Differences

This shows you the differences between two versions of the page.

--- tssltd:настройка_ospf [2022/12/13 10:56] – i.sharapov
+++ tssltd:настройка_ospf [2023/11/02 11:40] (current) – n.ganenkov
@@ Line 1: / Line 1: @@
 [[tssltd:общие_настройки|Вернуться к оглавлению]]
-=== Настройка нескольких процессов OSPF ===
+==== Настройка нескольких процессов OSPF ====
+<WRAP indent>
 На устройстве МКСЗ «Diamond VPN/FW» поддерживается возможность конфигурации нескольких процессов OSPF. В базовой конфигурации запускается один процесс. Для запуска нескольких процессов для протокола динамической маршрутизации OSPF необходимо внести изменения в конфигурационный файл «**daemons**». Для редактирования конфигурационного файла необходимо перейти в папку назначения с помощью команды «**cd /media/storage/overlay/frr/**» и выполнить команду «**nano daemons**». В конфигурационном файле необходимо для протокола OSPF задать значение параметра «**yes**» и добавить строку «**ospfd_instances=X,Y,X**», где X, Y, Z - номера процессов, которые мы хотим запустить на устройстве. При необходимости, можно задать произвольные значения для номеров процессов и запустить нужное их количество.
+После внесения изменений в конфигурационный файл «**daemons**» необходимо перезапустить процесс динамической маршрутизации с помощью команды «**/etc/init.d/S50frr restart**».
 <code>
@@ Line 24: / Line 26: @@
 vrrpd=no
 </code>
+</WRAP>
+==== Настройка протокола динамической маршрутизации OSPF ====
-=== Настройка протокола динамической маршрутизации OSPF ===
 <WRAP indent>
@@ Line 41: / Line 42: @@
 </code>
-Далее необходимо необходимо перейти в режим конфигурирования с помощью команду «**confidure terminal**» и выполнять команду для входа в режим конфигурирования протокола динамической маршрутизации OSPF «**router ospf**».
+Далее необходимо необходимо перейти в режим конфигурирования с помощью команду «**confidure terminal**» и выполнять команду для входа в режим конфигурирования протокола динамической маршрутизации OSPF «**router ospf**». Если на устройстве запущено несколько процессов OSPF, то необходимо указать и номер процесса с помощью команды «**router ospf X**», где X номер процесса, который мы задавали в конфигурационном файле «**daemons**».
 <code>
-Diamond VPN/FW# configure terminal
+MKSZ_Diamond_VPN_FW# configure terminal
-Diamond VPN/FW(config)# router ospf
+MKSZ_Diamond_VPN_FW(config)# router ospf
-Diamond VPN/FW(config-router)#
+MKSZ_Diamond_VPN_FW(config-router)#
 </code>
 Для получения справки по командам для заданного меню интепретатора необходимо выполнить команду «**shift+?**». Во всех разделах работает режим дополнения команды с помощью клавиши «**tab**». Для отмены команды необходимо поставить ключевую частицу «**no**» перед командой. Для выхода в предыдующее меню необходимо выполнить команду «**exit**».
-</WRAP>
-=== Базовая настройка протокола OSPF ===
+После задания конфигурации в терминальном режиме необходимо сохранить настройки. Для сохранения настроек необходимо выполнить команду «**write**» в основном меню конфигурации. При выполнении команду «**write**» вся конфигурация записывается в конфигурационный файл «**/media/storage/overlay/frr/frr.conf**»
-<WRAP indent>
+<code>
-Команда «**<wrap hi>network <ip subnet/network></wrap>**»
+MKSZ_Diamond_VPN_FW#write
+Note: this version of vtysh never writes vtysh.conf
+Building Configuration...
+Integrated configuration saved to /etc/frr/frr.conf
+[OK]
+</code>
 </WRAP>
-=== Настройка версии для протокола OSPF ===
+==== Базовая настройка протокола OSPF ====
 <WRAP indent>
-Команда «**<wrap hi>version <1 or 2 version></wrap>**» позволяет
+Команда «**ospf router-id X.X.X.X <ip subnet/network>**» команда задает параметр «**router-id**» для заданного процесса OSPF.
