|

22T47 7 Kroków Utworzenia Mikro Data Center [konfiguracja Mikrotik] cz.3

Wireguard OSPF

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

1:48 Konfiguracja

27:22 Podsumowanie

Transkrypcja

Cześć. Dzisiaj pokażę, jak nałożyć OSPFa na sieć, taką gwiazdy, tuneli Wireguarda, które robiłem w poprzednim odcinku. Tym razem dla tuneli Wireguarda nie stosuje konkretnych sieci czyli daje reguły że dowolny ruch może przechodzić tymi tunelami, dlatego, że chcę żeby OSPF kierował całym ruchem, który będzie dostępny dla wszystkich tunelowych połączeń.

Druga rzecz, która tutaj też jest istotna. Wybrałem opcję tworzenia tunelu Wireguarda pomiędzy dwoma routerami w oparciu o indywidualne interfejsy. Czyli mam pomiędzy każdym routerem w lokalizacji a dwoma routerami w centrali w Data Center mam stworzone po jednym interfejsie na każdy tunel. Dzięki temu mogę kierować OSPFem całym ruchem, bo jeżeli bym zrobił to w oparciu o alternatywną metodę, która jest możliwa Wireguardzie czyli tworzenie większej ilości peerów na konkretnym jedynym interfejsie, wtedy musiałbym sterować wpisywaniem sieci do konfiguracji interfejsów czy peerów Wireguarda. A to z kolei nie pozwalało by mi sterować OSPFem.

W tym odcinku będę konfigurował OSPFa na sześciu routerach czyli na moim całym VANie dwie lokalizacje MT1, MT2 i mój DMZ DC i samo DC. Czyli tych 6 routerów w OSPFie dzisiaj te 6 luterów w OSPFie będę konfigurował.

Jeżeli chodzi o konfigurację zaczynamy ją od dodania tutaj podstawowych parametrów OSPFa. Pokażę najpierw jak to jest zrobione pomiędzy MT1 a MT2. Czyli teraz mamy konfigurację pomiędzy tymi dwoma routerami bo pierwotnie kiedyś to były tylko dwie lokalizacje ze sobą spięte. Nie usuwałem jeszcze tej konfiguracji, żeby pokazać tobie jak ta konfiguracja może wyglądać i podobną konfigurację będę wykonywał dla połączeń pomiędzy VANem i w ramach DC DMZ.

No to najpierw Zacznijmy od MT1 Campus. Wygląda to tak, że jeżeli przejdziemy do OSPFa, czyli routing OSPF, to możemy zobaczyć, tylko nie ten router MT1 Campus routing OSPF. To możemy zobaczyć, że mamy tutaj jedną instancję skonfigurowaną i na tej będziemy bazować. Będę opierał się na jednej instancji dla całej tej konfiguracji. Mamy trzy template i tutaj oczywiście będę mógł wykorzystać Niektóre z nich za chwilę do tego wrócę mamy tu w związku z tymi template już jakieś wykryte interfejsy, one się zmienią.

To co musimy skonfigurować na każdym z tych interfejsów to jest oczywiście strefa Area. Identyfikator przyjąłem 001. No i tutaj jeżeli chodzi o ten pierwszy Mikrotik to jedyne co muszę tu zweryfikować czy się nadaje ten template. Mamy interfejs tylko podpięty WG-Site-To-Site-MT1 to tu na pewno trzeba będzie dodać kolejny interfejs czy typ tej sieci będzie point to point, będzie i uwierzytelnienie też takie samo jak wcześniej stosowałem będę chciał użyć. W związku z tym na Mikrotiku pierwszym w Campusie wystarczy dodać interfejs odpowiedni do mojego OSPFa i będę mógł iść dalej. Wireguard MT1 Campus do MT1 DC DMZ. To na pewno i drugi interfejs który mnie interesuje to jest WG-MT1-Campus do MT2-DC-DMZ.

Tak, czyli te potrzebuję dodać na razie WG-Site-To-Site mogę zostawić docelowo będę usuwał ten interfejs. Dobrze. To to zatwierdzamy możemy zobaczyć w interfejsach czy nam się coś zmieniło. Możemy zobaczyć, że pojawiły się tu dwa dodatkowe interfejsy, te które dodaliśmy. Czyli WG-MT1-Campus-MT1-DC-DMZ i odpowiednio adresy IP i tak samo do MT2-DC-DMZ. Czyli to, co teraz dodałem to jest interfejs który dotyczy tego tunelu do MT-DMZ, DC-DMZ i tunelu który dotyczy MT2-DC-DMZ, czyli te dwa interfejsy dodałem do procesu OSPFa.

