Bonjour la liste...... As tu pense a bgp..... car c est parfait pour ce type d'usage. Ospf n est pas forcement adapte pour appliquer des filtres sur des prefixs particuliers en fonction de criteres arbitriares.
En revanche, avec une totaly stub area tu peux remplacer les routes de r1 et r2 par une route par dedaut. en utilisant le.fortigate sur l area 0.0.0.0, r1 sur une aire 1.1.1.1 et r 2 sur une aire 2.2.2.2. Fortigate est parfaitement capable de faire du bgp et des routes policy ondemand... Bonne chance ;) Le 16 avr. 2014 21:29, "Fabien Dedenon" <daf.fr...@gmail.com> a écrit : > Et avec du nssa, ça n'aiderait pas ? > > > Fabien > Sent from my phone > > > Le 16 avr. 2014 à 21:01, "Fabien V." <list-fr...@beufa.net> a écrit : > > > > Alors, après test et réponses en off-list, mon problème vient du fait > que je suis bien sur 2 aires différentes...... Quand je fais une seule aire > entre le FortiGate vers R1 et vers R2, tout fonctionne, mais du coup, R2 > récupére aussi les routes de R1 en intra...... > > > > Ce que je voulais éviter avec l'aide de mes 2 aires, me permettant de > sélectionner mes redistribute d'autres processes et filtrer par prefix-list > chaque aire, mais visiblement FortiGate ne sait pas faire ca "simplement". > > > > Merci à ceux qui ont répondu en off, et n'hésitez pas si vous avez > l'idée du siècle ou avez déjà fait face à un problème de ce type ! > > > > 16 avril 2014 19:03 "Fabien V." a écrit: > > > >> Hello, > >> > >> Je cherche à maquetter de l'OSPF entre FortiGate et OSPF. Je ne sais > pas si je fais quelque chose d'incohérent, donc un peu d'indulgence si il y > a un truc qui m'a échappé. Je vais essayer d'être complet, n'hésitez pas à > commenter ce qui vous choque :D > >> > >> La maquette : > >> > >> R1 CISCO R2 CISCO > >> \ / > >> \ / > >> \ / > >> \ / > >> FORTIGATE > >> > >> Je souhaiterai faire des filtres sur les annonces entre les R1 et R2, > et le lien entre R1 et R2, c'est l'aire 0. > >> D'après ce que je trouve comme docs, pour filtrer, je suis obligé de > faire des aires différentes dans des processes différents entre R1 et R2. > >> > >> Donc même en omettant ces considérations voici ce que j'imaginai : > >> R1 FORTIGATE : Aire 303 dans process 303 > >> R2 FORTIGATE : Aire 403 dans process 403 > >> R1 R2 : Aire 0 dans process X > >> R1 et R2 doivent redistribuer la default gateway au FORTIGATE. > >> FORTIGATE doit annoncer 10.59.59.0/24 > >> > >> La config : > >> R1 : > >> router ospf 303 > >> router-id 0.0.3.1 > >> auto-cost reference-bandwidth 10000 > >> default-information originate always metric 1 > >> distribute-list prefix AllowedOSPFRoutes in > >> distance ospf external 200 > >> > >> R2 : > >> router ospf 403 > >> router-id 0.0.4.1 > >> auto-cost reference-bandwidth 10000 > >> default-information originate always metric 1 > >> distribute-list prefix AllowedOSPFRoutes in > >> distance ospf external 200 > >> > >> FORTIGATE : > >> config router ospf > >> config area > >> edit 0.0.1.47 > >> next > >> edit 0.0.1.147 > >> next > >> end > >> set auto-cost-ref-bandwidth 10000 > >> config network > >> edit 1 > >> set area 0.0.1.47 > >> set prefix 10.30.3.0 255.255.255.0 > >> next > >> edit 2 > >> set area 0.0.1.147 > >> set prefix 10.40.3.0 255.255.255.0 > >> next > >> end > >> config ospf-interface > >> edit "AREA303" > >> set interface "port2" > >> set priority 0 > >> next > >> edit "AREA403" > >> set interface "port1" > >> set priority 0 > >> next > >> end > >> config redistribute "static" > >> set status enable > >> set routemap "rtmap-static-v4" > >> end > >> set router-id 0.0.3.2 > >> end > >> > >> Tout fonctionne bien sur mes routeurs : > >> > >> R1 : #sh ip ospf 303 rib > >> *> 10.59.59.0/24, Ext2, cost 10, tag 0 > >> via 10.30.3.2, Vlan303 > >> > >> R2 : #sh ip ospf 303 rib > >> *> 10.59.59.0/24, Ext2, cost 10, tag 0 > >> via 10.40.3.2, Vlan403 > >> > >> En revanche sur le FORTIGATE, je n'obtiens qu'une seule default gateway > dans la table de routage, même si la database en voit 2 : > >> > >> FORTIGATE $ get router info ospf database brief > >> [...] > >> AS External Link States > >> > >> Link ID ADV Router Age Seq# CkSum Flag Route > Tag > >> 0.0.0.0 0.0.3.1 1562 80000467 977d 0012 E2 0.0.0.0/0 > >> 303 > >> 0.0.0.0 0.0.4.1 680 8000000c 62ac 0012 E2 0.0.0.0/0 > >> 403 > >> 10.59.59.0 0.0.3.2 1091 80000005 49f5 0031 E2 > 10.59.59.0/24 0 > >> > >> FORTIGATE $ get router info ospf route > >> E2 0.0.0.0/0 [100/1] via 10.40.3.1, port1 > >> C 10.30.3.0/24 [100] is directly connected, port2, Area 0.0.1.47 > >> C 10.40.3.0/24 [100] is directly connected, port1, Area 0.0.1.147 > >> > >> Y a t-il une raison explicite que j'ai loupé avec la tête dans le > guidon pour laquelle le FORTIGATE insère une seule route dans sa table de > routage ? Si oui pourquoi celle de l'aire 403 ? Et si vous avez des idées > comment contourner ce problème en ayant 2 aires OSPF ? > >> > >> Merci d'avance pour vos remarques / aides ! > >> > >> Fabien V. > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