+Команда «**network <ip_address> area <area_number> <ip subnet/network>**» команда позволяет задать подсеть и указать зону для включения заданной подсети/интерфейса в процесс динамической маршрутизации протокола OSPF.
+Команда «**passive-interface <interface_name>**» команда позволяет перевести интерфейс в пассивный режим, в котором интерфейс не принимает участие в процессе OSPF.
 </WRAP>
-=== Пример конфигруации для протокола RIP ===
+==== Настройка протокола OSPF ====
 <WRAP indent>
-На рисунке ниже приведена схема сети и пример конфигурации протокола динамической маршрутизации RIP для центрального устройства. После схемы приведен пример конфигурационного файла для данной схемы сети.
+На рисунке ниже приведена схема сети и пример конфигурации протокола динамической маршрутизации OSPF для одного из устройств. После схемы приведен пример конфигурационного файла для данной схемы сети.
-{{:tssltd:routing_rip.png?1000|}}
+{{:tssltd:ospf_basic_conf.png|}}
-Рисунок
 <code>
@@ Line 81: / Line 87: @@
 Copyright 1996-2005 Kunihiro Ishiguro, et al.
-Diamond VPN/FW# configure terminal
+MKSZ_Diamond_VPN_FW# configure terminal
-Diamond VPN/FW(config)# router rip
+MKSZ_Diamond_VPN_FW(config)# router ospf
-Diamond VPN/FW(config-router)# network eth3
+MKSZ_Diamond_VPN_FW(config-router)# ospf router-id 1.1.1.1
-Diamond VPN/FW(config-router)# network 192.168.17.0/24
+MKSZ_Diamond_VPN_FW(config-router)# network 10.13.25.0/30 area 0
-Diamond VPN/FW(config-router)# version 2
+MKSZ_Diamond_VPN_FW(config-router)# network 172.25.64.0/28 area 0
-Diamond VPN/FW(config-router)# passive-interface default
-Diamond VPN/FW(config-router)# no passive-interface eth2
-Diamond VPN/FW(config-router)# no passive-interface eth3
 </code>
 </WRAP>
-=== Анонсы маршрутной информации ===
+==== Анонсы маршрутной информации ====
 <WRAP indent>
-Команда «**<wrap hi>redistribute</wrap>**» позволяет включить механизм редистрибуции маршрутной информации из других источников. Например, протокол BGP, OSPF, EIGRP, KERNEL, STATIC.
+Команда «**redistribute**» позволяет включить механизм редистрибуции маршрутной информации из других источников. Например, протокол RIP, BGP, EIGRP, KERNEL, STATIC.
-Команда «**<wrap hi>default-information originate</wrap>**» позволяет включить механизм анонсирования маршрута по умолчанию другим устройствам в рамках протокола RIP.
+Команда «**default-information originate**» позволяет включить механизм анонсирования маршрута по умолчанию другим устройствам в рамках протокола OSPF.
-Команда «**<wrap hi>route A.B.C.D/M</wrap>**» позволяет задать статический маршрут, который будет анонсироваться другим устройствам в рамках протокола RIP.
 </WRAP>
-=== Изменение метрики у маршрутов ===
+==== Параметры аутентификации ====
 <WRAP indent>
-Команда «**<wrap hi>default-metric (1-16)</wrap>**» позволяет изменить стандартное значение параметра метрика для маршрутов, которые получены через механизм редистрибуции. Значение по умолчанию - 1. Команда не влияет на подключенные подсети, даже если они анонсированы как «**redistribute connected**». Для изменения метрики для подключенных подсетей необходимо выполнить команду «**redistribute connected metric**»
+Для протокола OSPF поддерживается возможность задать параметру аутентификации в процессе установления состояния соседства и обменом маршрутной информации.
+Команда «**ip rip authentication mode md5**» задается на сетевом интерфейсе и позволяет включить режим аутентификации MD5.
+Команда «**ip rip authentication mode text**» задается на сетевом интерфейсе и позволяет включить режим аутентификации с простым паролем.
+Команда «**ip rip authentication string <clear_password>**» задается на сетевом интерфейсе и позволяет задать пароль. Длина пароль не должна превышать 16 символов.
+Команда «**ip rip authentication key-chain <KEY-CHAIN>**» задается на сетевом интерфейс и позволяет задать секретное слово.
 </WRAP>
-=== Изменение административной дистанции ===
+==== Временные параметры ====
 <WRAP indent>
-Команда «**<wrap hi>distance (1-255)</wrap>**» позволяет изменить значение административной дистанции для протокола RIP. Значение по умолчанию - 120. При получении маршрутной информации в основную таблицу маршрутизации будут попадать маршруты от протоколов с наименьшем значение административной дистанции.
+Протокол динамической маршрутизации RIP имеет несколько таймеров. «**Update timer**» - временной интервал обновления маршрутной информации, значение по умолчанию 30 секунд. Каждые 30 секунд происходит рассылка маршрутной информации соседям. Обновление включает в себя таблицу маршрутизации целиком. «**Timeout timer**» - по истечении таймера неактивный маршрут удаляется из таблицы маршрутизации. Однако он сохраняется некоторое время, чтобы о неактивном маршрути узнали все соседи. Значение по умолчанию - 180 секунд. «**Collect timer**» - таймер отвечает за удаление мусорных маршрутов. По истечение времени неактивные маршруты полностью удаляются из таблицы маршрутизации. Значение по умолчанию - 120 секунд.
+Команда «**timers basic <UPDATE_time> <TIMEOUT_time> <GARBAGE_time>**» позволяет изменить таймеры, которые влияют на механизмы обмены маршрутной информации. При выполнении команды необходимо задать три параметра для каждого из таймеров.
 </WRAP>
-=== Параметры аутентификации ===
+==== Просмотр информации о протоколе OSPF ====
 <WRAP indent>
-Аутентификация поддерживается протоколом динамической маршрутизации RIP версии 2. Протоколу RIP версии 1 не поддерживает аутентификацию. При настройки параметров аутентификации поддерживается простой пароль и MD5. При использовании аутентификации устройство не будет принимать маршрутные анонсы от устройства с RIP версией 1.
+Команда «**show ip ospf**» позволяет вывести информацию об общих настройка для протокола OSPF и временных таймеров.
-Команда «**<wrap hi>ip rip authentication mode md5</wrap>**» задается на сетевом интерфейсе и позволяет включить режим аутентификации MD5.
+Команда «**show ip ospf interface**» позволяет вывести информацию о настройках для протокола OSPF для всех сетевых интерфейсов, который участвуют в процессе OSPF.
-Команда «**<wrap hi>ip rip authentication mode text</wrap>**» задается на сетевом интерфейсе и позволяет включить режим аутентификации с простым паролем.
+Команда «**show ip ospf neighbor**» позволяет вывести информацию об устройствах, с которыми установлено состояние соседства.
-Команда «**<wrap hi>ip rip authentication string <clear_password></wrap>**» задается на сетевом интерфейсе и позволяет задать пароль. Длина пароль не должна превышать 16 символов.
+Команда «**show ip ospf database**» позволяет вывести информацию о базе данных с маршрутной информацией
-Команда «**<wrap hi>ip rip authentication key-chain <KEY-CHAIN></wrap>**» задается на сетевом интерфейс и позволяет задать секретное слово.
+Команда «**show ip ospf route**» позволяет вывести информацию о маршрутах, которые были получены по протоколу OSPF.
 </WRAP>
-=== Временные параметры ===
+==== Журналы событий ====
 <WRAP indent>
-Протокол динамической маршрутизации RIP имеет несколько таймеров. «**Update timer**» - временной интервал обновления маршрутной информации, значение по умолчанию 30 секунд. Каждые 30 секунд происходит рассылка маршрутной информации соседям. Обновление включает в себя таблицу маршрутизации целиком. «**Timeout timer**» - по истечении таймера неактивный маршрут удаляется из таблицы маршрутизации. Однако он сохраняется некоторое время, чтобы о неактивном маршрути узнали все соседи. Значение по умолчанию - 180 секунд. «**Collect timer**» - таймер отвечает за удаление мусорных маршрутов. По истечение времени неактивные маршруты полностью удаляются из таблицы маршрутизации. Значение по умолчанию - 120 секунд.