No i teraz możemy iść dalej. Zróbmy może MT2 Campus, najpierw tą część. MT2 Campus, routing, OSPF, instancja… Nazwa instancji jest lokalna więc ona nie ma znaczenia w kontekście innych routerów. Jeżeli chodzi o template to co tu mamy… Bridge, i WG-Site-To-Site-MK2 i tutaj Site-To-Site nas interesuje czyli ten szablon ptp i tu dodamy tylko interfejsy. Czyli MT2-Campus-MT1 i MT2-Campus-MT2. Akceptujemy i tutaj też w zasadzie nic więcej robić nie musimy. Moglibyśmy tutaj zmienić ewentualnie nazwę tych interfejsów.

Jeszcze ten najpierw interfejs, jeszcze poprawie WG-Site-To-Site-MK2 na MT2. Czyli teraz mamy już ospf skonfigurowanego. na tych dwóch routerach było prosto ponieważ mieliśmy już całego OSPF i template skonfigurowane.

Teraz pójdę do konfiguracji MT1-DC-DMZ i tutaj podobną rzecz wykonam tyle tylko, że muszę dodać konfigurację całościową OSPFa. Sprawdzę sobie jakie nazewnictwo przyjąłem. Zanim template to jeszcze strefę dodam. Czyli tu nic nie zmieniam. Instancja jest już skonfigurowana. Identyfikator 1 i tutaj nic więcej nie potrzebuje no i wracam do template. Dodaje template. Area1 a tu nawet nazwy template nie ustawiam. Tutaj tylko potrzebuje dodać odpowiednie interface. I tu w w tym szablonie peer-to-peer Będą tylko dwa interface i ten interface LAN będę musiał ustawić w trybie Broadcast w związku z tym stworzę osobny template. Autentication, tutaj nie mam oczywiście, nie pamiętam teraz jaki był hash ale możemy go sobie szybko wygenerować.

Hash już mam i to jest wszystko co w tym template potrzebuje dodać. Drugi tempate broadcastowy dla połączenia między MT1-DC-DMZ a MT3-DC i pozostałymi tutaj w tej strefie bo teraz tutaj mówimy o domenie broadcastowej. Tu są bridge porobione w DMZ-DC w związku z tym template powinien być Broadcast. To jest ten interfejs MT1-DC-BR-DMZ. Zobaczmy jakie interfejsy zostały przypisane. Mamy trzy interfejsy, dwa z nich są w trybie Point-to-Point, trzeci jest w trybie Bridge. Tutaj jeszcze zapomniałem, dodam w tym template broadcastowym uwierzytelnienie. Ok, No i to samo powtarzam na MT2-DC-DMZ.

Tutaj już widać, że dynamicznie został wykryty sąsiad czyli jestem teraz w konfiguracji MT2-DC-DMZ a został wykryty adres 10… Czy identyfikator tego sąsiada 10.140.0.112. 112 czyli DMZ-MT1 możemy zobaczyć na pierwszym, tutaj też powinien być już wykryty. Tak. Z adresem 115. Czyli widać z tego wyraźnie, że jeżeli chodzi o domenę broadcastową to te dwa routery już się ze sobą widzą i jest spięty OSPF w stanie pełnym czyli cała negocjacja, wykrywanie zostało prawidłowo przeprowadzone to znaczy, że hasło też się zgadza. No to idziemy dalej i teraz konfiguracja dla MT3-DC i MT4-DC. Dla tych dwóch routerów konfiguracja OSPF.

Tutaj będę konfigurował tylko template Broadcast ponieważ mam tylko sąsiadów domeny broadcastowej. O tu nie mam pokonfigurowanych jeszcze nazw tych interfejsów. No to może sprawdzę sobie jak to wygląda tutaj. Jestem teraz na konfiguracji Mikrotika 3. W tym miejscu i interfejs eth1 to jest interfejs którym będę tutaj nazywał w związku z tym zaraz zmieniam nazwę zgodnie z tym co konfigurowałem na innych routerach. No to przechodzę do trzeciego. Eth1 to jest interfejs i teraz mogę wrócić do OSPFa. Eth1, broadcast, md5.

