Juniper SRX OSPF設定



Juniper SRX OSPF設定

在大型網路中,VPN成員間相互之溝通困難與複雜,特別是當內部網段繁多的時候,此時採用OSPF路由方法設定VPN,可減少維護成本及設定之困難度,以及防火牆資源之佔用
本設定使用OSPF設定,讓與遠端能與本地端溝通,可用於跟他廠牌router做vpn連結,而不同廠牌間之埠MTU預設值會不同,要設定一致才能互相溝通
SSG tunnel.1埠預設MTU=1500,SRX st0.0埠預設MTU=9192,故本例在ST0.0埠設定MTU=1500才能與SSG設備溝通

定義OSPF rid
(config-router)# router-id < net>
每個routerrid需唯一 
參與 OSPF Router 都會有一個名字,稱為 Router IDRouter ID 會依以下順序來取其名:
根據 Router-id 指令來設定
如沒有設 Router-id,則使用 Loopback Interface 裡面最大的 IP Address 來做 Router ID
如沒有設 Loopback Interface,使用參與 OSPF 的 其他 Interface 裡面最大的 IP Address 來做 Router ID
OSPF Neighbor 的三大元素
  1. Router 透過 Multicast 搜尋 Neighbor
  2. DR/BDR 的選擇條件 (先比 Prioriy,再比 Router ID)
  3. Timer (Hello Interval Dead Interval),預設為 10/40

成為 Neighbor 的條件
要成為 Neighbor,兩個 Router Interface OSPF 參數必需相同,這些參數包括:
Area ID
如果我的 Interface Area 0 您的 Interface Area 10,當然就不能成為 Neighbor 了,所以 Area ID 必需相同。
Area Type
OSPF Area 分為幾個種類,分別是:Backbone Area (Area 0)Standard AreaStub AreaTotally Stubby AreaNot-so-stubby Area Totally Not-so-stubby Area,不要被他們嚇倒,在稍後的章節會再加以說明,現階段只要知道 Area Type 必需相同便可以。
Prefix Subnet Mask
Interface IP Address 中,Prefix Subnet Mask 必需相同,簡單說,Interface 必需處於同一個網段中才能成為 Neighbor
Interval Timer
剛才都有提及過,Hello Interval Dead Interval 必需相同。
Hello Interval在廣播網路預設是10,在非廣播網路預設是30秒。 
Dead Interval預設是hello4倍。
OSPF 預設的 Hello Interval 10 秒,即是說 OSPF 會每 10 秒鐘向 Neighbor 傳送 Hello Message,對方接收到後會回應,但如果經過 Dead Interval 40 秒也收不到對方回覆,就判斷對方出了問題下線了。所以在成為 Neighbor 之後,Dead Time 40 秒開始倒數,通常數到 30 秒,就會因為收到 Hello Message 而重設為 40 秒,但是如果倒數到 0 秒也收不到 Hello,就判斷對方死了。
在效能較低的網絡,就要改成 Hello Interval 30 秒,Dead Interval 120 秒的設定提供較大的容忍度。
Authentication
基於保安理由,OSPF 可以設定密碼認證,只有密碼相同才能通過認證成為 NeighborOSPF 支緩明碼和 MD5加密密碼兩種認證方式。
要設定明碼,先在兩隻 Router OSPF 設定以下指令:
R1(config)# router ospf 1
R1(config-router)# network 192.168.12.0 0.0.0.255 area 10
R1(config-router)# area 10 authentication 
然後在兩隻 Router Interface 設定密碼:
R1(config)# interface Ethernet0/0
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication-key MyPassword 
要設定 MD5 密碼,先在兩隻 Router OSPF 設定以下指令:
R1(config)# router ospf 1
R1(config-router)# network 192.168.12.0 0.0.0.255 area 10
R1(config-router)# area 10 authentication message-digest 
然後在兩隻 Router Interface 設定密碼:
R1(config)# interface Ethernet0/0
R1(config-router)# ip ospf message-digest-key 10 md5 MyPassword 

Router 們成為 Neighbor 其實中間經過多個 State (狀態),對!背誦如流的話對 Troubleshoot 很有幫助,各個狀態解釋如下:
Down
沒有發放 Hello Message
Init
剛剛向對方發放 Hello Message
2-Way
他們開始溝通了!在這時,他們會選出 DR BDR,什麼是 DR BDR 呢?一會在說明。如未能成為 DR BDR,則成為 DROTHERDROTHER 會停在 2-Way,此時兩隻 Router 已成為 Neighbor
ExStart
預備交換 Link 資訊。
Exchange
他們正在交換 DBD (Database Descriptors),您可以把 DBD 看成是 Link 資訊的一些目錄,先給目錄對方讓方回覆那些 LSA (Link State Advertisements) 是他需要的。(大部分為MTU匹配問題)
Loading
正在交換 LSA
Full
終於完成了!兩隻 Router 成為 Adjacency,在這時,同一個 Area Router 裡面的 Topology Table 應該是完全相同的。

root@srx210> show ospf neighbor
 Address         Intf               State      ID              Pri  Dead
192.168.254.225  fxp3.0              2Way      10.250.240.32    128   36
192.168.254.230  fxp3.0              Exchange   10.250.240.8     128   38
192.168.254.229  fxp3.0              Full      10.250.240.35    128   33
10.1.1.129       fxp2.0              Full      10.250.240.12    128   37
10.1.1.131       fxp2.0              Full      10.250.240.11    128   38


  要重新啟動特定的路由式通訊協定(如 OSPF),您可以在配置模式中禁用該協議,然後重新啟動它。當只有一個協議存在問題時,這種方法比重新啟動 JUNOS 的整個路由幕後程式更為可取,後者會影響到所有路由協議。
deactivate protocols (ospf | ospf3)   禁用OSPF
activate protocols (ospf | ospf3)   啟用OSPF
restart routing   重啟JUNOS系統路由幕後程式

Passive interface:設為此型態的interface不能傳送hello封包,故show ospf neighbor會看不到資訊,但是設為passive interfaceport,本身的網段還是可以透過其他interface 發散出去。
設定方式:set protocols ospf area 0.0.0.1 interface ge-0/2/0 passive


----------------------------------------------------------------------------
SRX ospf 設定命令
root@SRX# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
root@SRX# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
root@SRX# set protocols ospf area 0.0.0.0 interface all
root@SRX# set protocols ospf area 0.0.0.0 interface ge-0/0/2 disable
root@SRX# set protocols ospf area 0.0.0.0 interface ge-0/0/1 passive
root@SRX# set protocols ospf area 0.0.0.0 interface fe-0/0/1 metric 10
root@SRX# set protocols ospf area 0.0.0.0 interface ge-0/0/0 priority 255
root@SRX# set interface fe-0/0/1 unit 0 bandwidth 10m
root@SRX# set protocols ospf reference-bandwidth 1G
root@SRX# set routing-options router-id 1.1.1.1
root@SRX# set protocols ospf area 0.0.0.0 interface st0.0 hello-interval 10
root@SRX# set protocols ospf area 0.0.0.0 interface st0.0 dead-interval 40
root@SRX# set protocols ospf area 0.0.0.0 interface ge-0/0/0 authentication md5 1 key juniper
root@SRX# set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp
root@SRX# set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors
root@SRX# set protocols ospf area 0.0.0.0 interface st0.1 neighbor 1.1.100.2

show routeing-options
delete routeing-options

SRX ospf 檢查命令
root@srx210> show ospf interface
root@srx210> show ospf neighbor
root@srx210> show ospf route
root@srx210> show ospf interface st0.0 detail
root@srx210> show ospf database detail
root@srx210> show ospf interface detail
root@srx210> show ospf overview
root@srx210> show route
root@srx210> show protocols (ospf | ospf3)
root@srx210> deactivate protocols (ospf | ospf3)
root@srx210> activate protocols (ospf | ospf3)

---------------SRX OSPF設定範例-----------------------------------------------------------
根據vpn-route_based- multi_lan_to_multi_lan - ospf  - SRX - 4_router_of_router_d -  ok - lan_10_11_12--good.conf

