Hola,
En el último episodio, explicamos el efecto del LSA tipo 3, 5 y 7 generado en OSPF mientras la red se superpone (puede consultar aquí). En este episodio, ayudaremos a analizar una nueva pregunta de entrevista, que se hace comúnmente, sobre el enlace virtual OSPF.
Pregunta 1: ¿Es el enlace virtual OSPF una conexión lógica troncal o una conexión lógica no troncal, y por qué?
Pregunta 2: AR1 y AR4 unidifusión de los paquetes del protocolo OSPF, entonces, ¿cómo se determinan la IP de origen y la IP de destino?
Pregunta de la entrevista 1: ¿Es el enlace virtual OSPF una conexión lógica troncal o una conexión lógica no troncal, y por qué?
Para esta pregunta, generalmente la respondemos desde dos partes:
En primer lugar, la respuesta es que el enlace virtual OSPF es una conexión lógica troncal.
Los routers entre los que se establecieron los enlaces virtuales enviarán paquetes OSPF de área 0, incluidos Hello, DD, LSU, LSR y LSAck. Obviamente, esto rompe las reglas de que OSPF recibe los paquetes OSPF solo cuando el ID de área es el mismo entre el remitente y el receptor de los paquetes OSPF. En otras palabras, estos dos routers envían y reciben no solo los paquetes OSPF troncales, sino también los paquetes OSPF no troncales.
Dado que estos dos routers pueden enviar y recibir mensajes de protocolo OSPF de área 0, dicho de otra manera, no importa el tipo 3 LSA del área local o el tipo 3 LSA de otra área se enviarán ambos. Dicho de manera rigurosa, se explica como datos síncronos y LSA tipo 3 de reenvío de otra área en el área de la red troncal.
Basándonos en las dos razones anteriores, podríamos llegar a la conclusión de que el enlace virtual es una conexión lógica troncal. Por otro lado, se explica bien por qué el enlace virtual solo se establece cuando la autenticación se configura en consecuencia como la misma con el área 0.
Tome la red a continuación como ejemplo.
Todos los routers habilitan OSPF y conectan la red de interconexión al área 1. AR1 y AR4 establecen un enlace virtual, que ha alcanzado el estado completo, a través de AR2, AR3 y FW1.
Verifique el estado del enlace virtual en AR1, la salida se muestra a continuación:
##################################################
<R1>display ospf vlink
OSPF Process 10 with Router ID 1.1.1.1
Virtual Links
Virtual-link Neighbor-id -> 4.4.4.4, Neighbor-State: Full
Interface: 12.1.1.1 (GigabitEthernet0/0/0) Cost: 3 State: P-2-P Type: Virtual Transit Area: 0.0.0.1 Timers: Hello 10 , Dead 40 , Retransmit 5 , Transmit Delay 1 GR State: Normal
##################################################
Tener una captura de paquetes en la interfaz G0 / 0/0 en AR4, para verificar los paquetes del protocolo OSPF,
El resultado anterior muestra que AR1 envía un paquete de saludo OSPF con la dirección IP de origen configurada como interfaz G0 / 0/0 de AR1 y la dirección IP de destino configurada como interfaz G0 / 0/0 de AR4. Dado que se implementaron tres dispositivos entre AR1 y AR4, el TTL se reduce a 253, en lugar de los primeros 255 (hablaremos más adelante por qué es 253, en lugar de 252). Además, el campo ID de área en el encabezado OSPF se muestra como 0.0.0.0 (red troncal), en lugar de 0.0.0.1.
Una vez establecida la relación de vecino, AR1 y AR4 sincronizarán LSDB a través del enlace virtual. Desde el LSU de unidifusión capturado, se envía desde AR4 a AR1, además del LSA del router, se transportan otros tres LSA de resumen.
Pregunta de entrevista 2: AR1 y AR4 unidifusión de los paquetes del protocolo OSPF, entonces, ¿cómo se determina la IP de origen y la IP de destino?
Para la mayoría de los cadidatos, su respuesta es "AR1 y AR4 toman el loopback o RID como IP de origen y destino". Deje la respuesta en paz, se deben resolver otros tres puntos principales.
RID es un número arbitrario de 32 bits, que se puede configurar manualmente.
Dado que los paquetes OSPF transferidos en el enlace virtual son unidifusión, lo que significa que AR2, AR3 y FW1 deben mantener las rutas hacia la IP de origen y destino; de lo contrario, ningún paquete de protocolo OSPF a través del enlace virtual se puede transmitir con éxito. .
El propio protocolo de enrutamiento se utiliza para transferir la información de enrutamiento. Si el mensaje del protocolo de enrutamiento solo se transfiere mientras aprenden la información de enrutamiento, entonces, ¿por qué necesitamos ese protocolo de enrutamiento?
Obviamente, la respuesta de la mayoría de los candidatos no es correcta, al menos no tanto de forma preciosa.
Un requisito básico, que es el enlace virtual que solo se puede establecer entre dos routers en la misma área, es necesario para el establecimiento del enlace virtual. Para los routers en la misma área, las rutas al par de enlace virtual podrían ser determinadas por el tipo 1 LSA después de la sincronización OSPF LSDB.
Tome la topología anterior como ejemplo.
En AR1, la ruta hacia la interfaz loopback 0 de AR4 no aparece en la salida de la tabla de enrutamiento OSPF. Como resultado, no hay rutas en la tabla de enrutamiento AR1.
##################################################
<R1>display ospf routing
OSPF Process 10 with Router ID 1.1.1.1 Routing Tables
Routing for Network
Destination Cost Type NextHop AdvRouter Area
12.1.1.0/24 1 Stub 12.1.1.1 1.1.1.1 0.0.0.1
23.1.1.0/24 2 Stub 12.1.1.2 2.2.2.2 0.0.0.1
34.1.1.0/24 3 Stub 12.1.1.2 3.3.3.3 0.0.0.1
Total Nets: 3 Intra Area: 3 Inter Area: 0 ASE: 0 NSSA: 0
##################################################
Compruebe el LSDB para averiguar el tipo 1 LSA que corresponde a AR4. AR1 podría determinar la accesibilidad de AR4 a través del LSA tipo 1 generado por AR4, también la red conectada directamente en AR4.
##################################################
Area: 0.0.0.1 Link State Database
Type: Router Ls id: 4.4.4.4 Adv rtr: 4.4.4.4 Ls age : 1129
Len : 48 Options : ABR VIRTUAL E
seq# : 80000006 chksum : 0x1bf
Link count: 2 *
Link ID: 3.3.3.3
Data : 34.1.1.4 Link Type: P-2-P Metric : 1
* Link ID: 34.1.1.0
Data : 255.255.255.0 Link Type: StubNet Metric : 1
Priority : Low
##################################################
Para investigar mejor el procedimiento de procesamiento de paquetes de protocolo OSPF de unidifusión entre AR1 y AR4 en AR2, AR3, implementamos un firewall por tres razones.
El firewall transparente no afectaría las interfaces de topología (esta es la razón por la que el TTL es 253, en lugar de 252)
El cortafuegos no crearía una entrada en la tabla de sesiones para el tráfico de multidifusión ni el examen de la política de seguridad. Aproveche esta característica, podríamos modificar la interfaz del tipo de red OSPF a P2P, lo cual es conveniente para crear la política para los paquetes OSPF transferidos en el enlace virtual.
Es conveniente verificar los paquetes OSPF según la entrada de la tabla de sesiones del firewall.
Ambas dos interfaces de conexión de firewall funcionan en la capa 2 y están asignadas en el área de confianza.
##################################################
<USG6000V1>display zone
trust priority is 85
interface of the zone is (3): GigabitEthernet1/0/0 GigabitEthernet1/0/1
[USG6000V1-GigabitEthernet1/0/0] dis this
#
interface GigabitEthernet1/0/0
portswitch
undo shutdown
[USG6000V1-GigabitEthernet1/0/1] dis this
#
interface GigabitEthernet1/0/1
portswitch
undo shutdown
##################################################
Dado que el firewall no tiene un objeto predefinido para el protocolo OSPF, deberíamos crear uno manualmente.
##################################################
[USG6000V1-object-service-set-ospf]dis this
ip service-set ospf type object service 0 protocol 89 description ospf
##################################################
Todo el tipo de red de interfaz OSPF está configurado para P2P, de modo que todos los paquetes OSPF se envían en multidifusión.
##################################################
[R1-GigabitEthernet0/0/0]
dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
ospf network-type p2p
ospf enable 10 area 0.0.0.1
##################################################
Después de que el enlace virtual se establezca correctamente, verifique la tabla de sesiones del firewall. El resultado a continuación muestra que el firewall crea una entrada de tabla de sesión solo para el tráfico de unidifusión OSPF.
##################################################
[USG6000V1-diagnose]display firewall session table verbose
Current Total Sessions: 1 ospf VPN: public --> public Vlan: 1 ID: c487ff11b9fd0501b7759f1382b Zone: trust --> trust TTL: 00:02:00 Left: 00:01:56 Interface: GigabitEthernet1/0/0 NextHop: 0.0.0.0 MAC: 0000-0000-0000 <--packets: 132 bytes: 9,236 --> packets: 144 bytes: 10,176 34.1.1.4:0 --> 12.1.1.1:0 PolicyName: ---
##################################################
Cree dos políticas de seguridad en el firewall para denegar los paquetes de interacción OSPF entre AR1 y AR4.
##################################################
[USG6000V1-policy-security]
dis this
security-policy
rule name 10
source-zone trust
destination-zone trust
source-address 12.1.1.1 32
destination-address 34.1.1.4 32
service ospf action deny
rule name 20
source-zone trust
destination-zone trust
source-address 34.1.1.4 32
destination-address 12.1.1.1 32
service ospf action deny
##################################################
40 segundos después de que se aplicaron las políticas, el estado del enlace virutal tanto en AR1 como en AR4 pasa a estar inactivo, y los registros afectados podrían inspeccionarse en el firewall.
##################################################
[USG6000V1]display security-policy all
Total:3
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 0
1 10 enable deny 467
2 20 enable deny 528
De la inspección anterior, los dispositivos enviarán unidifusión los paquetes de enlace virtual OSPF.
Gracias por llegar hasta aquí.
Saludos.