No i widać już się sąsiedzi zobaczyli. Jestem teraz na MT3 a widzę dwóch sąsiadów czyli adresację z końcówką 12, 15. Czyli wszystko się zgadza. Teraz przechodzę i robię to samo dla MT4. Jeszcze chwilę muszę poczekać. TwoWay oznacza, że jest jeszcze w stanie negocjacji. Stan Full oznacza, że już całkowicie są. ze sobą spięte.

Zobaczmy jak na Mikrotiku 3 DC to wygląda. Tutaj też jest TwoWay. Czyli sytuacja wygląda teraz tak, że pomiędzy MT3, MT1 w DC wszystko działa. Pomiędzy MT3, MT2 OSPF też jest w pełni zestawiony natomiast tutaj pomiędzy MT3 DC a MT4 DC tutaj niestety nie zestawia się w pełni ten OSPF i moim zdaniem prawdopodobną przyczyną jest to, że interfejsy Bridge’owe, które mamy pokonfigurowane tu i tutaj. Pomiędzy eth3 – 2 działają i przenoszą ten ruch, o tak. Natomiast z jakiegoś powodu prawdopodobnie ten ruch nie przechodzi. To jest jedna możliwość do sprawdzenia.

Druga opcja jest taka, że nam się jakieś parametry nie zgadzają. Tyle tylko, że przy tej drugiej teorii to jest mało prawdopodobne dlatego, że mt4 również prawidłowo zestawia sąsiedztwo z MT2-DC i z MT1-DC. Czyli tutaj też prawidłowo jest sąsiedztwo zestawiane. Dlatego stawiam, że to jest problem z przenoszeniem ruchu i w związku z tym rozwiązaniem powinno być tutaj wstawienie w środek przełącznika i spięcie przez domenę czy przed bridge wszystkie te routery tutaj w domenie tej broadcastowej. Wtedy prawdopodobnie sytuacja się rozwiąże.

No to spróbujmy. Dodam teraz router dodatkowy, który będzie robił tylko za bridge i zobaczymy czy te sąsiedztwa się zestawią. Muszę zatrzymać oczywiście żeby przełączyć te wszystkie linki, wszystkie te cztery routery no i dodam teraz kolejny router z konfiguracją bridge i zobaczymy czy nam sytuacja się rozwiąże. Tu przy okazji postanowiłem przetestować czy więcej interfejsów, które dodam w template faktycznie zadziała i będę miał więcej interfejsów na tym routerze. Nie próbowałem tego jeszcze więc zaraz zobaczymy.

Teraz włączę wszystkie routery. Jeszcze muszę przekonfigurować bridge bo tu na MT3-DC nie ma bridge, MT4-DC też nie ma ale na MT1-DC i MT2-DC są pokonfigurowane bridge więc wyciągnę te interfejsy z bridge i zobaczymy czy wtedy nam to wszystko zadziała. A jeszcze muszę dodać tego brigde na MT4-BR-DC-DMZ. No i teraz powinienem się być już w stanie podłączyć do tego Gateway’a czyli jak tutaj widzisz dodałem sobie domyślne trasy routingu, które kierują na oba routery czyli jeżeli mówimy o MT-4-BR i adresie IP, który tu do niego przypisałem to chcę wskazać dwie trasy domyślne czyli w stronę MT1-DC-DMZ i w stronę MT2-DC-DMZ na adresy z końcówką 115 i adres z końcówką 112.

Nawet jeżeli któryś z tych routerów wypadnie, będzie miał awarię to nadal będę mógł się management’owo do niego podłączyć. Domyślnie tak narazie robię żeby mieć możliwość konfigurowania przez interfejs graficzny natomiast docelowo i tak będę to zmieniał na loopbacki i dedykowaną sieć menagement’ową. Więc tak narazie zostawię. Dodałem w związku z tym to co przed chwilą widziałeś routing, domyślne trasy.

Dodałem bridge i dodałem interfejsy do tego bridge, także teraz wszystko nam powinno działać. Zobaczmy. Widzę, że tutaj MT4 i MT4 to tutaj by trzeba zmienić na MT5 i za chwilę tam poprawię jeszcze nazwę w bridge na MT5 i za chwilę się połączę do konfiguracji graficznej. Wszystko działa zgodnie z oczekiwaniem. Czyli jesteśmy teraz na Bridge jak sądzę chociaż OSPF mnie tutaj zastanawia. Tutaj jeszcze się ładuje. Czyli coś jednak nie działa. Tu widać, że to była jeszcze konfiguracja poprzedniego Mikrotika. No to teraz nie pozostaje mi nic innego jak sprawdzić dlaczego nie działa. Czyli muszę zobaczyć dlaczego się nie komunikuje.

