылки 224.0.0.5 OSPF, в результате чего мы увидим ответ с другой стороны.

Итог этого урока прост: не стоит блокировать многоадресные адреса OSPF 224.0.0.5 и 224.0.0.6 (DR/BDR).

Источник

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто
🔥 Выгодные предложения!
Успейте начать обучение со скидкой до 10%. Акция до 31 июля →