23T11 OSFP Multi Area w 10 min. [konfiguracja Mikrotik]

OSPF Area Border Router

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:40 Zasada Działania

1:58 BGP

2:42 Topologia

5:48 Konfiguracja

8:42 Test

9:40 Podsumowanie

Transkrypcja

Cześć. Dzisiaj pokażę jak łatwo skonfigurować dwustrefowy OSPF. Najpierw może kiedy się stosuje taką koncepcję. Przede wszystkim w momencie 
kiedy masz dużo routerów. Czyli jeżeli Twoja liczba routerów OSPF’a w danej strefie przekracza 30 lub 50 wtedy ma sens rozważanie większej ilości stref OSPF. Po co się stosuje takie strefy? Po to, żeby zmniejszyć ilość komunikacji wymienianych pomiędzy poszczególnymi routerami.

Jeżeli chodzi o zasadę działania to OSPF w jednej strefie zakłada, że wszystkie routery mają informacje pełną o całej sieci w danej strefie. Czyli wiedzą o wszystkich połączeniach o wszystkich routerach, o wszystkich sieciach i te informacje są potrzebne tego, żeby każdy router zbudował sobie informacje o danym środowisku więc jeżeli masz taką sytuację, że masz słabe urządzenie czyli małą moc obliczeniową  danego routera, tych routerów masz dużo to wtedy jest warto rozważać wielostrefowy koncept OSPF’a. To jest mniej popularna dzisiaj taka sytuacja dlatego, że większość dzisiaj nowoczesnych routerów ma dość spore możliwości obliczeniowe. Ma też całkiem sporo pamięci.

W związku z tym nie jest to dzisiaj problematyczne tak jak to było jeszcze z 20 lat temu i funkcjonalnie też jak popatrzysz na to jakie wtedy jak te routery były dostępne nawet niezbyt kosztowne, jakie mają możliwości, co mogą obsługiwać to mogą faktycznie bardzo dużo te informacje pomieścić i obliczyć. W związku z tym w praktyce jeżeli masz typową sieć firmową to nie ma najczęściej problemu, żeby wszystko umieścić w jednej strefie OSPF. Natomiast jeżeli już masz jakąś taką sytuację a’la operator nawet mały operator no to już tutaj można się zastanowić.

Jeżeli chcesz się posługiwać OSPF-em bo tutaj też oczywiście do rozważenia jest alternatywa dla operatorów w postaci BGP. To jest trochę inny temat, 
inne środowisko, inne wyzwania. W takim środowisku typowym firmowym jedna strefa powinna wystarczyć ale jeżeli chciałbyś zobaczyć jak się konfiguruje dwie strefy to dzisiaj ten odcinek będzie właśnie o tym. Nie jest to skomplikowane z punktu widzenia konfiguracji. Jeżeli chodzi o zrozumienie koncepcji to być może trzeba trochę więcej tutaj doczytać ale jeżeli chodzi o konfigurację to jest bardzo prosta czynność, wystarczy przypisać odpowiednie sieci do odpowiednich stref i to jest w zasadzie tyle. Cała reszta dzieje się automatycznie.

To zacznijmy od tego co tutaj mamy, mamy dwie strefy Area0, Area1. Będziemy łączyć dzisiaj routery, które są w jednej i drugiej strefie. Celem jest połączenie po IP urządzeń końcowych czyli VPC 10 w strefie Area0 VPC 10 w strefie Area1. Czyli żeby te dwa w VPC mogły się ze sobą skomunikować. Czyli żeby można było zapigować lub RDP’a zestawić, żeby ruch przechodził. Będziemy konfigurować trzy routery. Czyli na początku router pierwszy, który będzie z jednej strony w sieci połączeniowej 5.5.5.0 maską 30 a z drugiej strony w strefie klienckiej w sieci 172.168.1.0 z maską 24 bity.

Podobnie po drugiej stronie w strefie AREA1 zielonej mamy adresację połączeniową 10.10.10.0 z maską 30 i mamy sieć kliencką 192.168.1.0. Będziemy po kolei te litery od lewej do prawej konfigurować. Celem stosowania w ogóle całego konceptu multiarea OSPF jest skalowanie sieci routingowej. Przyjmuje się, że w jednej strefie prawidłowo może działać – chociaż to jest zawsze zależne od mocy obliczeniowej danego routera – ale, że może działać 30 do 50 urządzeń na routerze OSPF w jednej strefie. Więc stosowanie wielu stref służy do skalowania.

Mamy tutaj dwa przykłady strefa AREA1 i AREA0. Natomiast dobrą praktyką jest stosowanie strefy AREA1 AREA0 jako backbonu do której łączymy poszczególne strefy. Czyli tutaj moglibyśmy nazwać tą strefie na przykład 10 i tą strefę możemy łączyć z AREA0 i AREA10 i wtedy mam połączenie przez tak zwany backbone i to całe rozwiązanie lepiej się skaluje. Dzisiaj robimy przykład prostszy, żeby pokazać jak możesz to wykonać w dużo prostszym środowisku. Ale w dużo prostszym środowisku pamiętaj, że nie musisz tego robić, jeżeli nie chcesz. Dobrą praktyką jest natomiast, żeby od razu nazywać jeżeli jedną strefę tworzysz – żeby od razu ją nazywać jakimś identyfikatorem, innym niż zero. Na przykład 1,100 i tak dalej. Jeżeli chodzi o identyfikator one się też przyjmują.

Mają dwie rzeczy: nazwę i identyfikator. Czyli identyfikatorem jest najczęściej adres IP w IPv4. Czyli 0 to będzie zerowy AREA1, czyli 0 to będzie AREA0 a kolejne poszczególne numerki z końca czy w środku  mogą być identyfikowane innych stref. W praktyce nie więcej niż kilka stref się stosuje w dużych sieciach. W sieciach typowo korporacyjnych nawet nie trzeba tworzyć strefy multi OSPF.

No dobra to teraz przejdźmy, będziemy to konfigurować. Zacznijmy od routera pierwszego, potem router drugi i router trzeci. Router pierwszy: konfigurujemy najpierw adresację na tym routerze czyli interfejsy, IP
dla interfejsów. Na routerze tym całkiem z lewej strony – interfejs router ether2, sieć połączeniowa 5.5.5.1. Kolejny interfejs to jest sieć kliencka 172.168.1.1, z maską 24 bity, interfejs ether1. Mamy dwie sieci
skonfigurowane na pierwszym routerze.

Teraz jeszcze potrzebujemy skonfigurować sobie obszary. Domyślnie mamy jeden obszar backbone ID 0.0.0.0. Zmienimy to na nazwę AREA0 ale może to być dowolna nazwa. Nazwa nie ma znaczenia, identyfikator musi być powtarzalny. Czyli identyfikator na każdym routerze z danej strefy musi być dokładnie taki sam. Nazwa jest tylko lokalna. To dodajemy dwie sieci które
mamy dla tego routera. Automatycznie router sobie powiąże interfejsy, które są powiązane z tymi sieciami bo wie które interfejsy do jakiej sieci przynależą. A tu przypisujemy do której strefy będziemy daną sieć przepisywać.

Teraz będziemy router drugi konfigurować. Drugi czyli ten, który łączy strefy
pomiędzy 0 a 1. Czyli z jednej strony będzie miał połączeniową sieć 5.5.5.2 a drugi adres na tym routerze to będzie sieć połączeniowa dla strefy AREA1. I to jest adresacja 10.10.10.1. Widać po masce 30 bitowej, że to jest sieć połączeniowa. Czyli mamy dwie połączeniowe sieci. Następnie podobnie
jak poprzednio tworzymy strefę. To jest router, który łączy dwie te strefy. Więc dwie strefy będziemy łączyć AREA1 czas zdefiniować i AREA0. Mamy dwie strefy i teraz jeszcze tylko przypisanie poszczególnych sieci do poszczególnych stref i będziemy mieli konfigurację na tym routerze
łączącym obie strefy zakończone. Czyli sieć 5.5.5.0 strefa 0 i sieć 10.10.10.0 to jest strefa 1.

No i na końcu router trzeci i tu adresację będziemy mieli z jednej strony połączeniową 10.10.10 i z drugiej strony adresację kliencką. Tu z końcówką 2 na routerze trzecim interfejs eth ether3 i sieć kliencka 192.168.1.1, maska 24 bity, interfejs ether1. No i jeszcze przypisanie do poszczególnych
stref. Tutaj jedną strefę tylko stworzymy AREA1, identyfikator jest istotny. Musi się zgadzać i tylko do tej strefy będziemy przypisywać sieć. Strefa AREA backbone, to domyślna będzie nieużywana, nie będzie przypisana do niczego.

No i przyszedł teraz moment na test czy możemy połączyć oba te komputery. Czyli jeden jest z końcówką 10 w sieci 172.168.1 i drugi jest z sieci 192.168.1 też z końcówką. Widzimy, że ping przechodzi. Spróbujmy teraz wykonać połączenie pulpitu zdalnego. No i widać, że pulpit zdalny się ładuje. Sprawdźmy jeszcze z command line czy ping przechodzi w drugą stronę. No ale jak jedną przechodzi to i w drugą stronę również przechodzić. Jedyną możliwością, że ten ping nie przechodzi byłoby asymetryczne reguły, które gdzieś blokują jakieś ACL’ki.

Jeżeli chodzi o routing, to o ile działa w jedną stronę przesłanie pakietów, to w drugą stronę też te przesłanie musi działać bo jak wiadomo routing nie jest to nowy, w związku z tym działa tak samo dla obu kierunków.

Na dzisiaj to tyle. Dziękuję Ci za uwagę, jeżeli masz jakieś pytania co do tego to oczywiście pisz w komentarzu i widzimy się już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.