Estos firewalls están conectados entre sí, a través de dos enlaces:
Veamos la topología ( haz click sobre la imagen para verla mayor ):
- Sede Central:
Línea simétrica de 100Mbps dedicada y privada con la delegación nameif “ppal-site2site” Conexión a Internet de 1Gbps simétrica y redundada nameif “backup-site2site” coste ospf 100 por interfaz de backup
En la sede Central tenemos una conexión a Internet de alta velocidad y redundada que llamaremos “backup-site2site” por el rol que tiene desde la perspectiva de la delegación.
- Sede Delegación:
Línea principal: Línea simétrica de 100Mbps dedicada y privada con la sede central Todo el trafico transita por este enlace nameif “ppal-site2site” Conexión de backup FTTH a internet: Fibra FTTH de 100Mbps de bajada y 10 Mbps de subida No tiene tráfico a no ser que caiga el túnel principal. nameif “backup-site2site” coste ospf 100 por interfaz de backup
En la delegación hay un enlace de backup conectado directamente a Internet. Se trata de un Fiber To The Home (FTTH) o Fibra hasta el hogar de bajo coste y de caudal asimétrico ( 100 Mbps de bajada y 10 Mbps de subida ). El enlace de backup no tiene el mismo ancho de banda de subida que el enlace principal, pero por el patrón de tráfico en uso y el coste, en algunos entornos puede ser una solución económica y viable de respaldo durante el tiempo que el circuito principal esté en avería.
¿ Por qué ospf sobre túneles ipsec ?
Sobre ambos enlaces vamos a usar vpn’s ipsec extremo a extremo o “site2site” y “tunelizaremos” el tráfico entre las LAN’s de las sedes y el enrutamiento OSPF. En los enlaces de backup usaremos vpn porque además de los motivos de seguridad, las actualizaciones OSPF transitarán por internet cifradas y encapsuladas. Así pues, las actualizaciones OSPF por ambos enlaces serán topológicamente hablando “point-to-point non-broadcast”
Como el tráfico “lan to lan” en el canal principal va cifrado por motivos de seguridad, tiene sentido cifrar también el tráfico ospf “wan to wan”. Si hubiese algún problema con el túnel en el circuito principal y no cayese el circuito, usando ospf sobre ipsec saltaría la ruta de backup y seguiría todo funcionando.
Esto es, si cayera el túnel sobre el circuito principal pero éste siguiera levantado y no cifráramos ospf, seguiríamos anunciando y recibiendo las rutas apuntando a un túnel caído y tendríamos una incomunicación.
Por lo tanto, cifrar ospf en el circuito principal, nos provee una capa adicional de consistencia.
La solución no deseada es la que se cifra la comunicación “lan to lan” por el circuito principal y no se cifra el routing dinámico.
- Consideraciones sobre ospf en esta topología
En el lado de la delegación ambos interfaces son de 100 Mbps.
El valor por defecto del coste ospf sobre una interfaz a 100Mbps es de 10, por lo tanto tenemos igualdad de coste.
La ruta con menor coste o métrica es prioritaria.
Si el tránsito cursa por el backup debido a una caída del enlace principal y después éste se recupera, queremos garantizar que la ruta retorne al enlace principal.
Para ello, añadimos un coste ospf de 100 sobre el interfaz de backup.
Si no forzamos el coste, la ruta se mantendría por el enlace de backup.
No realizamos balanceo equal-cost multipath por limitación al usar ospf sobre interfaces diferentes.