Czyli widać, że mówi, że nie ma trasy czyli on uważa, że adres z końcówką 112 nie jest w jego sieci. No i faktycznie jak spojrzymy tutaj to adres jest przypisany z maską 32 bity i dlatego nie może się z niczym skonfigurować bo przecież powinien być w tej samej sieci. Więc jeżeli zmodyfikuje adres na maskę 24 bitową to powinniśmy mieć już możliwość komunikowania się. No i widzę, że teraz jest maska 24 bitowa to zobaczmy czy pingujemy. Teraz pingujemy. No to zobaczę czy teraz mogę się do niego podłączyć. Czyli wyjaśniłem gdzie zrobiłem błąd. Odrazu zmienię tutaj nazwę. No to tu nic więcej nie potrzebuje jeżeli chodzi o MT5-BR-DC-DMZ to co potrzebuje to zobaczyć czy mi się zestawiają sesje ODPF dla Mikrotików 1 w DC, 2 w DC, 3 i 4 i widzę, że zestawione są prawidłowo wszystkie trzy sąsiedztwa. Czyli MT1-DC-DMZ działa prawidłowo i ma zestawione wszystkie trzy sąsiedztwa.MT2-DC-DMZ – trzy sąsiedztwa State Full. Czyli prawidłowo.

Campus to jest inna historia ale możemy zobaczyć i narazie mamy zestawione tylko jednego sąsiada i to jeżeli dobrze pamiętam to jest Sile-to-Site między lokalizacją 1 i 2. No więc do tego jeszcze za chwilę wrócimy. Zobaczymy co to jest MT3 TwoWay. Odświeżmy i MT4 tu nadal jest problem ten sam, który był i na Mikrotiku 4 TwoWay. Czyli problem nie został rozwiązany.

Zobaczmy w logach. Dobra, czyli z 18 jest TwoWay. No to z tego logu, z tego komunikatu widać, że LS Ack się nie zgadza czyli prawdopodobnie jest błąd w konfiguracji pomiędzy tym routerem teraz jestem na MT4-DC a routerem o ID 14. Nie bo ten ma Full State z routera o końcówce 121. Dobra, czyli MT4 -121, MT3 – 118. No dobra to logi już mówią, że coś tutaj jest nie tak z konfiguracją. Zobaczmy jeszcze jakie mamy sąsiedztwa i które się nie zestawiają. 118 z MT4. MT4 to 121 i 118 to jest MT3-DC. Czyli między MT4-DC i MT3-DC tutaj się ta sesja nie zestawia i trzeba wrócić do konfiguracji zobaczyć co tutaj nie działa.

No dobra no i jest wszystko jasne. Jeżeli chodzi o tryb konfiguracji w przypadku tej topologii mamy tutaj 4 routery a w zasadzie 6 i w tej domenie broadcastowej mamy 4 i to jest istotne. Okazuje się, że tryb Broadcast umożliwia wyznaczenie trzech typów roli. Czyli: DR, DDR i DR other i teraz przy czterech tych routerach dwa dostawały tą samą rolę. To oznaczało, że wysyłały informację o linkach ale nie koniecznie z tego samego routera, który powinien wysyłać i w związku z tym była tutaj sprzeczność w sąsiedztwach między routerami i wynikało to z tego że zawsze dostali obaj tą samą rolę.

Ja oczekiwałem, że w tym trybie Broadcast będzie tak, że DR DDR i reszta jest other bez roli możliwości rozgłaszania informacji o LSA czyli o linkach. No tutaj przy Mikrotiku jest troszeczkę inaczej i trzeba wybrać specjalnie dedykowany tryb point to point, point to multi point broadcast czyli w domenie broadcastowej jeszcze tryb point to multi point i wtedy mamy więcej możliwości podłączenia tych naszych routerów i one mają wtedy przynajmniej w tym moim trybie point to point. Czyli one między sobą się wykrywają jako point to point i wtedy nie ma DR i DDR.

