Testy kompatibility BGP a OSPF mezi Cisco a Mikrotik

Podobné dokumenty
Route reflektory protokolu BGP

Podmíněná propagace cest do protokolu BGP

Typická využití atributu Community protokolu BGP - modelové situace

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Počítačové sítě IP směrování (routing)

BGP dampening. Pavel Juška, Lukáš Kořistka

Europen: IP anycast služba

32-bitová čísla Autonomních Systémů v protokolu BGP

Nepřímé do jiných sítí (podle IP adresy sítě přes router - určitou gateway ) Default gateway (společná výchozí brána do všech dostupných sítí)

Počítačové sítě IP routing

Projekt VRF LITE. Jiří Otisk, Filip Frank

Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

BIRD Internet Routing Daemon

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Směrované a přepínané sítě Border Gateway Protocol (BGP)

BGP unequal-cost load balancing s použitím předávání kapacit linek v atributu Community

32-bitová čísla Autonomních Systémů v protokolu BGP

Nové LSA v topologické databází OSPFv3

Nezávislé unicast a multicast topologie s využitím MBGP

3 Prefix suppression v OSPFv3... 7

Počítačové sítě II. 13. Směrování Miroslav Spousta,

5. Směrování v počítačových sítích a směrovací protokoly

Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Počítačové sítě II. 13. Směrování. Miroslav Spousta, 2004

Projekt k předmětu Směrované a přepínané sítě. Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí

Možnosti vylaďování subsecond konvergence EIGRP

Počítačové sítě Směrovací protokol OSPF. Jak se směruje v globálním Internetu. Leoš Boháč Jan Kubr

Směrování a směrovací protokoly

Představa propojení sítí

Semestrální projekt do předmětu SPS

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Směrovací protokoly, propojování sítí

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Směrované a přepínané sítě

MASARYKOVA UNIVERZITA

Petr Grygárek, FEI VŠB-TU Ostrava, Směrované a přepínané sítě,

Multicast Source Discovery Protocol (MSDP)

OSPF. Směrování a OSPF. Historie OSPF. Základní vlastnosti OSPF. OSPF základní nastavení. Činnost OSPF

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

VLSM Statické směrování

Základy IOS, Přepínače: Spanning Tree

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

Budování sítě v datových centrech

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IPv6 VPN přes IPv4 MPLS páteř

Internet se skládá ze o Segmentů, kde jsou uzly propojeny např. pomocí Ethernetu, Wi-Fi, atd. a tvoří autonomní oblasti 10.1.x.x x.x Atd.

X36PKO Úvod Protokolová rodina TCP/IP

EIGRP funkce Stub. Jiří Boštík (BOS031)

HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU

Rodina protokolů TCP/IP. Rodina protokolů TCP/IP. verze 3. Téma 6: Směrování v IP sítích. Jiří Peterka

MPLS a VPN. Petr Grygárek, RCNA FEI VŠB-TU Ostrava, 2004

Použití Virtual NAT interfaces na Cisco IOS

VŠB Technická univerzita Ostrava Fakulta elektroniky a informatiky. Semestrální práce. BGP Routing Registry - principy a využití Zdeněk Nábělek

Route Refresh a Outbound Route Filtering

OSPF - dynamické routování

MPLS na platformě Mikrotik

Programování síťové služby Sniffer OSPFv2 a OSPFv3

OSPF multi-area adjacency

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Analýza principů IGP a EGP routovacích protokolů Tomáš Kmoníček

VLSM Statické směrování

Konfigurace sítě s WLAN controllerem

Směrovací protokoly. Veronika Štorková, CCIE R&S #23705 Systems Engineer, Cisco RCNA_Plzeň_RoutingProtokoly

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Vnější směrovací protokoly

Semestrální projekt do SPS Protokol RSVP na Cisco routerech

OSPFv3 popis principů funkce, praktické ověření a sledování provozu, se zaměřením na interpretaci smyslu nových typů LSA

Projekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

SEMESTRÁLNÍ PROJEKT Směrové přepínané sítě

AS a BGP. V.Čížek MFF UK

Internetworking security

Směrovací protokol Mesh (802.11s) na platformě Mikrotik

MPLS Penultimate Hop Popping

Rodina protokolů TCP/IP, verze 2.3. Část 6: IP směrování

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Průzkum možností generátoru a vyhodnocovače provozu v Cisci IOS Pagent Image. Vladimír Jarotek, Filip Břuska

Klientské Mikrotiky - Instalační checklist

Počítačové sítě 1 Přednáška č.8 Problematika směrování

MPLS MPLS. Label. Switching) Michal Petřík -

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Technologie počítačových sítí 7. přednáška