- Configuración de la Sede Delegación
ASA 5505 interface Vlan200 nameif lan-sede-delegacion security-level 100 ip address 192.168.200.1 255.255.255.0 ! interface Vlan502 description BACKUP-FTTH-A-INTERNET nameif backup-site2site security-level 0 ip address 10.0.2.1 255.255.255.0 ospf cost 100 ospf network point-to-point non-broadcast ospf message-digest-key 1 md5 ***** ospf authentication message-digest ! interface Vlan601 nameif ppal-site2site security-level 2 ip address 172.16.0.2 255.255.255.0 ospf network point-to-point non-broadcast ospf message-digest-key 1 md5 ***** ospf authentication message-digest ! access-list ipsec-backup-site2site extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 access-list ipsec-backup-site2site extended permit ip interface backup-site2site host 10.0.1.1 ! access-list acl-lan-sede-delegacion extended permit ip any any ! access-list ipsec-ppal-site2site extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 access-list ipsec-ppal-site2site extended permit ip interface ppal-site2site host 172.16.0.1 ! access-group acl-lan-sede-delegacion in interface lan-sede-delegacion ! router ospf 100 network 10.0.2.0 255.255.255.0 area 0 network 172.16.0.0 255.255.255.0 area 0 network 192.168.200.0 255.255.255.0 area 0 neighbor 172.16.0.1 interface ppal-site2site neighbor 10.0.1.1 interface backup-site2site log-adj-changes ! route backup-site2site 10.0.1.0 255.255.255.0 10.0.2.2 1 ! crypto ipsec ikev1 transform-set ESP-3DES-SHA_trans esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA_trans mode transport crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac ! crypto map backup-site2site_map 10 match address ipsec-backup-site2site crypto map backup-site2site_map 10 set peer 10.0.1.1 crypto map backup-site2site_map 10 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 crypto map backup-site2site_map 10 set security-association lifetime seconds 28800 crypto map backup-site2site_map 10 set security-association lifetime kilobytes 4608000 crypto map backup-site2site_map interface backup-site2site ! crypto map ppal-site2site_map 10 match address ipsec-ppal-site2site crypto map ppal-site2site_map 10 set peer 172.16.0.1 crypto map ppal-site2site_map 10 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 crypto map ppal-site2site_map 10 set security-association lifetime seconds 28800 crypto map ppal-site2site_map 10 set security-association lifetime kilobytes 4608000 crypto map ppal-site2site_map interface ppal-site2site ! crypto ikev1 enable backup-site2site crypto ikev1 enable ppal-site2site ! crypto ikev1 policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 28800 ! management-access lan-sede-delegacion ! tunnel-group 10.0.1.1 type ipsec-l2l tunnel-group 10.0.1.1 ipsec-attributes ikev1 pre-shared-key ***** ! tunnel-group 172.16.0.1 type ipsec-l2l tunnel-group 172.16.0.1 ipsec-attributes ikev1 pre-shared-key ***** !
Observaciones de la configuración de la sede delegación:
En esta configuración no hay ruta por defecto, por lo que se puede deducir que no hay ruta hacia internet.
Esta configuración es únicamente para realizar la comunicación entre LAN’s usando ospf sobre ipsec.
Sin embargo, si que existe una ruta hacia el peer vpn por el enlace de backup a través de la gateway que representa el primer router a internet ( 10.0.2.2 )
Podríamos configurar un proceso de ip sla que monitorice las gateways y enrutar con pesos la default gateway según el estado del tracking.
Este proceso ip sla también nos podría hacer prescindir de ospf en esta topología, pero entonces no tendríamos enrutamiento dinámico que es más elegante y escala mucho mejor 🙂
El proceso y la explicación de ip sla lo veremos en otro post posterior.