+Команда «**debug ospf event**» при включении данного режима будет отображаться информация об отправленных и полученных пакетах, информация о временных таймерах и изменениях на сетевых интерфейсах.
+Команда «**debug ospf packet**» при включении данного режима будет отображаться детальная информация обо всех пакетах процесса OSPF.
+Команда «**debug ospf nsm**» при включении данного режима будет отображаться детальная информация об устройствах, с которыми установлено состояние соседства, в рамках протокола OSPF.
-Команда «**<wrap hi>timers basic <UPDATE_time> <TIMEOUT_time> <GARBAGE_time></wrap>**» позволяет изменить таймеры, которые влияют на механизмы обмены маршрутной информации. При выполнении команды необходимо задать три параметра для каждого из таймеров.
+Команда «**debug ospf zebra**» при включении данного режима будет отображаться информация о взаимодействии процесса OSPF и основного процесса динамической маршрутизации, который включает в себя процесс добавления и удаления маршрутов, отправку и получение информации о сетевых интерфейсах.
 </WRAP>
-=== Просмотр информации о протоколе RIP ===
+==== Пример конфигурации ====
 <WRAP indent>
+Разберем на примере конфигурацию протокола OSPF. На схеме представлены 3 устройства МКСЗ «Diamond VPN/FW», на интерфейсах устройств заданы сетевые адреса и настроена сетевая связность между всеми устройствами. На устройстве 1, 2 и 3 настроен протокол динамической маршрутизации OSPF. Все необходимые данные представлены на схеме.
-Команда «**<wrap hi>show ip rip</wrap>**» позволяет вывести информацию о маршрутах, которые были получены через протокол RIP.
+{{:tssltd:ospf_protocol_practic.png?1000|}}
-Команда «**<wrap hi>show ip rip status</wrap>**» позволяет вывести информацию о протоколе RIP, которая включает в себя: статус, временные таймеры, фильтры, версию протокола, интерфейсы, на которых запущен протокол RIP, и информацию о соседних устройствах.
+Для просмотра информации о протоколе и маршрутной информации необходимо подключиться к устройству по протоколу ssh и перейти в режим терминального подключения. Для перехода в режим терминального подключения необходимо выполнить команду «**vtysh**». Рассмотрим пример конфигурации на устройстве МКСЗ «Diamond VPN/FW» с номером «**1**» на схеме.
-</WRAP>
+<code>
+# vtysh
-=== Журналы событий ===
+Hello, this is FRRouting (version 7.4).
+Copyright 1996-2005 Kunihiro Ishiguro, et al.
-<WRAP indent>
+MKSZ_Diamond_VPN_FW#
+</code>
-Команда «**<wrap hi>debug rip events</wrap>**» при включении данного режима будет отображаться информация об отправленных и полученных пакетах, информация о временных таймерах и изменениях на сетевых интерфейсах.
+Для отображения состояния протокола динамической маршрутизации OSPF необходимо выполнить команду «**show ip ospf**».
-Команда «**<wrap hi>debug rip packet</wrap>**» при включении данного режима будет отображаться детальная информаци обо всех пакетах процесса RIP, адреса источника и назначения и сетевые порты.
+<code>
+MKSZ_Diamond_VPN_FW# sh ip ospf
+ OSPF Routing Process, Router ID: 1.1.1.1
+ Supports only single TOS (TOS0) routes
+ This implementation conforms to RFC2328
+ RFC1583Compatibility flag is disabled
+ OpaqueCapability flag is disabled
+ Initial SPF scheduling delay 0 millisec(s)
+ Minimum hold time between consecutive SPFs 50 millisec(s)
+ Maximum hold time between consecutive SPFs 5000 millisec(s)
+ Hold time multiplier is currently 1
+ SPF algorithm last executed 1h00m46s ago
+ Last SPF duration 46 usecs
+ SPF timer is inactive
+ LSA minimum interval 5000 msecs
+ LSA minimum arrival 1000 msecs
+ Write Multiplier set to 20
+ Refresh timer 10 secs
+ Number of external LSA 0. Checksum Sum 0x00000000
+ Number of opaque AS LSA 0. Checksum Sum 0x00000000
+ Number of areas attached to this router: 1
+ Area ID: 0.0.0.0 (Backbone)
+   Number of interfaces in this area: Total: 2, Active: 2
+   Number of fully adjacent neighbors in this area: 2
+   Area has no authentication
+   SPF algorithm executed 9 times
+   Number of LSA 6
+   Number of router LSA 3. Checksum Sum 0x0002688f
+   Number of network LSA 3. Checksum Sum 0x00014248
+   Number of summary LSA 0. Checksum Sum 0x00000000
+   Number of ASBR summary LSA 0. Checksum Sum 0x00000000
+   Number of NSSA LSA 0. Checksum Sum 0x00000000
+   Number of opaque link LSA 0. Checksum Sum 0x00000000
+   Number of opaque area LSA 0. Checksum Sum 0x00000000
-Команда «**<wrap hi>debug rip zebra</wrap>**» при включении данного режима будет отображаться информация о взаимодействии процесса RIP и основного процесса динамической маршуртизации, который включает в себя процесс добавления и удаления маршрутов, отправку и получение информации о сетевых интерфейсах.
+</code>
-Команда «**<wrap hi>show debugging rip</wrap>**» при включении данного режима будет отображаться информации обо всех сообщения и всех пакетах.
+Для отображения информации о сетевых интерфейсах, которые принимают участие в процессе ospf, необходимо выполнить команду «**show ip ospf interface**».
-</WRAP>
+<code>
+MKSZ_Diamond_VPN_FW# show ip ospf interface
+eth3.32 is up
+  ifindex 11, MTU 1500 bytes, BW 1000 Mbit <UP,BROADCAST,RUNNING,MULTICAST>
+  Internet Address 172.25.64.1/28, Broadcast 172.25.64.15, Area 0.0.0.0
+  MTU mismatch detection: enabled
+  Router ID 1.1.1.1, Network Type BROADCAST, Cost: 100
+  Transmit Delay is 1 sec, State Backup, Priority 1
+  Backup Designated Router (ID) 1.1.1.1, Interface Address 172.25.64.1
+  Multicast group memberships: OSPFAllRouters OSPFDesignatedRouters
+  Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5
+    Hello due in 1.311s
+  Neighbor Count is 1, Adjacent neighbor count is 1
+eth4.95 is up
+  ifindex 12, MTU 1500 bytes, BW 1000 Mbit <UP,BROADCAST,RUNNING,MULTICAST>
+  Internet Address 10.13.25.1/30, Broadcast 10.13.25.3, Area 0.0.0.0
+  MTU mismatch detection: enabled
+  Router ID 1.1.1.1, Network Type BROADCAST, Cost: 100
+  Transmit Delay is 1 sec, State Backup, Priority 1
+  Backup Designated Router (ID) 1.1.1.1, Interface Address 10.13.25.1
+  Multicast group memberships: OSPFAllRouters OSPFDesignatedRouters
+  Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5
+    Hello due in 1.311s
+  Neighbor Count is 1, Adjacent neighbor count is 1
+</code>
-=== Пример конфигурации ===
+Для отображения информации о соседстве с другими устройствами, необходимо выполнить команду «**how ip ospf neighbor**».
-<WRAP indent>
+<code>
+MKSZ_Diamond_VPN_FW# sh ip ospf neighbor
+Neighbor ID     Pri State           Dead Time Address         Interface                        RXmtL RqstL DBsmL
+.2.2.2           1 Full/DR           34.303s 10.13.25.2      eth4.95:10.13.25.1                   0     0     0
+.3.3.3           1 Full/DR           30.521s 172.25.64.2     eth3.32:172.25.64.1                  0     0     0
+</code>
+Для отображения информации о текущей конфигурации протокола динамической маршрутизации OSPF необходимо выполнить команду «**sh running-config**».
+<code>
+MKSZ_Diamond_VPN_FW# sh running-config
+Building configuration...