--------設定三個網段及WAN之介面IP
set interfaces fe-0/0/0 unit 0 family inet address 192.168.188.13/24
set interfaces fe-0/0/6 unit 0 family inet address 192.168.11.1/24
set interfaces fe-0/0/7 unit 0 family inet address 192.168.12.1/24
set interfaces vlan unit 0 family inet address 192.168.10.1/24

set interfaces st0 unit 0 family inet address 1.1.100.4/24    ##設定st0.0之介面IP
set interfaces st0 unit 0 family inet mtu 1500    ##設定st0.0MTU=1500,如此才能與ssg5設備之tunnel.1溝通


--------OSPF nieghbor設定-動態(本例採用)
set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp  ##設定介面模式point to multi-points
set protocols ospf area 0.0.0.0 interface st0.0 dynamic-neighbors  ##設定使用動態鄰居
set protocols ospf area 0.0.0.0 interface st0.0 hello-interval 10  ##此為預設值
set protocols ospf area 0.0.0.0 interface st0.0 dead-interval 40
--------OSPF nieghbor設定-靜態示範
set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp
set protocols ospf area 0.0.0.0 interface st0.0 neighbor 1.1.100.1  ##設定使用靜態鄰居
set protocols ospf area 0.0.0.0 interface st0.0 neighbor 1.1.100.2
set protocols ospf area 0.0.0.0 interface st0.0 neighbor 1.1.100.3
set protocols ospf area 0.0.0.0 interface st0.0 hello-interval 10
set protocols ospf area 0.0.0.0 interface st0.0 dead-interval 40
--------OSPF nieghbor設定 end

set protocols ospf area 0.0.0.0 interface st0.0 priority 10
set protocols ospf area 0.0.0.0 interface st0.0 metric 1

set protocols ospf area 0.0.0.0 interface ge-0/0/6.0 passive  ##設定為被動模式
set protocols ospf area 0.0.0.0 interface ge-0/0/6.0 priority 10
set protocols ospf area 0.0.0.0 interface ge-0/0/6.0 metric 1
set protocols ospf area 0.0.0.0 interface ge-0/0/7.0 passive
set protocols ospf area 0.0.0.0 interface ge-0/0/7.0 priority 10
set protocols ospf area 0.0.0.0 interface ge-0/0/7.0 metric 1
set protocols ospf area 0.0.0.0 interface vlan.0 passive
set protocols ospf area 0.0.0.0 interface vlan.0 priority 10
set protocols ospf area 0.0.0.0 interface vlan.0 metric 1

set security zones security-zone VPN interfaces st0.0 host-inbound-traffic protocols ospf  ##設定st0.0開放ospf協定
--------------- SRX OSPF設定範例-----------------------------------------------------------end


--------------- SRX OSPF設定範例2------------------------------
Site-A
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/30
set interfaces ge-0/0/3 unit 0 family inet address 50.50.50.1/24
set interfaces st0 unit 0 multipoint
set interfaces st0 unit 0 family inet address 10.10.10.1/24
set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp
set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors
set protocols ospf area 0.0.0.0 interface ge-0/0/3.0
set routing-options static route 2.2.2.0/30 next-hop 1.1.1.2
set routing-options static route 3.3.3.0/30 next-hop 1.1.1.2
set security zones security-zone VPN interfaces st0.0 host-inbound-traffic protocols ospf

Site-B
set protocols ospf area 0.0.0.0 interface st0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 passive
set security zones security-zone VPN interfaces st0.0 host-inbound-traffic protocols ospf
--------------- SRX OSPF設定範例2------------------------------END


------檢查OSPF設定-----------------------------------------------------------------------
root@srx210> show ospf interface
Intf                State     Area            DR ID           BDR ID       Nbrs
at-5/1/0.0          PtToPt   0.0.0.0         0.0.0.0         0.0.0.0         1
ge-2/3/0.0          DR       0.0.0.0         192.168.4.16    192.168.4.15    1
lo0.0               DR       0.0.0.0         192.168.4.16    0.0.0.0         0
so-0/0/0.0          Down     0.0.0.0         0.0.0.0         0.0.0.0         0
so-6/0/1.0          PtToPt   0.0.0.0         0.0.0.0         0.0.0.0         1
so-6/0/2.0          Down     0.0.0.0         0.0.0.0         0.0.0.0         0
so-6/0/3.0          PtToPt   0.0.0.0         0.0.0.0         0.0.0.0         1

root@srx210> show ospf neighbor
 Address         Intf               State      ID              Pri  Dead
192.168.254.225  fxp3.0              2Way      10.250.240.32    128   36
192.168.254.230  fxp3.0              Full      10.250.240.8     128   38
192.168.254.229  fxp3.0              Full      10.250.240.35    128   33
10.1.1.129       fxp2.0              Full      10.250.240.12    128   37
10.1.1.131       fxp2.0              Full      10.250.240.11    128   38
10.1.2.1         fxp1.0              Full      10.250.240.9     128   32
10.1.2.81        fxp0.0              Full      10.250.240.10    128   33

root@srx210> show ospf route
Prefix               Path   Route       NH   Metric  NextHop       Nexthop
                     Type   Type        Type         Interface     addr/label
10.10.10.1/24        Intra  Network     IP   1       ge-0/0/2.0    10.0.21.1
10.10.10.2/24        Intra  Network     IP   1       ge-0/0/2.0    10.0.21.1
10.10.10.4/24        Intra  Network     IP   1       ge-0/0/1.0    10.0.13.1
10.10.10.5/24        Intra  Network     IP   1       ge-0/0/2.0    10.0.21.1
root@srx210> show ospf interface st0.0 detail
Interface           State   Area            DR ID           BDR ID          Nbrs
st0.0               PtToPt  0.0.0.0         0.0.0.0         0.0.0.0            3
  Type: P2MP, Address: 1.1.100.1, Mask: 255.255.255.0, MTU: 9192, Cost: 1
  Adj count: 1
  Hello: 10, Dead: 40, ReXmit: 5, Not Stub
  Auth type: None
  Protection type: None
  Topology default (ID 0) -> Cost: 1

root@srx210> show ospf database detail
    OSPF database, Area 0.0.0.0
 Type       ID               Adv Rtr           Seq      Age  Opt  Cksum  Len
Router  *1.1.100.1        1.1.100.1        0x80000007  1607  0x22 0x809e  72
  bits 0x0, link count 4
  id 192.168.3.0, data 255.255.255.0, Type Stub (3)
    Topology count: 0, Default metric: 1
  id 1.1.100.1, data 255.255.255.255, Type Stub (3)
    Topology count: 0, Default metric: 0
  id 1.1.100.2, data 1.1.100.1, Type PointToPoint (1)
    Topology count: 0, Default metric: 1
  id 192.168.1.0, data 255.255.255.0, Type Stub (3)
    Topology count: 0, Default metric: 1
  Topology default (ID 0)
    Type: PointToPoint, Node ID: 1.1.100.2
      Metric: 1, Bidirectional
Router   1.1.100.2        1.1.100.2        0x80000006  1608  0x22 0x9efa  60
  bits 0x0, link count 3
  id 1.1.100.2, data 255.255.255.255, Type Stub (3)
    Topology count: 0, Default metric: 0
  id 1.1.100.1, data 1.1.100.2, Type PointToPoint (1)
    Topology count: 0, Default metric: 1
  id 192.168.2.0, data 255.255.255.0, Type Stub (3)
    Topology count: 0, Default metric: 1
  Topology default (ID 0)
    Type: PointToPoint, Node ID: 1.1.100.1
      Metric: 1, Bidirectional
root@srx210> show ospf overview
Instance: master
  Router ID: 1.1.100.1
  Route table index: 0
  LSA refresh time: 50 minutes
  Area: 0.0.0.0
    Stub type: Not Stub
    Authentication Type: None
    Area border routers: 0, AS boundary routers: 0
    Neighbors
      Up (in full state): 1
  Topology: default (ID 0)
    Prefix export count: 0
    Full SPF runs: 5
    SPF delay: 0.200000 sec, SPF holddown: 5 sec, SPF rapid runs: 3
    Backup SPF: Not Needed
------------------------------------------------------------------------

這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