Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:53 Topologia
1:50 Konfiguracja OSPFa
3:41 Konfiguracja Fortigate
4:21 Konfiguracja Procesu OSPFa
8:07 Podsumowanie
Transkrypcja
Cześć! W dzisiejszym odcinku pokażę jak skonfigurować OSPF na urządzeniach Cisco oraz na Fortigate. Jak ze sobą taką strukturę połączyć? Po pierwsze będzie konfiguracja na dwóch routerach Cisco OSPF, a następnie będzie konfiguracja OSPF a na Fortigate, który będzie łączył dwa urządzenia Cisco ze sobą i w trzecim punkcie będzie testowanie połączenia od końca do końca. Czyli będą dwa end pointy, które będą umożliwiały przetestowanie właściwego routingu, czyli dystrybucji informacji o poszczególnych sieciach. Jeżeli wszystko właściwie zadziała, to te dwa końcowe komputery powinny ze sobą właściwie się móc skomunikować.
To zacznijmy od tego co tutaj mamy. Po lewej stronie router Cisco. Ma dwie sieci podłączone 192.168.1.0 maska 24 bity i end-point Host końcowy Windows 10 z końcówką 10. Następnie mamy sieci połączeniowe od tego routera do Fortigate 10.10.10.0, maska 24 bity. Po prawej stronie podobnie sieć połączeniowa z innym routerem Cisco w strefie Area 0 20.20.20.0 maska 24 bity. No i po prawej mamy Windows 7 i sieć 172.168.1.0 z końcówką 10. Te końcowe 2 hosty warto zapamiętać. Czyli po lewej stronie mamy sieć 192.168, po prawej stronie 172.168. Będziemy testować pomiędzy tymi dwoma hostami łączność po skonfigurowaniu OSPFa na tych trzech urządzeniach sieciowych.
No to zacznijmy od tego routera Cisco po lewej stronie. Żeby skonfigurować OSPFa to najpierw trzeba przejść do konfiguracji interfejsów, nadać adres IP na interfejsie, a następnie skonfigurować proces OSPFa i przypisać sieć jaka będzie rozgłaszana czy jaka będzie działać w tym procesie OSPF. Zgodnie z adresacją interfejsu czyli adres IP został dodany pierwszy, drugi ta sieć 192.168.1.1. To jest sieć hostowa. Czyli w tej sieci mamy tego Windowsa po lewej stronie, który był teraz proces OSPFowy.
Dodajemy sieci, które będą brały udział w zgłaszaniu OSPFa. Czyli sieć 192.168.1 to jest jedna sieć, no i druga sieć musi być ta połączeniowa. 10.10.10.0 no i przypisujemy oczywiście do danej strefy Area1 czyli konfigurację routera Cisco po lewej stronie mamy gotową. Teraz ten router, po prawej stronie, podobnie. Czyli najpierw zaczynamy od konfiguracji interfejsu adresu IP na tym interfejsie, a następnie kolejny interfejs czyli był połączeniowy. Teraz będzie konfigurowany ten interfejs związany z hostem. I ten host będzie w sieci 172.168.1.1 w sieci 1 .0 ale 24 bity więc z końcówką 1. I teraz interfejs czyli ten proces OSPF’owy. Dodanie sieci obu do OSPFa, do tego procesu, czyli 172.168.1 i 20.20.20.0.
Mamy dwa routery już skonfigurowane do naszego OSPFa, teraz został nam jeszcze FortGate. I tutaj podobnie przechodzimy najpierw do konfiguracji interfejsów. Port drugi, adres IP. Port drugi to ten po lewej stronie, czyli 10.10.10.1. Port trzeci to ten po prawej stronie, czyli 20.20.20.1. Możemy różne opcje dostępu na tym interfejsie zaznaczyć, ale to nie ma większego znaczenia w naszym ćwiczeniu teraz.