Směrování- OSPF. Směrování podle stavu linek (LSA) Spolehlivé záplavové doručování

Klientské Mikrotiky - Instalační checklist

směrovací algoritmy a protokoly

Podsíťování. Počítačové sítě. 7. cvičení

L2 multicast v doméně s přepínači CISCO

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Směrovací démon BIRD. CZ.NIC z. s. p. o. Ondřej Filip / IT10

L2 multicast v doméně s přepínači CISCO

Josef J. Horálek, Soňa Neradová IPS1 - Přednáška č.8

VŠB Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Katedra telekomunikační techniky

MPLS ve VRF. Bc. Pavel Pustowka PUS0017, Bc. Radim Holek HOL0123

VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS

Šifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

Transkript:

Testy kompatibility BGP a OSPF mezi Cisco a Mikrotik Marcel Staniek Abstrakt: Tento semestrální projekt se zabývá interoperabilitou směrovacích protokolů OSPF a BGP mezi směrovači společností Cisco a Mikrotik. V části věnované protokolu OSPF je popsán postup při vytváření oblastí, virtuální linky mezi oblastmi, propagování výchozí brány a autentizace směrovací informace. Část věnovaná protokolu BGP se pak zabývá konfiguraci atributů multi exit discriminator, local preference, filtrováním vybraných směrovacích informací a autentizací směrovací informace. Klíčová slova: Cisco, Mikrotik, OSPF, BGP, kompatibilita 1 Úvod...2 1.1 Teoretický úvod k protokolům OSPF a BGP...2 2 Ověření kompatibility protokolu OSPF...3 2.1 Konfigurace směrovačů Cisco...3 2.2 Konfigurace směrovačů Mikrotik...4 2.3 Ověření kompatibility...5 3 Ověření kompatibility protokolu BGP...5 3.1 Konfigurace směrovačů Cisco...6 3.2 Konfigurace směrovače Mikrotik...7 3.3 Ověření kompatibility...7 4 Závěr...9 5 Literatura...9 6 Přílohy...10 6.1 Použité konfigurace...10 květen 2008 1/12

