OSPF

Название службы раздела OSPF: frr; ideco-routing-backend. Список служб для других разделов доступен по ссылке.

В Ideco NGFW реализована поддержка OSPF (Open Shortest Path First) - протокола маршрутизации по состоянию каналов. Канал - это интерфейс маршрутизатора или сегмент сети, который соединяет два маршрутизатора.

Использовать модуль лучше всего в сетях, где применяется балансировка нагрузки на сеть и резервирование каналов.

Пример топологии с использованием OSPF представлен на схеме ниже:

Принцип работы маршрутизации по состоянию канала

1. Установление отношений смежности с соседними устройствами

Маршрутизатор, использующий OSPF, отправляет hello-пакеты на мультикастовый адрес 224.0.0.5 со всех интерфейсов, где запущен OSPF. При наличии соседнего устройства маршрутизатор пытается установить с ним отношения смежности.

2. Обмен объявлениями о состоянии каналов

После установления смежности устройства выполняют обмен LSA. LSA содержат информацию о состоянии и стоимости каждого канала с прямым подключением.

3. Создание базы данных состояния связи

На основе объявления LSA маршрутизаторы собирают базу данных, в которой содержатся данные о топологии сети в области.

4. Исполнение алгоритма SPF

На устройствах выполняется алгоритм SPF, результатом которого является создание дерева кратчайших путей.

5. Выбор лучшего маршрута

На основании данных дерева SPF обновляются данные в таблице IP-маршрутизации. Маршрут добавляется в таблицу маршрутизации, если отсутствует источник маршрута к той же сети с меньшим административным расстоянием, например, статический маршрут. Решения по маршрутизации пакетов принимаются на основе записей в таблице маршрутизации.

Особенности работы OSPF в Ideco NGFW

Ideco NGFW всегда будет являться шлюзом по умолчанию для других устройств. Считать другие устройства шлюзом по умолчанию NGFW не сможет;
OSPF работает только на локальных интерфейсах. Локальными считаются локальные Ethernet-интерфейсы, GRE, GRE over IPsec;
Значение Типа сети (Network Type) в Ideco NGFW устанавливается автоматически в зависимости от типа интерфейса, используемого для OSPF: для GRE-интерфейсов - значение p2p, для Ethernet-интерфейсов - значение broadcast.

Основное

Настройка Ideco NGFW

Router ID - IP-адрес маршрутизатора. Присваивается автоматически в виде самого большого IP-адреса локальной сети, заданной в разделе Сетевые интерфейсы.

Для того чтобы настроить OSPF на NGFW, выполните действия:

1. В веб-интерфейсе NGFW перейдите в раздел Сервисы –> OSPF –> Основные и нажмите кнопку Добавить.

2. Заполните поля:

Интерфейс - выберите локальный или Loopback-интерфейс Ideco NGFW, IP-адрес которого будет использован для обмена маршрутами;
Вес - введите стоимость маршрута.

3. Нажмите Добавить.

Пример готовой таблицы:

При наличии большого количества настроек OSPF в таблице воспользуйтесь кнопкой Фильтры.

Настройка MikroTik

1. Авторизуйтесь на MikroTik и выполните команду:

routing ospf area add area-id=х.х.х.х default-cost=1 disabled=no inject-summary-lsa=no name=area1 type=default

х.х.х.х - название зоны, которое указали при настройке Ideco NGFW. ID должен быть уникален для каждого роутера;

2. Для передачи любых других сетей соседним устройствам по динамической маршрутизации введите команду:

routing ospf network add network=(другая подсеть)/24 area=area1

3. Повторите команду из п. 1 для добавления каждой подсети;

4. Для вывода таблицы маршрутизации введите команду:

ip route print

Настройка Cisco

1. Настройте локальный интерфейс Cisco:

enable
conf t
interface GigabitEthernet0/1
ip address <локальный IP Cisco> <маска подсети>
no shutdown
exit

2. Настройте внешний интерфейс Cisco:

enable
conf t
interface GigabitEthernet0/0
ip address <внешний IP Cisco> <маска подсети>
no shutdown
exit

3. Проверьте наличие связи между Ideco NGFW и Cisco. Для этого в консоли Cisco используйте команду ping <внешний IP NGFW>. Результат вывода команды - наличие ICMP-ответов.

4. Сохраните настройки конфигурации:

write memory

5. Запустите на Cisco процесс OSPF:

enable
conf t
router ospf 1

6. По умолчанию отключите отправку hello-пакетов на всех интерфейсах и включите на нужных интерфейсах:

passive-interface default
no passive-interface GigabitEthernet0/0

GigabitEthernet0/0 - название интерфейса.

7. Укажите сети, маршруты до которых хотите анонсировать:

network <IP-адрес подсети> <wildcart-маска подсети> area <номер зоны, указанный при настройке Ideco NGFW>

Пример команды:

network 192.168.100.0 0.0.255.255 area 0

8. Если Cisco получил уведомление вида *Dec 18 10:02:03.628: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.122.73 on GigabitEthernet0/0 from LOADING to FULL, Loading Done, соседские отношения установлены.

9. Для просмотра списка соседей воспользуйтесь командой show ip ospf neighbor:

10. Для вывода таблицы маршрутизации введите команду show ip route (в таблице должны появиться маршруты до сетей NGFW):

Дополнительное

На вкладке доступны к установке следующие флаги:

Redistribute default - будут анонсироваться маршруты по умолчанию. Устройство, принявшее эту информацию, будет отправлять на NGFW весь трафик;
Redistribute static - будут анонсироваться статические маршруты, указанные на вкладке Сервисы -> Маршрутизация -> Локальных сетей;
Redistribute connected - будут анонсироваться маршруты подсетей, подключенных напрямую, в том числе и Loopback-интерфейсов. Если настройку отключить, сети Loopback-интерфейсов будут анонсироваться при добавлении в конфигурацию OSPF Loopback-интерфейса.

Подробнее о значении поля Метрика - в статье.

Для передачи маршрутов до VPN-сети через OSPF необходимо в разделе OSPF -> Дополнительные включить чек-бокс Redistribute static (передача статических маршрутов).

Примеры использования

1. Объединение филиальной сети с резервированием и/или балансировкой

Между NGFW-1 в Филиале 1 и NGFW-2 в Филиале 2 настраивается GRE-over-IPsec и OSPF;
Каждый NGFW подключен к двум провайдерам (Провайдер-1 и Провайдер-2).

Преимущества настройки:

Трафик будет автоматически балансироваться между Провайдером-1 и Провайдером-2;
При неисправности одного из провайдеров трафик автоматически смаршрутизируется через другое соединение;
Отсутствует необходимость вручную настраивать маршруты до локальных сетей филиалов.

2. Схема с балансировкой доступа из локальной сети в интернет или другую сеть

И NGFW-1, и NGFW-2 используются в качестве шлюза по умолчанию;
Между балансировщиком и каждым из NGFW настроена OSPF.

Преимущества настройки:

Трафик балансируется между NGFW-1 и NGFW-2: часть пользователей из Локальной сети выходят в интернет через NGFW-1, часть - через NGFW-2;
При неисправности одного из NGFW трафик автоматически смаршрутизируется через другое соединение;
Отсутствует необходимость вручную настраивать маршруты для хостов в Локальной сети.

PreviousBGP NextIGMP Proxy

Last updated 4 days ago

Was this helpful?