+Current configuration:
+!
+frr version 7.4
+frr defaults traditional
+hostname vpnfw
+log file /var/log/frr/frr.log                  --------------> настройка журналирования
+log syslog informational
+no ipv6 forwarding
+hostname Diamond_utm_4_stend_5
+service integrated-vtysh-config
+!
+interface eth3
+ ip ospf network point-to-point                --------------> настройка типа сети
+!
+interface eth4.95
+ ip ospf authentication-key 123                --------------> настройка параметров аутентификации
+!
+router ospf                                    --------------|
+ ospf router-id 1.1.1.1                                      | ---> настройка протокола OSPF
+ network 10.13.25.0/30 area 0                                |
+ network 172.25.64.0/28 area 0                 --------------|
+!
+line vty
+!
+end
+</code>
+Для просмотра информации о маршрутах в терминальном режиме необходимо выполнить команду «**sh ip ospf route**».
+<code>
+MKSZ_Diamond_VPN_FW# sh ip ospf route
+============ OSPF network routing table ============
+N    10.13.25.0/30         [100] area: 0.0.0.0
+                           directly attached to eth4.95
+N    10.16.199.0/24        [10100] area: 0.0.0.0
+                           via 172.25.64.2, eth3.32
+N    10.250.13.0/24        [10100] area: 0.0.0.0
+                           via 10.13.25.2, eth4.95
+N    172.16.134.0/26       [200] area: 0.0.0.0
+                           via 10.13.25.2, eth4.95
+                           via 172.25.64.2, eth3.32
+N    172.25.64.0/28        [100] area: 0.0.0.0
+                           directly attached to eth3.32
+N    172.31.25.0/24        [10100] area: 0.0.0.0
+                           via 172.25.64.2, eth3.32
+N    192.168.201.0/24      [10100] area: 0.0.0.0
+                           via 10.13.25.2, eth4.95
+============ OSPF router routing table =============
+============ OSPF external routing table ===========
+</code>
+Также информация о маршрутах доступна при подключении по консоли. Для отображения информации о маршрутах необходимо выполнить команду «**ip route**». Маршруты, которые были получены по протоколу «**ospf**», отмечены меткой «**ospf**». Обратите внимание, что если подсеть назначения будет доступна через несколько одинаковых с точки зрения протокола OSPF маршрутов, то в таблицу маршрутизации будет добавлен маршрут через несколько путей.
+<code>
+# ip route
+default via 10.10.100.1 dev eth1
+.2.2.0/24 via 10.10.101.241 dev eth1
+.10.5.0/30 dev eth3 proto kernel scope link src 10.10.5.2
+.10.100.0/22 dev eth1 proto kernel scope link src 10.10.102.12
+.13.25.0/30 dev eth4.95 proto kernel scope link src 10.13.25.1
+.16.199.0/24 via 172.25.64.2 dev eth3.32 proto ospf metric 20
+.250.13.0/24 via 10.13.25.2 dev eth4.95 proto ospf metric 20
+.16.134.0/26 proto ospf metric 20
+        nexthop via 10.13.25.2 dev eth4.95 weight 1
+        nexthop via 172.25.64.2 dev eth3.32 weight 1
+.25.64.0/28 dev eth3.32 proto kernel scope link src 172.25.64.1
+.31.25.0/24 via 172.25.64.2 dev eth3.32 proto ospf metric 20
+.168.201.0/24 via 10.13.25.2 dev eth4.95 proto ospf metric 20
+</code>
+Для отображения информации о маршрутах, которые были получены только по протоколу «**ospf**», необходимо выполнить команду «**ip route | grep ospf**».
+<code>
+# ip route | grep ospf
+.16.199.0/24 via 172.25.64.2 dev eth3.32 proto ospf metric 20
+.250.13.0/24 via 10.13.25.2 dev eth4.95 proto ospf metric 20
+.16.134.0/26 proto ospf metric 20
+.31.25.0/24 via 172.25.64.2 dev eth3.32 proto ospf metric 20
+.168.201.0/24 via 10.13.25.2 dev eth4.95 proto ospf metric 20
+</code>
 </WRAP>