1 Úvod Cílem toho semestrálního projektu je ověřit interoperabilitu směrovacích protokolů OSPF a BGP mezi směrovači výrobců Cisco a Mikrotik. V části věnované protokolu OSPF je popsán postup pro vytváření oblastí, virtuální linky mezi oblastmi, propagování výchozí brány a autentizace směrovací informace. Část věnovaná protokolu BGP se pak zabývá konfiguraci atributů multi exit discriminator, local preference, filtrováním vybraných směrovacích informací a autentizaci směrovací informace. Praktická část projektu byla odzkoušena na tomto hardwaru: 2x Cisco 2801 IOS 12.4; 1x Cisco 1851 IOS 12.2; 2x Mikrotik RouterBoard 133C RouterOS 3.6. 1.1 Teoretický úvod k protokolům OSPF a BGP Open Shortest Path First (OSPF) je směrovací protokol patřící do skupiny Interior Gateway routing (IGP) protokolů, jeho použití je tudíž výlučně uvnitř autonomního systému (AS). V současnosti se nejčastěji setkáme s druhou verzí tohoto protokolu z roku 1998, která byla standardizována v RFC 2328. Protokol OSPF patří do skupiny směrovacích protokolů stavů linek (link-state). K výpočtu nejkratších cest využívají směrovače pracující s tímto protokolem Dijkstrův algoritmus, někdy také označovaný jako Shortest Path First (SPF) algoritmus. Pomocí SPF algoritmu si každý směrovač vytváří SPF strom nejkratších cest, pomocí kterého je pak naplňována směrovací tabulka. K výpočtu SPF stromu využívá Dijkstrův algoritmus databázi označovanou jako Link-State DataBase (LSDB). Tato databáze je postupně naplňována, pomocí paketů označovaných jako Link-State Update (LSU). Uvnitř těchto LSU je pak přenášen jeden nebo více Link-State Advertisement (LSA), které obsahují informace o cenách linek, OSPF sousedech apod. Pokud směrovač příjme LSA, okamžitě posílá tuto informaci i dalším OSPF sousedům, čímž je dosaženo rychlé konvergence směrovacích tabulek. Sítě využívající protokolu OSPF jsou dobře škálovatelné díky tomu, že celou síť lze rozdělit do tzv. oblastí. Tyto oblasti jsou označovány buď jako běžné číslo, např. area 51, nebo ve formátu IP adresy, např. area 0.0.0.51. Pokud je síť rozdělena na oblasti, LSU pak nejsou šířeny ke všem směrovačům v síti ale pouze k těm, které patří do stejné oblasti. Není tak nutné, aby při každé změně v síti docházelo k přepočítávání Dijkstrova algoritmu na všech směrovačích. Díky této vlastnosti protokolu OSPF je pak možné použít levnější směrovače, které by jinak měly problémy s velkými LSDB. Při vytváření OSPF oblastí je pak třeba počítat s tím, že je nutné zvolit jednu oblast jako páteřní, často označovanou jako area 0. K této páteřní oblasti jsou pak připojeny ostatní oblasti skrze Area Border Router (ABR), který má tolik LSDB, kolik oblastí propojuje. Pokud některá z oblastí nemůže být připojena přímo k páteřní oblasti je potřeba vytvořit tzv. virtual-link skrze některou z nepáteřních oblastí. Podrobnější informace o protokolu OSPF ze nalézt například v [1]. Na rozdíl od protokolu OSPF je protokol Border Gateway Protocol (BGP) zástupcem skupiny Exterior Gateway Protocol (EGP). V současnosti je BGP jediným používaným směrovacím protokolem mezi autonomními systémy a jedná se tudíž o jeden z nejdůležitějších protokolů Internetu, pomocí kterého si jednotliví Internet Service Providers (ISP) vyměňují směrovací informace o svých sítích. BGP oproti ostatním směrovacím protokolům nevyužívá metriku ale jeho proces rozhodování o směrování je závislý na vektoru cest skrze autonomní systémy (tzv. AS path) a na síťové politice definované jednotlivými ISP pomocí tzv. atributů. Současná čtvrtá verze protokolu BGP byla standardizována roku 2006 v RFC 4271. Mezi dvěma směrovači využívající protokol BGP se navazují sousedské vazby pomocí protokolu TCP. Tyto sousedské vazby se ovšem nenavazují automaticky tak jak je tomu u směrovacích protokolů ze skupiny IGP ale je nutné, aby je ručně nakonfiguroval síťový administrátor. Protože v jednom autonomním systému může být více hraničních směrovačů využívajících protokolu BGP pro spojení s různými AS, je nutné aby i mezi směrovači ve stejném AS byly navazovány sousedské vazby. V takovém případě mluvíme o interním BGP (IBGP), zatímco v případě kdy jsou sousedské vztahy navazovány mezi směrovači z různých AS, mluvíme o externím BGP (EBGP). U IBGP není nutné aby směrovače byly přímými sousedy ale jejich vazba může být pouze logická. V této semestrální práci se zaměřím pouze na dva BGP atributy. První z nich bude atribut Multi-Exit Discriminator (MED), který bývá někdy označován jako metrika (nemá nic společného s metrikou známou z květen 2008 2/12

IGP). Pomocí tohoto atributu může být externímu AS navrhována preferovaná cesta do AS, který MED propaguje. Cesta s nižší hodnotou MED je vybrána jako preferovaná. V některých případech však cesta s nižším MED nemusí být externím AS vybrána, protože tento AS může využívat i jiné BGP atributy k výběru cesty s vyšší prioritou při porovnávání cest do AS (např. weight). Dalším odzkoušeným BGP atributem v této semestrální práci bude local preference, ten oproti MED je přenášen pouze uvnitř AS pomocí IBGP. Pokud existuje několik výstupních bodů z AS, je možné využít atribut local preference k vybrání příslušného výstupního bodu pro určitou cestu. Výstupní bod s vyšší hodnotou local preference bude vybrán jako brána do sousedního AS. Detailnější popis BGP atributů, včetně postupu porovnávání jednotlivých atributů při výběru cesty, lze nalézt například v [2]. 2 Ověření kompatibility protokolu OSPF Na obrázku 1 je zobrazena topologie sítě, kterou jsem si vybral pro ověření kompatibility protokolu OSPF. Topologie byla zvolena tak, aby ji bylo možné dále použít jako jeden z autonomních systémů při ověřování protokolu BGP. Pro tuto síť jsem si zvolil adresní prostor 10.10.0.0/16, který jsem dále pomocí VLSM rozdělil na menší podsítě. Dále jsem jednotlivé rozhraní na směrovačích přiřadil do OSPF oblastí, tak aby bylo možné vyzkoušet tzv. virtuální linku. Pro autentizaci směrovací informace obě platformy podporují jak plain-text tak i hashovací algoritmus MD5. Pro ověření jsem si vybral autentizaci s MD5, protože je mnohem bezpečnější než plain-text. Obrázek 1: Topologie sítě pro ověření protokolu OSPF V následujících dvou podkapitolách jsou uvedeny zkrácené konfigurace použité pro nastavení OSPF na obou platformách. Kompletní konfigurace na všech prvcích jsou pak z důvodu přehlednosti přesunuty do příloh. 2.1 Konfigurace směrovačů Cisco Detailní popis všech konfiguračních příkazů pro směrovací protokol OSPF na směrovačích Cisco lze nálézt například v [3]. Spuštění procesu OSPF, přidání požadovaných sítí k propagaci a nastavení autentizace na směrovači RO: router ospf 1 network 10.10.2.0 0.0.0.255 area 0 network 10.10.0.0 0.0.0.3 area 0 květen 2008 3/12

