18 avril 2014 13:50 "Radu-Adrian Feurdean" a écrit: > On Wed, Apr 16, 2014, at 19:01, Fabien V. wrote: > > >> Hello, >> >> Je cherche à maquetter de l'OSPF entre FortiGate et OSPF. Je ne sais pas >> si je fais quelque chose d'incohérent, donc un peu d'indulgence si il y a >> un truc qui m'a échappé. Je vais essayer d'être complet, n'hésitez pas à >> commenter ce qui vous choque :D >> >> Je souhaiterai faire des filtres sur les annonces entre les R1 et R2, et >> le lien entre R1 et R2, c'est l'aire 0. >> D'après ce que je trouve comme docs, pour filtrer, je suis obligé de >> faire des aires différentes dans des processes différents entre R1 et R2. >> >> Donc même en omettant ces considérations voici ce que j'imaginai : >> R1 FORTIGATE : Aire 303 dans process 303 >> R2 FORTIGATE : Aire 403 dans process 403 >> R1 R2 : Aire 0 dans process X >> R1 et R2 doivent redistribuer la default gateway au FORTIGATE. >> FORTIGATE doit annoncer 10.59.59.0/24 >> > > > Quelques observation sur ton set-up: > - au niveau du Fortigate, il y aura pas une interface manquante ? si > oui, elle est dans quellq aire ? Son interco avec "area 0" c'est ou ? > - tu est au courant que dans la "philosophie OSPF" tous les routeurs > dans une aire doivent avoir la meme image du reseau. Le concept de > "re-distribution" n'est pas necessairement bien-venu. >
Oui il y a bien une aire 0 entre R1 et R2 et il y aussi de l'ibgp qui n'a rien à voir avec les processus OSPF ;) ca me paraissait tellement évident que je l'ai pas mentionné. Pour la même image du réseau oui, je suis d'accord avec toi, mais nous souhaitons avoir un minimum de contrôle pour éviter l'anarchie quand ce sera pas un FG mais 100 on va dire :D D'où l'idée d'aires / processus séparés avec prefix-list / route-map. En effet, dans certains cas, je n'ai qu'une aire entre FG et R1, et le R2 n'a jamais connaissance de FG que par R1 (pas de vlan / link direct) La redistribution de la defaut gateway en always me semble inévitable si je veux pas balancer 490k routes de l'eBGP à mon pauvre fortigate qui est plus sensé faire de l'IDS/IPS que passer son temps à calculer des ribs ! > J'ai deja fait le meme set-up toujours avec de fortinet double-attaches > vers le backbone. Par contre les deux "uplinks" (vers R1 et R2) etait > toujours dans "area0", avec des poids qui decouragent un routage "R1 - > FG - R2". Si on arrivait la, il y avait des problemes bien plus graves > que le traffic entre R1 et R2 qui passe par le FG. La dessus je te suis aussi, mais si on peut éviter d'empiler les merdes, ca m'arrange. Au final, ma maquette fonctionne bien comme ca, avec une aire unique étendue entre R1 FG et R2 FG, et une prefix list pour éviter les emmerdes dans le process. A noter qu'il s'agit bien d'un cas particulier...... puisque dans les autres cas, je n'ai besoin que de redistribuer la default gateway et pas besoin de faire du routage 'optimisé' vers R1 ou R2. Dans tous les autres cas, soit c'est R1 qui annonce la DG, soit c'est R2 si bascule il y a. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