- Configuración de la Sede Central
PIX Version 8.0(4) ! interface Ethernet1.400 vlan 400 nameif lan-sede-central security-level 100 ip address 192.168.100.1 255.255.255.0 ! interface Ethernet1.501 vlan 501 nameif backup-site2site security-level 0 ip address 10.0.1.1 255.255.255.0 ospf cost 100 ospf network point-to-point non-broadcast ospf message-digest-key 1 md5 misecretovpn ospf authentication message-digest ! interface Ethernet1.601 vlan 601 nameif ppal-site2site security-level 2 ip address 172.16.0.1 255.255.255.0 ospf network point-to-point non-broadcast ospf message-digest-key 1 md5 misecretovpn ospf authentication message-digest ! object-group network lan-sede-central network-object 192.168.100.0 255.255.255.0 object-group network lan-sede-delegacion network-object 192.168.200.0 255.255.255.0 access-list ipsec-ppal-site2site extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list ipsec-ppal-site2site extended permit ip interface ppal-site2site host 172.16.0.2 access-list acl-lan-sede-central extended permit ip any any access-list acl-backup-site2site extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list acl-backup-site2site extended permit ip interface backup-site2site host 10.0.2.1 access-list backup-site2site_access_in extended permit ip any any icmp permit any backup-site2site icmp permit any ppal-site2site nat (lan-sede-central) 0 0.0.0.0 0.0.0.0 access-group acl-lan-sede-central in interface lan-sede-central ! router ospf 100 network 10.0.1.0 255.255.255.0 area 0 network 172.16.0.0 255.255.255.0 area 0 network 192.168.100.0 255.255.255.0 area 0 neighbor 172.16.0.2 interface ppal-site2site neighbor 10.0.2.1 interface backup-site2site log-adj-changes ! route backup-site2site 10.0.2.1 255.255.255.255 10.0.1.2 1 sysopt connection permit-vpn sysopt connection reclassify-vpn crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map backup-site2site_map 10 match address acl-backup-site2site crypto map backup-site2site_map 10 set peer 10.0.2.1 crypto map backup-site2site_map 10 set transform-set ESP-3DES-SHA crypto map backup-site2site_map 10 set security-association lifetime seconds 28800 crypto map backup-site2site_map 10 set security-association lifetime kilobytes 4608000 crypto map backup-site2site_map interface backup-site2site crypto map ppal-site2site_map 10 match address ipsec-ppal-site2site crypto map ppal-site2site_map 10 set peer 172.16.0.2 crypto map ppal-site2site_map 10 set transform-set ESP-3DES-SHA crypto map ppal-site2site_map 10 set security-association lifetime seconds 28800 crypto map ppal-site2site_map 10 set security-association lifetime kilobytes 4608000 crypto map ppal-site2site_map interface ppal-site2site crypto isakmp identity address crypto isakmp enable backup-site2site crypto isakmp enable ppal-site2site crypto isakmp policy 5 authentication pre-share encryption 3des hash sha group 2 lifetime 28800 crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 ! management-access lan-sede-central ! tunnel-group vpn-casa ipsec-attributes pre-shared-key * tunnel-group 172.16.0.2 type ipsec-l2l tunnel-group 172.16.0.2 ipsec-attributes pre-shared-key * tunnel-group 10.0.2.1 type ipsec-l2l tunnel-group 10.0.2.1 ipsec-attributes pre-shared-key *
¿ Qué sucede con las sesiones establecidas cuando cae un túnel y conmuta la ruta ospf ?
Veamos un ejemplo, imaginemos que un cliente en la LAN de la sede Delegación conecta por ssh a un servidor en la sede Central.
Desde el punto de vista desde el firewall de la delegación:
- El tráfico ssh del cliente en la delegación hacia el servidor de la central pasa por el túnel vpn principal
- El túnel vpn principal se cae.
- La ruta aprendida por ospf hacia la sede Central cambia por el circuito de backup.
- El cliente en la delegación experimenta que la conexión ssh que tenía establecida se ha caído.
- El cliente abre una nueva conexión ssh al servidor de la central satisfactoriamente a través del circuito de backup.
- Se recupera el circuito principal
- Se levanta la vpn por el circuito principal
- Se instala en la ruta aprendida por ospf hacia la sede central por el circuito principal.
- Al cliente en la delegación no se le corta la conexión ssh porque la sesión se mantiene en el circuito de backup que está operativo.
- Las nuevas conexiones hacia la central transitan por el circuito principal.
Cuando se cae un un túnel vpn con sesiones establecidas y hay enrutamiento dinámico sobre diferentes interfaces, las sesiones existentes no se reclasifican al nuevo túnel.
Esto tiene sentido porque estamos tratando con firewalls con tabla de sesiones asociadas a interfaces.
Si miramos las sesiones establecidas a través del túnel antes de la caída, observaremos que están ligadas al interfaz que tiene instalada la ruta ospf.
Al conmutar la ruta, vemos que prácticamente no se pierden pings “lan to lan” porque cada ping es una sesión, aunque más corta, ligada al interfaz.
Anexo:
Los comandos globales “sysopt connection reclassify-vpn” y “sysopt connection preserve-vpn-flows” no son de ayuda cuando las sesiones cambian de interfaz.
El comando “sysopt connection preserve-vpn-flows” mantiene las sesiones establecidas cuando un mismo túnel cae y levanta antes del timeout.
El comando “sysopt connection reclassify-vpn” permite mantener las sesiones establecidas cuando sobre un mismo interfaz, se permite tráfico sin cifrar con el túnel caído y de repente se recupera. El tráfico establecido sin cifrar se reclasifica a nivel de sesión dentro del reciente túnel levantado si la access-list de “protect” incluye origen y destino.
Si estamos enrutados por el túnel de backup y recupera el túnel principal, no se pierden las sesiones porque el tráfico establecido se mantiene sobre el backup aunque haya cambiado la tabla de rutas. El tránsito es aceptado porque el túnel se mantiene levantado.
Cisco ASA soporta ospf con balanceo de carga a 3 peers si están en el mismo interfaz. En esta topología no es posible.
Si usamos routers para terminar los túneles vpn sin firewalling o nat’s, este problema no existe porque no hay tabla de sesiones.
- Verificación y Troubleshooting
Veamos los comandos principales y su salida para la verificación y resolución de problemas:
Verificamos fase 1 ( isakmp ) y fase 2 ( ipsec ) de las vpn
asa5505# show vpn-sessiondb l2l Session Type: LAN-to-LAN Connection : 10.0.1.1 Index : 13 IP Addr : 10.0.1.1 Protocol : IKEv1 IPsec Encryption : 3DES Hashing : SHA1 Bytes Tx : 731372 Bytes Rx : 732984 Login Time : 20:07:20 UTC Tue Jun 25 2013 Duration : 22h:42m:26s Connection : 172.16.0.1 Index : 16 IP Addr : 172.16.0.1 Protocol : IKEv1 IPsec Encryption : 3DES Hashing : SHA1 Bytes Tx : 2044 Bytes Rx : 3856 Login Time : 18:46:41 UTC Wed Jun 26 2013 Duration : 0h:03m:05s tráfico ipsec wan to wan en el enlace principal ospf cifrado: asa5505# show crypto ipsec sa peer 172.16.0.1 peer address: 172.16.0.1 Crypto map tag: ppal-site2site_map, seq num: 10, local addr: 172.16.0.2 access-list ipsec-ppal-site2site extended permit ip interface ppal-site2site host 172.16.0.1 local ident (addr/mask/prot/port): (172.16.0.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0) current_peer: 172.16.0.1 #pkts encaps: 29, #pkts encrypt: 29, #pkts digest: 29 #pkts decaps: 29, #pkts decrypt: 29, #pkts verify: 29 -omitido- tráfico lan to lan Crypto map tag: ppal-site2site_map, seq num: 10, local addr: 172.16.0.2 access-list ipsec-ppal-site2site extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0) current_peer: 172.16.0.1 #pkts encaps: 41, #pkts encrypt: 41, #pkts digest: 41 #pkts decaps: 41, #pkts decrypt: 41, #pkts verify: 41 -omitido- tráfico ospf por interface de backup: asa5505# show crypto ipsec sa peer 10.0.1.1 peer address: 10.0.1.1 Crypto map tag: backup-site2site_map, seq num: 10, local addr: 10.0.2.1 access-list ipsec-backup-site2site extended permit ip interface backup-site2site host 10.0.1.1 local ident (addr/mask/prot/port): (10.0.2.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (10.0.1.1/255.255.255.255/0/0) current_peer: 10.0.1.1 #pkts encaps: 8469, #pkts encrypt: 8469, #pkts digest: 8469 #pkts decaps: 8474, #pkts decrypt: 8474, #pkts verify: 8474 -omitido-
Verificamos ospf y la tabla de rutas:
Antes de establecerse la adyacencia OSPF : asa5505# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface N/A 0 DOWN/ - - 10.0.1.1 backup-site2site N/A 0 DOWN/ - - 172.16.0.1 ppal-site2site asa5505# show route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 172.16.0.0 255.255.255.0 is directly connected, ppal-site2site C 192.168.200.0 255.255.255.0 is directly connected, lan-sede-delegacion C 192.168.5.0 255.255.255.0 is directly connected, management C 10.0.2.0 255.255.255.0 is directly connected, backup-site2site S 10.0.1.0 255.255.255.0 [1/0] via 10.0.2.2, backup-site2site S 192.168.7.0 255.255.255.0 [1/0] via 192.168.5.1, management Adyacencia OSPF establecida: asa5505# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.100.1 1 FULL/ - 0:00:38 10.0.1.1 backup-site2site 192.168.100.1 1 FULL/ - 0:00:38 172.16.0.1 ppal-site2site asa5505# show route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 172.16.0.0 255.255.255.0 is directly connected, ppal-site2site C 192.168.200.0 255.255.255.0 is directly connected, lan-sede-delegacion C 192.168.5.0 255.255.255.0 is directly connected, management C 10.0.2.0 255.255.255.0 is directly connected, backup-site2site S 10.0.1.0 255.255.255.0 [1/0] via 10.0.2.2, backup-site2site S 192.168.7.0 255.255.255.0 [1/0] via 192.168.5.1, management O 192.168.100.0 255.255.255.0 [110/20] via 172.16.0.1, 0:00:00, ppal-site2site asa5505# show ospf interface backup-site2site is up, line protocol is up Internet Address 10.0.2.1 mask 255.255.255.0, Area 0 Process ID 100, Router ID 192.168.200.1, Network Type POINT_TO_POINT, Cost: 100 Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 0:00:02 Index 1/1, flood queue length 0 Next 0x00000000(0)/0x00000000(0) Last flood scan length is 1, maximum is 2 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.100.1 Suppress hello for 0 neighbor(s) Message digest authentication enabled Youngest key id is 1 ppal-site2site is up, line protocol is up Internet Address 172.16.0.2 mask 255.255.255.0, Area 0 Process ID 100, Router ID 192.168.200.1, Network Type POINT_TO_POINT, Cost: 10 Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 0:00:01 Index 2/2, flood queue length 0 Next 0x00000000(0)/0x00000000(0) Last flood scan length is 1, maximum is 2 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.100.1 Suppress hello for 0 neighbor(s) Message digest authentication enabled Youngest key id is 1
- Debugs i Logs
asa5505# show debug debug ospf adj debug ospf events debug ospf packet debug ospf tree OSPF: Send with youngest Key 1 OSPF: Send with youngest Key 1 OSPF: rcv. v:2 t:1 l:48 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4652 from backup-site2site OSPF: Rcv hello from 192.168.100.1 area 0 from backup-site2site 10.0.1.1 OSPF: End of hello processing OSPF: rcv. v:2 t:1 l:48 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4653 from ppal-site2site OSPF: Rcv hello from 192.168.100.1 area 0 from ppal-site2site 172.16.0.1 OSPF: End of hello processing Caída de interfaz principal: OSPF: Interface ppal-site2site going Down OSPF: 192.168.200.1 address 192.168.200.1 on ppal-site2site is dead, state DOWN OSPF: 192.168.100.1 address 192.168.100.1 on ppal-site2site is dead, state DOWN OSPF: Added backup Network Route to 172.16.0.0 Metric: 10, Next Hop: 172.16.0.2 Inc retrans unit nbr count index 2 (0/2) to 1/1 Set Nbr 192.168.100.1 2 first flood info from 0x00000000 (0) to 0xcad30b64 (341) Init Nbr 192.168.100.1 2 next flood info to 0xcad30b64 OSPF: Add Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b to backup-site2site 192.168.100.1 retransmission list OSPF: Start backup-site2site 192.168.100.1 retrans timer Set idb next flood info from 0x00000000 (0) to 0xcad30b64 (341) OSPF: Add Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b to backup-site2site flood list OSPF: Start backup-site2site pacing timer OSPF: Build router LSA for area 0, router ID 192.168.200.1, seq 0x8000010b OSPF: Flooding update on backup-site2site to 0.0.0.1 Area 0 OSPF: Send Type 1, LSID 192.168.200.1, Adv rtr 192.168.200.1, age 1, seq 0x8000010b (0) Create retrans unit 0xcad2fc30/0xcad2f0b8 2 (0/2) 1 OSPF: Set nbr 2 (0/2) retrans to 4702 count to 1 Set idb next flood info from 0xcad30b64 (341) to 0x00000000 (0) OSPF: Remove Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b from backup-site2site flood list OSPF: Stop backup-site2site flood timer OSPF: Send with youngest Key 1 OSPF: rcv. v:2 t:5 l:44 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4661 from backup-site2site OSPF: Received ACK from 192.168.100.1 on backup-site2site OSPF: Rcv Ack Type 1, LSID 192.168.200.1, Adv rtr 192.168.200.1, age 1, seq 0x8000010b Dec retrans unit nbr count index 2 (0/2) to 0/0 Free nbr retrans unit 0xcad2fc30/0xcad2f0b8 0 total 0. Also Free nbr retrans block Set Nbr 192.168.100.1 2 first flood info from 0xcad30b64 (341) to 0x00000000 (0) Adjust Nbr 192.168.100.1 2 next flood info to 0x00000000 OSPF: Remove Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b from 192.168.100.1 retransmission list OSPF: Stop nbr 192.168.100.1 retransmission timer OSPF: running SPF for area 0 OSPF: Initializing to run spf It is a router LSA 192.168.200.1. Link Count 3 Processing link 0, id 192.168.200.0, link data 255.255.255.0, type 3 Add better path to LSA ID 192.168.200.255, gateway 192.168.200.0, dist 10 Add path: next-hop 192.168.200.1, interface lan-sede-delegacion Processing link 1, id 192.168.100.1, link data 10.0.2.1, type 1 Add better path to LSA ID 192.168.100.1, gateway 10.0.1.1, dist 100 Add path: next-hop 10.0.1.1, interface backup-site2site -omitido- OSPF: insert route list LS ID 10.0.2.255, type 0, adv rtr 192.168.200.1 OSPF: Add Network Route to 172.16.0.0 mask 255.255.255.0. Metric: 110, Next Hop: 10.0.1.1 OSPF: insert route list LS ID 172.16.0.255, type 0, adv rtr 192.168.100.1 OSPF: Add Network Route to 192.168.100.0 mask 255.255.255.0. Metric: 110, Next Hop: 10.0.1.1 OSPF: Path left undeleted to 192.168.100.0 OSPF: delete lsa id 192.168.200.255, type 0, adv rtr 192.168.200.1 from delete list OSPF: insert route list LS ID 192.168.200.255, type 0, adv rtr 192.168.200.1 OSPF: Entered old delete routine OSPF: Old STUB NET route 192.168.100.0, mask 255.255.255.0, next hop 172.16.0.1 not exist OSPF: Old STUB NET route 172.16.0.0, mask 255.255.255.0, next hop 172.16.0.2 not exist OSPF: No ndb for STUB NET old route 10.0.1.0, mask 255.255.255.0, next hop 172.16.0.1 OSPF: delete lsa id 192.168.100.255, type 0, adv rtr 192.168.100.1 from delete list OSPF: insert route list LS ID 192.168.100.255, type 0, adv rtr 192.168.100.1 OSPF: delete lsa id 172.16.0.255, type 0, adv rtr 192.168.200.1 from delete list OSPF: delete lsa id 10.0.1.255, type 0, adv rtr 192.168.100.1 from delete list OSPF: insert route list LS ID 10.0.1.255, type 0, adv rtr 192.168.100.1 OSPF: running spf for summaries area 0 OSPF: sum_delete_old_routes area 0 OSPF: Started Building Type 5 External Routes OSPF: ex_delete_old_routes OSPF: Started Building Type 7 External Routes OSPF: ex_delete_old_routes Recuperación de enlace principal: OSPF: rcv. v:2 t:1 l:48 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x467d from ppal-site2site OSPF: Rcv hello from 192.168.100.1 area 0 from ppal-site2site 172.16.0.1 OSPF: 2 Way Communication to 192.168.100.1 on ppal-site2site, state 2WAY OSPF: Send DBD to 192.168.100.1 on ppal-site2site seq 0x13b0 opt 0x2 flag 0x7 len 32 OSPF: Send with youngest Key 1 OSPF: End of hello processing OSPF: rcv. v:2 t:2 l:32 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x467e from ppal-site2site OSPF: rcv. v:2 t:2 l:72 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x467f from ppal-site2site OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x940 opt 0x2 flag 0x7 len 32 mtu 1500 state EXSTART OSPF: First DBD and we are not SLAVE OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x13b0 opt 0x2 flag 0x2 len 72 mtu 1500 state EXSTART OSPF: NBR Negotiation Done. We are the MASTER OSPF: Send DBD to 192.168.100.1 on ppal-site2site seq 0x13b1 opt 0x2 flag 0x3 len 72 OSPF: Send with youngest Key 1 OSPF: rcv. v:2 t:2 l:32 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4680 from ppal-site2site OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x13b1 opt 0x2 flag 0x0 len 32 mtu 1500 state EXCHANGE OSPF: Send DBD to 192.168.100.1 on ppal-site2site seq 0x13b2 opt 0x2 flag 0x1 len 32 OSPF: Send with youngest Key 1 OSPF: rcv. v:2 t:2 l:32 rid:192.168.100.1 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4681 from ppal-site2site OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x13b2 opt 0x2 flag 0x0 len 32 mtu 1500 state EXCHANGE OSPF: Exchange Done with 192.168.100.1 on ppal-site2site OSPF: Synchronized with 192.168.100.1 on ppal-site2site, state FULL OSPF: Add Network Route to 192.168.100.0 mask 255.255.255.0. Metric: 20, Next Hop: 172.16.0.1
3 Comments
Hola, te quería comentar un problema que tengo con OSPF y un enlace punto a punto.
El problema es el siguiente, entre los routers se establece el OSPF, se obtiene navegación web, telefonia, y navegar en la Lan interna, pero las transferencias de archivos (en windows, entre maquinas) se torna asimetrica 6MB/s de un punto a otro, y 150KB/s en el otro sentido.
Curiosamente si sobre el enlace no se transporta OSPF, el enlace hace todo lo anterior y las transferencias son simétricas y llegan al tope de la capacidad del enlace 100Mbps.
Hola Alejandro,
Sin conocer la topología y con esta información, lo que sucede es que cuando tienes rutas estáticas la distancia administrativa es menor.
Revisa las rutas aprendidas y publicadas por OSPF en tus routers, es posible que algún problema de máscara, sumarización etc haga que estés recibiendo una ruta igual por otro camino.
¿Has visto si pierdes paquetes?
El protocolo CIFS usado en sistemas Windows para compartir directorios de forma remota es conocido por ser extremadamente sensible a la latencia.
Saludos.
Xavi, a ver si te aclaro un poco el panorama:
La topologia es la siguiente, hay dos sitios A y B, cada uno administra sus propias VLANs y tienen un Router que reune las VLANs las empaqueta sobre una boca de salida, y le publica al otro router a traves de OSPF como reasignar cada VLAN en el Otro extremo. Entre los dos Routers he puesto unos nuevos equipos NEC, que reemplazan un enlace Nokia mas antiguo.
El punto es que con el equipo Nokia (bridge L2) nunca hubieron problemas. El motivo del cambio es un aumento de la capacidad del sistema.
Con el nuevo equipo Nec, hace todo bien menos las transferencias de archivos entre maquinas corriendo Windows.
Tenes idea de como deberian estar configurados los parámetros de STP (spanning tree protocol). Te parece que tuviese algo que ver.
y el MTU de la red?