area 0 authentication message-digest Poté je nutné přiřadit každému rozhraní, na kterém chceme používat autentizaci směrovací informace, zvolené heslo: int fa 0/1 ip ospf message-digest-key 1 md5 Heslo Konfigurace na směrovači RN: router ospf 1 network 10.10.0.4 0.0.0.3 area 1 network 10.10.1.0 0.0.0.127 area 1 network 10.10.0.8 0.0.0.3 area 1 area 1 authentication message-digest Přidání hesla pro autentizaci na příslušná rozhraní: int fa 0 ip ospf message-digest-key 1 md5 Heslo int fa 1 ip ospf message-digest-key 1 md5 Heslo Pro úplnost ještě doplním, že pro simulaci sítí 10.10.2.0/24 a 10.10.1.0/25 jsem využil virtuální rozhraní loopback. Pokud chceme, aby se tyto sítě správně propagovaly do OSPF je třeba použít příkaz ip ospf network point-to-point v konfiguračním režimu loopback rozhraní, viz kapitola 6. V opačném případě by se sítě propagovaly s prefixem /32. 2.2 Konfigurace směrovačů Mikrotik Detailní popis všech konfiguračních příkazů pro směrovací protokol OSPF na směrovačích Mikrotik lze nalézt například v [4]. Protože směrovač označený jako μtik1 bude do OSPF propagovat výchozí cestu, je potřeba nejdříve tuto cestu vytvořit a poté ji do OSPF procesu přiřadit: /ip route add gateway=10.0.0.5 /routing ospf set distribute-default=if-installed-as-type-2 router-id=10.10.0.5 Poté je již možné přistoupit k vytvoření oblasti 1 (oblast 0 je již implicitně vytvořena jako backbone) a přidání sítí do OSPF procesu: /routing ospf area add area-id=0.0.0.1 name=area_1 /routing ospf network add network=10.10.0.4/30 area=area_1 /routing ospf network add network=10.10.0.0/30 area=backbone Nyní již zbývá pouze přidání autentizace a virtuální linky: /routing ospf area set area_1 authentication=md5 /routing ospf area set backbone authentication=md5 /routing ospf interface add interface=ether1 authentication=md5 authentication-key=heslo /routing ospf virtual-link add neighbor-id=10.10.1.128 transit-area=area_1 authentication=md5 authentication-key=heslo Konfigurace na μtik2: květen 2008 4/12

/routing ospf set router-id=10.10.1.128 /routing ospf area add area-id=0.0.0.1 name=area_1 /routing ospf area add area-id=0.0.0.2 name=area_2 /routing ospf network add area=area_1 network=10.10.0.8/30 /routing ospf network add area=area_2 network=10.10.1.128/25 /routing ospf area set area_1 authentication=md5 /routing ospf area set area_2 authentication=md5 /routing ospf interface add interface=ether1 authentication=md5 authentication-key=heslo /routing ospf virtual-link add neighbor-id=10.10.0.5 transit-area=area_1 authentication=md5 authentication-key=heslo 2.3 Ověření kompatibility Pro ověření správné funkce jsem si vybral směrovač RO, na kterém jsem si zobrazil všechny naučené cesty z protokolu OPSF: RO#sh ip route ospf 10.0.0.0/8 is variably subnetted, 8 subnets, 4 masks O IA 10.10.1.0/25 [110/21] via 10.10.0.2, 00:07:26, FastEthernet0/1 O IA 10.10.0.4/30 [110/20] via 10.10.0.2, 00:07:26, FastEthernet0/1 O IA 10.10.0.8/30 [110/30] via 10.10.0.2, 00:07:26, FastEthernet0/1 O IA 10.10.1.128/25 [110/40] via 10.10.0.2, 00:07:26, FastEthernet0/1 O*E2 0.0.0.0/0 [110/1] via 10.10.0.2, 00:07:26, FastEthernet0/1 Ze směrovací tabulky jde vidět že směrovač RO se správně naučil cesty do všech sítí připojených k ostatním směrovačům a to včetně sítě 10.10.1.128/25 z oblasti 2, která byla připojena pomocí tzv. virtuální linky. V posledním řádku směrovací tabulky je uvedena výchozí cesta, kterou se RO naučil od směrovače μtik1. Z této tabulky jde tedy vidět že všechny směrovače spolu navázaly sousedské vztahy a došlo k výměně všech potřebných směrovacích informací. 3 Ověření kompatibility protokolu BGP Na obrázku 2 je zobrazena topologie sítě, kterou jsem si vybral pro ověření kompatibility protokolu BGP. AS100 vychází z předchozí kapitoly, s tím rozdílem že oba hraniční směrovače autonomního systému (μtik1 a RO) budou sloužit k propagování sítí z AS100 do AS200, pomocí externího BGP. Oba hraniční směrovače budou blokovat propagování sítí s prefixem /30. Díky atributu local preference budou oba směrovače dosahovat cílů v AS200 pouze pomocí horní linky 10.0.0.4/30. Díky atributu MED pak bude směrovač RL dosahovat cílu v síti 10.10.2.0/24 pomocí spodní linky 10.0.0.0/30, zatímco cílů v supernetu 10.10.1.0/24 pomocí linky 10.0.0.4/30. Obrázek 2: Topologie sítě pro ověření protokolu BGP květen 2008 5/12

3.1 Konfigurace směrovačů Cisco Detailní popis všech konfiguračních příkazů pro směrovací protokol BGP na směrovačích Cisco lze nalézt například v [5]. Nejdříve na směrovači RO spustíme BGP proces, přiřadíme jednotlivé sousedy a redistribuujeme všechny naučené cesty z protokolu OSPF do BGP: router bgp 100 neighbor 10.0.0.1 remote-as 200 neighbor 10.10.0.2 remote-as 100 redistribute ospf 1 Protože směrovač RO bere síť 10.10.2.0/24 jako přímo připojenou a ne jako síť naučenou z protokolu OSPF, je třeba ji přidat ručně : network 10.10.2.0 mask 255.255.255.0 Nyní již můžeme přistoupit k filtrování směrovacích informací. Pomocí prefix-listu budeme upravovat výstupní informace tak aby byly propagovány pouze sítě s prefixem v rozmezí 8 až 29 bitů a pomocí routemap budeme manipulovat v BGP atributy: neighbor 10.0.0.1 prefix-list reject_/30 out neighbor 10.0.0.1 route-map set_med out neighbor 10.0.0.1 route-map set_local-pref in Protože směrovač RO uvádí ve směrovacích informacích vysílaných do IGBP jako další skok IP adresu 10.0.0.1, ke které ostatní směrovače cestu neznají, je nutné aby RO do IBGP propagoval jako další skok svou IP adresu: neighbor 10.10.0.2 next-hop-self Nakonec ještě přidáme jednotlivým sousedům heslo pro autentizaci: neighbor 10.0.0.1 password Heslo neighbor 10.10.0.2 password Heslo Nyní již v konfiguračním režimu můžeme nastavit rozsah sítí, které chceme propagovat do EBGP: ip prefix-list reject_/30 seq 10 permit 0.0.0.0/0 ge 8 le 29 Posledním krokem bude definování route-map a access-listů, které budou sloužit route-mapám k prohledávání směrovacích informací a v případě že do access-listu některá cesta zapadne dojde k nastavení příslušného BGP atributu: route-map set_local-pref permit 10 match ip address 1 set local-preference 50 route-map set_local-pref permit 20 set local-preference 100 route-map set_med permit 10 match ip address 2 set metric 5 route-map set_med permit 20 set metric 130 květen 2008 6/12