To jest plus i minus. W mojej topologii to działa bez wątpienia bo każdy z nich jest punkt w punkt wpięty w związku z tym mogą sobie wynegocjować całą topologię. Natomiast w tych trybach czy w domenach broadcastowych stosuje się DR i DDR czyli taki designated router i backup designated router po to, żeby zmniejszyć ilość informacji wysyłanych pomiędzy routerami w formie takiej właśnie broadcastowej. To jest kwestia skali i przy takiej skali małej, którą ja mam tutaj, tych sześciu routerów to oczywiście będzie działać i nie będzie żadnego problemu z dużą ilością aktualizacji czy z dużą ilością informacji LSA i jeżeli byś planował większą topologię no to trzebaby mocniej wejść w temat różnic pomiędzy tymi trybami pracy dlatego, że ewidentnie nie jest zgodny z moim oczekiwaniem w trybie Broadcast.

Wszystkie pozostałe poza DR i DDR dostawały możliwość rozgłaszania również swoich tras a nie powinno tak się dziać w trybie Broadcast. Tak czy inaczej sytuacja jest rozwiązana przynajmniej w przypadku mojego środowiska. Tutaj bym uważał jeżeli chodzi o duże środowiska, robienia ich na Mikrotiku ale to chyba też nie jest jakiś przypadek specjalnie możliwy czy popularny więc nie ma się co nim jakoś specjalnie przejmować. Mamy więc tutaj działającą sieć OSPFa na tych wszystkich sześciu routerach i możemy sobie wymieniać informacje o sieci.

Na koniec jeszcze to, co tutaj wykonam to dodam interfejsy LANowskie na MT4-DC i MT3-DC tak żebym mógł rozgłaszać też tą sieć DC dla pozostałych routerów. W tym celu stworzę Bridge. Ten bridge będzie rozgłaszał mi tutaj tą naszą sieć DC. Tutaj właśnie miałem też pytanie czy robić bridge na MT3 i 4 czy może jednak zaplanować osobne urządzenie, które będzie Bridgować te połączenia i będą mogły dopinać więcej urządzeń. I może faktycznie zrobię tak jak w DMZ DC czyli poprostu dodam tutaj do topologii jeszcze jednego Mikrotika, który będzie dla mnie poprostu Switchem i będzie realizował warstwę drugą i spinał w ramach gwiazdy tą naszą całą topologię DC czyli jak będę podłączał tutaj jakieś serwery to będę podłączał do przełącznika a nie koniecznie do routera. Tak mi się to będzie moim zdaniem lepiej skalowało.

O tu może 12 portów sobie zaplanuje i to będzie mój MT6 BR. MT6-BR-DC. No dobra dodałem domyślna trasę, adresację na Bridge. Teraz jeszcze dodam tylko adresację tu dla MT4-DC i MT3-DC. Taką samą końcówkę jak tutaj te routery mają w DMZ-DC tylko w adresacji 10.141 i interfejs eth2 i to samo na 4. Końcówka 121.

No i na koniec to co mi pozostało to dodać te interfejsy na MT3-DC i MT4-DC. Eth2 i Eth2 do OSPFa czyli stworzyć nowy template tym razem w trybie pasive czyli żeby do DC już nie rozgłaszały OSPFa te routery ale żeby tą sieć rozgłaszały owszem do pozostałych routerów. No to tworzę na MT3 i MT4 mój template. To już wykonane. Na końcu sprawdzę na Mikrotiku 1, tutaj np czy sieć DC czyli 10.140.1 jest rozgłaszana i jest widoczna na MT1-DC-DMZ. Jeżeli będzie widoczne to znaczy, że cały proces działa i rozgłaszanie wszystkich sieci funkcjonuje zgodnie z naszym założeniem. No to na 1 i zobaczmy trasy routingu. 10.141 i widać, że ta trasa jest rozgłaszana w OSPFie czyli prawidłowo nam działa nasza koncepcja rozgłaszania i wymiany informacji o sieciach.

Jak widzisz nie obyło się bez problemów ale najważniejsze to wiedzieć gdzie kłopot wystąpił i jak go rozwiązać. Jeżeli chcesz się więcej dowiedzieć na temat różnic w tych trybach pracy OSPFa to planuje nagrać taki odcinek w podkaście więc zapraszam Cię do wysłuchania podcastu, który będzie opowiadał o właśnie różnicach trybu pracy w OSPFie.

Na dzisiaj Ci dziękuję i do usłyszenia, do zobaczenia już za tydzień.


Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *