De acuerdo

Análisis de preguntas de la entrevista HCIE - Principio para el enlace virtual OSPF

Última respuesta mzo. 24, 2021 15:44:31 155 2 1 0 0

Hola,


En el último episodio, explicamos el efecto del LSA tipo 3, 5 y 7 generado en OSPF mientras la red se superpone (puede consultar aquí). En este episodio, ayudaremos a analizar una nueva pregunta de entrevista, que se hace comúnmente, sobre el enlace virtual OSPF.


Pregunta 1: ¿Es el enlace virtual OSPF una conexión lógica troncal o una conexión lógica no troncal, y por qué?


Pregunta 2: AR1 y AR4 unidifusión de los paquetes del protocolo OSPF, entonces, ¿cómo se determinan la IP de origen y la IP de destino?


Pregunta de la entrevista 1: ¿Es el enlace virtual OSPF una conexión lógica troncal o una conexión lógica no troncal, y por qué?


Para esta pregunta, generalmente la respondemos desde dos partes:


En primer lugar, la respuesta es que el enlace virtual OSPF es una conexión lógica troncal.


  1. Los routers entre los que se establecieron los enlaces virtuales enviarán paquetes OSPF de área 0, incluidos Hello, DD, LSU, LSR y LSAck. Obviamente, esto rompe las reglas de que OSPF recibe los paquetes OSPF solo cuando el ID de área es el mismo entre el remitente y el receptor de los paquetes OSPF. En otras palabras, estos dos routers envían y reciben no solo los paquetes OSPF troncales, sino también los paquetes OSPF no troncales.

  2. Dado que estos dos routers pueden enviar y recibir mensajes de protocolo OSPF de área 0, dicho de otra manera, no importa el tipo 3 LSA del área local o el tipo 3 LSA de otra área se enviarán ambos. Dicho de manera rigurosa, se explica como datos síncronos y LSA tipo 3 de reenvío de otra área en el área de la red troncal.


Basándonos en las dos razones anteriores, podríamos llegar a la conclusión de que el enlace virtual es una conexión lógica troncal. Por otro lado, se explica bien por qué el enlace virtual solo se establece cuando la autenticación se configura en consecuencia como la misma con el área 0.


Tome la red a continuación como ejemplo.

HCIE interview


Todos los routers habilitan OSPF y conectan la red de interconexión al área 1. AR1 y AR4 establecen un enlace virtual, que ha alcanzado el estado completo, a través de AR2, AR3 y FW1.


Verifique el estado del enlace virtual en AR1, la salida se muestra a continuación:


##################################################

<R1>display ospf vlink

  OSPF Process 10 with Router ID 1.1.1.1               

 Virtual Links

 Virtual-link Neighbor-id  -> 4.4.4.4, Neighbor-State: Full

 Interface: 12.1.1.1 (GigabitEthernet0/0/0) Cost: 3  State: P-2-P  Type: Virtual  Transit Area: 0.0.0.1  Timers: Hello 10 , Dead 40 , Retransmit 5 , Transmit Delay 1  GR State: Normal

##################################################


Tener una captura de paquetes en la interfaz G0 / 0/0 en AR4, para verificar los paquetes del protocolo OSPF,


HCIE interview

El resultado anterior muestra que AR1 envía un paquete de saludo OSPF con la dirección IP de origen configurada como interfaz G0 / 0/0 de AR1 y la dirección IP de destino configurada como interfaz G0 / 0/0 de AR4. Dado que se implementaron tres dispositivos entre AR1 y AR4, el TTL se reduce a 253, en lugar de los primeros 255 (hablaremos más adelante por qué es 253, en lugar de 252). Además, el campo ID de área en el encabezado OSPF se muestra como 0.0.0.0 (red troncal), en lugar de 0.0.0.1.