access-list 1 permit 10.20.0.0 0.0.255.255 access-list 2 permit 10.10.2.0 0.0.0.255 Na směrovači RL je konfigurace podstatně jednodušší: router bgp 200 neighbor 10.0.0.6 remote-as 100 neighbor 10.0.0.2 remote-as 100 neighbor 10.0.0.6 password Heslo neighbor 10.0.0.2 password Heslo network 10.20.0.0 mask 255.255.0.0 3.2 Konfigurace směrovače Mikrotik Detailní popis všech konfiguračních příkazů pro směrovací protokol BGP na směrovačích Mikrotik lze nalézt například v [6]. Popis filtrování směrovacích informací je pak popsán v [7]. Při konfiguraci protokolu BGP na směrovači μtik1 nejdříve nastavíme číslo AS, router ID a redistribuci všech naučených cest z protokolu OSPF do BGP: /routing bgp instance set default as=100 router-id=10.10.0.5 redistribute-ospf=yes Poté již můžeme přidávat jednotlivé sousedy a přiřazovat k nim hesla pro autentizaci a vstupní/výstupní filtry pro nastavování BGP atributů: /routing bgp peer add remote-address=10.0.0.5 remote-as=200 instance=default addressfamilies=ip in-filter=set-local-pref out-filter=set-med-and-reject-/30 tcp-md5-key=heslo /routing bgp peer add remote-address=10.10.0.1 remote-as=100 instance=default addressfamilies=ip nexthop-choice=force-self tcp-md5-key=heslo /routing bgp network add instance=default network=10.10.0.4/30 Pro správnou funkci směrování je ještě nutné definovat směrovací filtry, ve kterých můžeme manipulovat s příchozími, resp. odchozími směrovacími informacemi a měnit tak atributy protokolu BGP. V našem případě konfigurace na μtik1 vypadá následovně: /routing filter add chain=set-local-pref prefix=10.20.0.0/16 set-bgp-local-pref=200 action=accept /routing filter add chain=set-local-pref prefix=10.20.0.0/16 invert-match=yes set-bgp-localpref=100 action=accept /routing filter add chain=set-med-and-reject-/30 prefix=10.10.0.0/16 prefix-length=30-32 action=reject /routing filter add chain=set-med-and-reject-/30 prefix=10.10.1.0/24 prefix-length=24-29 set-bgp med=5 action=accept /routing filter add chain=set-med-and-reject-/30 prefix=10.10.1.0/24 prefix-length=24-29 invertmatch=yes set-bgp-med=130 action=accept 3.3 Ověření kompatibility Pro ověření funkčnosti atributu MED můžeme použít směrovač RL a nechat si zobrazit všechny cesty které, se od svých sousedů naučil, včetně hodnoty MED (Metric) pro tyto cesty: květen 2008 7/12

RL#sh ip bgp BGP table version is 24, local router ID is 10.20.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP,? - incomplete Network Next hop Metric LocPrf Weight Path *> 10.10.1.0/25 10.0.0.6 5 0 100 i * 10.0.0.2 130 0 100? *> 10.10.1.128/25 10.0.0.6 5 0 100 i * 10.0.0.2 130 0 100? * 10.10.2.0/24 10.0.0.6 130 0 100 i *> 10.0.0.2 5 0 100 i *> 10.20.0.0/16 0.0.0.0 0 32768 i Z výstupu jde vidět, že hodnoty MED byly pomocí EBGP vyměněny správně což nám také může potvrdit směrovací tabulka na směrovači RL: RL#sh ip route bgp 10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks B 10.10.1.0/25 [20/5] via 10.0.0.6, 00:16:35 B 10.10.2.0/24 [20/5] via 10.0.0.2, 00:36:19 B 10.10.1.128/25 [20/5] via 10.0.0.6, 00:16:23 Z této tabulky jde vidět, že z AS 200 se bude provoz do sítě 10.10.2.0/24 směrovat na spodní linku, kdežto provoz do sítí 10.10.1.0/25 a 10.10.1.128/25 se bude směrovat na horní linku. K ověření toho zda došlo k výměně atributu local preference můžeme využít například směrovač RO: RO#sh ip bgp BGP table version is 43, local router ID is 10.10.2.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.10.0.0/30 0.0.0.0 0 32768? *> 10.10.0.4/30 10.10.0.2 20 32768? * i 10.10.0.2 100 0 i *> 10.10.0.8/30 10.10.0.2 30 32768? * i 10.10.0.2 100 0 i *> 10.10.1.0/25 10.10.0.2 21 32768? * i 10.10.0.2 100 0 i *> 10.10.1.128/25 10.10.0.2 40 32768? * i 10.10.0.2 100 0 i * i10.10.2.0/24 10.10.0.2 100 0 i *> 0.0.0.0 0 32768 i *>i 10.20.0.0/16 10.10.0.2 200 0 200 i * 10.0.0.1 0 50 0 200 i květen 2008 8/12