Przechodzimy do konfiguracji samego procesu OSPFa. Jakiś router ID wpisujemy. Tworzymy tą strefę Area0. Drugą strefę Area1. Tu może tylko krótkie wyjaśnienie po co w ogóle tworzy się dwie strefy. Strefy się różne tworzy tylko po to, jeżeli chcemy zmniejszyć ilość obciążenia w OSPFie dla danego routera. Tu w naszym przykładzie nie ma to żadnego większego znaczenia. To ma sens jeżeli mamy tych routerów więcej – powyżej 30 w danej strefie. Albo ta dynamika zmian jest większa, to wtedy warto tworzyć różne strefy.
Czyli mamy dwie strefy stworzone, mamy dwie sieci dodane w różnych strefach. To, że są w różnych strefach, to tylko będzie miało znaczenie takie, że inny typ komunikatu pomiędzy routerami jest wysyłany. A jeżeli to dobrze przemyślimy i zaplanujemy tego OSPFa, jeżeli mamy dużo więcej tych routerów, to możemy wtedy agregować te informacje pomiędzy strefami i wtedy mamy mniej informacji wymienianych pomiędzy torami, co więcej w danej strefie oczywiście każdy do OSPF musi mieć pełną informację o wszystkich linkach i ich stanie w danej strefie, a jeżeli mamy różne strefy to już ta informacja nie jest taka szczegółowa.
Czyli tylko ten router, który jest na granicy dwóch stref ma tą informację co się dzieje w jednej i w drugiej strefie. Natomiast te informacje w strefach zewnętrznych są tylko aktualizowane przez te brzegowe routery i wszystkie w danej strefie dostają tylko update czy ta sieć jest dostępna czy nie jest dostępna i przez które połączenia. Dodajemy interfejsy do danych stref. Czyli mamy tutaj który interfejs w tej strefie? Czy mamy tutaj jeszcze jakieś dodatkowe opcje?
Passive to znaczy, że my rozgłaszamy daną sieć do sąsiadów, ale że w tej danej konkretnej sieci, która będzie włączona jako passive nie będziemy rozgłaszać OSPFa. To się głównie stosuje w miejscach gdzie mamy hosty podłączone, czyli tak jak tam na początku było pokazane. Po lewej, po prawej stronie mamy Windowsy. To dla tych sieci można by zastosować na routerach tych które podłączają tych użytkowników. Tam można by i nawet należałoby zastosować tryb passive.
Tutaj na tym środkowym na Fortigate nie ma takiej potrzeby. Oczywiście warto dodatkowo jeżeli chodzi o dobre praktyki ustawić hasło na OSPFie tak żeby nam nie mógł się ktokolwiek podłączyć do tej naszej struktury. Mamy dwóch sąsiadów na Fortigate skonfigurowanych, mamy dwa routery skonfigurowane w dwóch strefach. Teraz będziemy testować Windows 10 po lewej stronie będzie próbował pingować tego Windowsa 7 po prawej stronie, czyli teraz Windows 10 i patrzymy adres 172.168.1.10. Najpierw zobaczmy jaki mamy adres IP na tym hoście. Dobrze i pingujemy 172.168.1.10. Ruch przechodzi. No i możemy spróbować podobny zabieg po prawej stronie jest Windowsa 7.
Będziemy pingować adres 192.168.1.10. Oczywiście, jak się można spodziewać, chociaż to nie jest pewne, ale można się spodziewać, że jeżeli chodzi przynajmniej o routing, to posiadając odpowiednie już tutaj wpisy jak działa z jednej strony to z drugiej strony też zapewne będzie działał. No i zgodnie z oczekiwaniem widać, że ping przechodzi od prawej do lewej strony. Jedyna opcja jest taka, żeby nie przechodziło symetrycznie to, że mamy po prostu jakąś politykę na Firewallu, który jest pomiędzy, która jakoś przepuszcza jeden kierunek, a drugiego kierunku już niekoniecznie. Tylko wtedy w zasadzie mogłoby się odróżnić ten nasz odbiór czy te nasze testy.
Na dzisiaj to tyle. Jeżeli masz jakieś pytania co do tej tematyki albo innego tematu innego odcinka to też pisz śmiało w komentarzu. I widzimy się w kolejnym odcinku.