 

HCIE interview


Una vez establecida la relación de vecino, AR1 y AR4 sincronizarán LSDB a través del enlace virtual. Desde el LSU de unidifusión capturado, se envía desde AR4 a AR1, además del LSA del router, se transportan otros tres LSA de resumen.


Pregunta de entrevista 2: AR1 y AR4 unidifusión de los paquetes del protocolo OSPF, entonces, ¿cómo se determina la IP de origen y la IP de destino?

Para la mayoría de los cadidatos, su respuesta es "AR1 y AR4 toman el loopback o RID como IP de origen y destino". Deje la respuesta en paz, se deben resolver otros tres puntos principales.


  1. RID es un número arbitrario de 32 bits, que se puede configurar manualmente.

  2. Dado que los paquetes OSPF transferidos en el enlace virtual son unidifusión, lo que significa que AR2, AR3 y FW1 deben mantener las rutas hacia la IP de origen y destino; de lo contrario, ningún paquete de protocolo OSPF a través del enlace virtual se puede transmitir con éxito. .

  3. El propio protocolo de enrutamiento se utiliza para transferir la información de enrutamiento. Si el mensaje del protocolo de enrutamiento solo se transfiere mientras aprenden la información de enrutamiento, entonces, ¿por qué necesitamos ese protocolo de enrutamiento?


 

Obviamente, la respuesta de la mayoría de los candidatos no es correcta, al menos no tanto de forma preciosa.


Un requisito básico, que es el enlace virtual que solo se puede establecer entre dos routers en la misma área, es necesario para el establecimiento del enlace virtual. Para los routers en la misma área, las rutas al par de enlace virtual podrían ser determinadas por el tipo 1 LSA después de la sincronización OSPF LSDB.



Tome la topología anterior como ejemplo.


En AR1, la ruta hacia la interfaz loopback 0 de AR4 no aparece en la salida de la tabla de enrutamiento OSPF. Como resultado, no hay rutas en la tabla de enrutamiento AR1.

##################################################

<R1>display ospf routing

    OSPF Process 10 with Router ID 1.1.1.1                  Routing Tables

Routing for Network 

Destination   Cost  Type    NextHop   AdvRouter    Area

12.1.1.0/24   1     Stub    12.1.1.1    1.1.1.1       0.0.0.1

23.1.1.0/24   2     Stub    12.1.1.2    2.2.2.2       0.0.0.1

34.1.1.0/24   3     Stub    12.1.1.2    3.3.3.3       0.0.0.1

 Total Nets: 3   Intra Area: 3  Inter Area: 0  ASE: 0  NSSA: 0

################################################## 



Compruebe el LSDB para averiguar el tipo 1 LSA que corresponde a AR4. AR1 podría determinar la accesibilidad de AR4 a través del LSA tipo 1 generado por AR4, también la red conectada directamente en AR4.


##################################################

Area: 0.0.0.1                 Link State Database

  Type: Router  Ls id: 4.4.4.4  Adv rtr: 4.4.4.4    Ls age : 1129  

   Len : 48   Options :  ABR  VIRTUAL  E  

   seq# : 80000006   chksum : 0x1bf

   Link count: 2   *

       Link ID: 3.3.3.3         

       Data   : 34.1.1.4          Link Type: P-2-P             Metric : 1  

      * Link ID: 34.1.1.0         

       Data   : 255.255.255.0      Link Type: StubNet           Metric : 1     

        Priority : Low

 ##################################################



Para investigar mejor el procedimiento de procesamiento de paquetes de protocolo OSPF de unidifusión entre AR1 y AR4 en AR2, AR3, implementamos un firewall por tres razones.


  1. El firewall transparente no afectaría las interfaces de topología (esta es la razón por la que el TTL es 253, en lugar de 252)

  2. El cortafuegos no crearía una entrada en la tabla de sesiones para el tráfico de multidifusión ni el examen de la política de seguridad. Aproveche esta característica, podríamos modificar la interfaz del tipo de red OSPF a P2P, lo cual es conveniente para crear la política para los paquetes OSPF transferidos en el enlace virtual.

  3. Es conveniente verificar los paquetes OSPF según la entrada de la tabla de sesiones del firewall.


Ambas dos interfaces de conexión de firewall funcionan en la capa 2 y están asignadas en el área de confianza.

##################################################

<USG6000V1>display  zone

 trust priority is 85

interface of the zone is (3):    GigabitEthernet1/0/0    GigabitEthernet1/0/1

[USG6000V1-GigabitEthernet1/0/0] dis this

#

interface GigabitEthernet1/0/0

portswitch

undo shutdown

 

[USG6000V1-GigabitEthernet1/0/1] dis this

#

interface GigabitEthernet1/0/1

portswitch

undo shutdown

################################################## 


Dado que el firewall no tiene un objeto predefinido para el protocolo OSPF, deberíamos crear uno manualmente.


##################################################

[USG6000V1-object-service-set-ospf]dis this

    ip service-set ospf type object service 0 protocol 89 description ospf

 ##################################################


Todo el tipo de red de interfaz OSPF está configurado para P2P, de modo que todos los paquetes OSPF se envían en multidifusión.

##################################################

[R1-GigabitEthernet0/0/0]

    dis this

     [V200R003C00]

     interface GigabitEthernet0/0/0

       ip address 12.1.1.1 255.255.255.0 

       ospf network-type p2p

       ospf enable 10 area 0.0.0.1

 ##################################################


Después de que el enlace virtual se establezca correctamente, verifique la tabla de sesiones del firewall. El resultado a continuación muestra que el firewall crea una entrada de tabla de sesión solo para el tráfico de unidifusión OSPF.


##################################################

[USG6000V1-diagnose]display firewall session table verbose

 Current Total Sessions: 1 ospf  VPN: public --> public  Vlan: 1  ID: c487ff11b9fd0501b7759f1382b Zone: trust --> trust  TTL: 00:02:00  Left: 00:01:56 Interface: GigabitEthernet1/0/0  NextHop: 0.0.0.0  MAC: 0000-0000-0000 <--packets: 132 bytes: 9,236 --> packets: 144 bytes: 10,176 34.1.1.4:0 --> 12.1.1.1:0 PolicyName: ---

 ##################################################


Cree dos políticas de seguridad en el firewall para denegar los paquetes de interacción OSPF entre AR1 y AR4.


##################################################

[USG6000V1-policy-security]

 dis this

  security-policy

   rule name 10 

    source-zone trust

     destination-zone trust 

      source-address 12.1.1.1 32

      destination-address 34.1.1.4 32 

      service ospf  action deny

    rule name 20 

      source-zone trust 

      destination-zone trust

      source-address 34.1.1.4 32

      destination-address 12.1.1.1 32

      service ospf  action deny

 ##################################################



40 segundos después de que se aplicaron las políticas, el estado del enlace virutal tanto en AR1 como en AR4 pasa a estar inactivo, y los registros afectados podrían inspeccionarse en el firewall.


##################################################

[USG6000V1]display  security-policy  all  

Total:3

RULE ID RULE NAME           STATE      ACTION    HITTED       

  -------------------------------------------------------------------------------

0              default                         enable       deny           0               

1                 10                             enable       deny           467             

2                 20                             enable       deny           528 


De la inspección anterior, los dispositivos enviarán unidifusión los paquetes de enlace virtual OSPF.


Gracias por llegar hasta aquí.


Saludos.

  • x
  • convención:

arosaspa
Publicado 2021-3-23 22:00:43
Interesante articulo.

Felicidades camarada
Saludos desde Panama. Análisis de preguntas de la entrevista HCIE - Principio para el enlace virtual OSPF-3840421-1
Ver más
  • x
  • convención:

luis_ojeda
Publicado 2021-3-24 15:44:31
Muy bien explicado. Excelente!
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.