Z výstupu jde vidět že směrovač μtik1 skutečně napropagoval do IGBP všechny cesty které zná z protokolu OSPF a že atribut local preference byl vyměněn správně, což nám může také potvrdit směrovací tabulka: RO#sh ip route bgp 10.0.0.0/8 is variably subnetted, 8 subnets, 4 masks B 10.20.0.0/16 [200/0] via 10.10.0.2, 00:08:06 Z této tabulky pak jde vidět že směrovač RO bude cíle v AS 200 (síť 10.20.0.0/16) dosahovat pomocí horní linky, prostřednictvím směrovače μtik1. 4 Závěr V části věnované protokolu OSPF jsem na případové studii předvedl že směrovače společností Cisco a Mikrotik bez jakýchkoliv problémů dokázali spolupracovat na výměně směrovacích informací a to i v případě kdy je nutné použít tzv. virtual-link a autentizaci pomocí MD5 algoritmu. V druhé části věnované protokolu BGP jsem pak ověřil správnou výměnu atributu local preference pomocí interního BGP a atributu MED, jehož výměna probíhá pomocí externího BGP. I v tomto případě došlo ke správné propagaci směrovací informace a síť zkonvergovala do předpokládané podoby. Bez problému proběhla i autentizace sousedských spojení mezi směrovači. Největší problém který nastal při řešení projektu byl způsoben nedokončenou dokumentací ke směrovačům společnosti Mikrotik. Přestože směrovače obsahovaly operační systém RoterOS verze 3.6, na internetových stránkách společnosti Mikrotik existuje dokumentace pouze pro verzi 2.9. To pak způsobilo například problém s parametrem address-families u protokolu BGP, kdy dokumentace se o tomto parametru vůbec nezmiňovala a implicitně nebyla nastavena žádná hodnota. Z tohoto důvodu pak nedošlo k navázání sousedského vztahu mezi směrovači a velice špatně se hledala příčina, když podle dokumentace mělo být vše v pořádku. 5 Literatura [1] GRYGÁREK, Jiří. Směrovací protokol OSPF [online]. [2008] [cit. 2008-03-25]. Dostupný z WWW: <http://www.cs.vsb.cz/grygarek/sps/lect/ospf/ospf.html>. [2] Border Gateway Protocol [online]. c1992-2008 [cit. 2008-05-23]. Dostupný z WWW: <http://www.cisco.com/en/us/docs/internetworking/technology/handbook/bgp.html>. [3] OSPF commands [online]. c1992-2008 [cit. 2008-05-23]. Dostupný z WWW: <http://www.cisco.com/en/us/docs/ios/12_2/iproute/command/reference/1rfospf.html>. [4] OSPF [online]. c1999-2006 [cit. 2008-05-23]. Dostupný z WWW: <http://www.mikrotik.com/testdocs/ros/2.9/routing/ospf.php>. [5] BGP commands [online]. c1992-2008 [cit. 2008-05-23]. Dostupný z WWW: <http://www.cisco.com/en/us/docs/ios/12_2/iproute/command/reference/1rfbgp1.html>. [6] BGP Command Reference [online]. c1999-2006 [cit. 2008-05-23]. Dostupný z WWW: <http://www.mikrotik.com/testdocs/ros/2.9/routing/bgp.php>. [7] BGP Routing Filters [online]. c1999-2006 [cit. 2008-05-23]. Dostupný z WWW: <http://www.mikrotik.com/testdocs/ros/2.9/routing/filter.php>. květen 2008 9/12

6 Přílohy 6.1 Použité konfigurace V této poslední kapitole jsou uvedeny kompletní konfigurační soubory, které jsem použil na jednotlivých směrovačích. Schéma sítě, včetně adresního plánu, je uvdeno na obrázku 2. Směrovač RO: hostname RO interface Loopback0 ip address 10.10.2.1 255.255.255.0 ip ospf network point-to-point interface FastEthernet0/1 ip address 10.10.0.1 255.255.255.252 ip ospf message-digest-key 1 md5 Heslo interface Serial0/1/0 ip address 10.0.0.2 255.255.255.252 clock rate 125000 router ospf 1 area 0 authentication message-digest network 10.10.0.0 0.0.0.3 area 0 network 10.10.2.0 0.0.0.255 area 0 router bgp 100 network 10.10.2.0 mask 255.255.255.0 redistribute ospf 1 neighbor 10.0.0.1 remote-as 200 neighbor 10.0.0.1 password Heslo neighbor 10.0.0.1 prefix-list reject_/30 out neighbor 10.0.0.1 route-map set_local-pref in neighbor 10.0.0.1 route-map set_med out neighbor 10.10.0.2 remote-as 100 neighbor 10.10.0.2 password Heslo neighbor 10.10.0.2 next-hop-self no auto-summary ip prefix-list reject_/30 seq 10 permit 0.0.0.0/0 ge 8 le 29 access-list 1 permit 10.20.0.0 0.0.255.255 access-list 2 permit 10.10.2.0 0.0.0.255 route-map set_med permit 10 match ip address 2 set metric 5 route-map set_med permit 20 set metric 130 route-map set_local-pref permit 10 match ip address 1 set local-preference 50 květen 2008 10/12

route-map set_local-pref permit 20 set local-preference 100 end Směrovač RL: hostname RL interface Loopback0 ip address 10.20.0.1 255.255.0.0 ip ospf network point-to-point interface Ethernet0 ip address 10.0.0.5 255.255.255.252 interface Serial0 ip address 10.0.0.1 255.255.255.252 router bgp 200 bgp log-neighbor-changes network 10.20.0.0 mask 255.255.0.0 neighbor 10.0.0.2 remote-as 100 neighbor 10.0.0.2 password Heslo neighbor 10.0.0.6 remote-as 100 neighbor 10.0.0.6 password Heslo no auto-summary end Směrovač RN: hostname RN interface Loopback0 ip address 10.10.1.1 255.255.255.128 ip ospf network point-to-point interface FastEthernet0/0 ip address 10.10.0.6 255.255.255.252 ip ospf message-digest-key 1 md5 Heslo interface FastEthernet0/1 ip address 10.10.0.9 255.255.255.252 ip ospf message-digest-key 1 md5 Heslo router ospf 1 area 1 authentication message-digest network 10.10.0.4 0.0.0.3 area 1 network 10.10.0.8 0.0.0.3 area 1 network 10.10.1.0 0.0.0.127 area 1 end květen 2008 11/12

Směrovač μtik1: ip address add address=10.10.0.5/30 interface=ether1 ip address add address=10.0.0.6/30 interface=ether1 ip address add address=10.10.0.2/30 interface=ether1 /ip route add gateway=10.0.0.5 /routing ospf set router-id=10.10.0.5 distribute-default=if-installed-as-type-2 /routing ospf area add area-id=0.0.0.1 name=area_1 /routing ospf network add area=area_1 network=10.10.0.4/30 /routing ospf network add area=backbone network=10.10.0.0/30 /routing ospf area set area_1 authentication=md5 /routing ospf area set backbone authentication=md5 /routing ospf interface add interface=ether1 authentication=md5 authentication-key=heslo /routing ospf virtual-link add neighbor-id=10.10.1.128 transit-area=area_1 authentication=md5 authentication-key=heslo /routing bgp instance set default as=100 router-id=10.10.0.5 redistribute-ospf=yes /routing bgp peer add remote-address=10.0.0.5 remote-as=200 instance=default addressfamilies=ip in-filter=set-local-pref out-filter=set-med-and-reject-/30 tcp-md5-key=heslo /routing bgp peer add remote-address=10.10.0.1 remote-as=100 instance=default addressfamilies=ip nexthop-choice=force-self tcp-md5-key=heslo /routing bgp network add instance=default network=10.10.0.4/30 /routing filter add chain=set-local-pref prefix=10.20.0.0/16 set-bgp-local-pref=200 action=accept /routing filter add chain=set-local-pref prefix=10.20.0.0/16 invert-match=yes set-bgp-localpref=100 action=accept /routing filter add chain=set-med-and-reject-/30 prefix=10.10.0.0/16 prefix-length=30-32 action=reject /routing filter add chain=set-med-and-reject-/30 prefix=10.10.1.0/24 prefix-length=24-29 set-bgpmed=5 action=accept /routing filter add chain=set-med-and-reject-/30 prefix=10.10.1.0/24 prefix-length=24-29 invertmatch=yes set-bgp-med=130 action=accept Směrovač μtik2: ip address add address=10.10.0.10/30 interface=ether1 ip address add address=10.10.1.129/25 interface=ether1 /routing ospf set router-id=10.10.1.128 /routing ospf area add area-id=0.0.0.1 name=area_1 /routing ospf area add area-id=0.0.0.2 name=area_2 /routing ospf network add area=area_1 network=10.10.0.8/30 /routing ospf network add area=area_2 network=10.10.1.128/25 /routing ospf area set area_1 authentication=md5 /routing ospf area set area_2 authentication=md5 /routing ospf interface add interface=ether1 authentication=md5 authentication-key=heslo /routing ospf virtual-link add neighbor-id=10.10.0.5 transit-area=area_1 authentication=md5 authentication-key=heslo květen 2008 12/12

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář