Juniper SRX OSPF設定
Juniper SRX OSPF設定
在大型網路中,VPN成員間相互之溝通困難與複雜,特別是當內部網段繁多的時候,此時採用OSPF路由方法設定VPN,可減少維護成本及設定之困難度,以及防火牆資源之佔用。
本設定使用OSPF設定,讓與遠端能與本地端溝通,可用於跟他廠牌router做vpn連結,而不同廠牌間之埠MTU預設值會不同,要設定一致才能互相溝通。
SSG tunnel.1埠預設MTU=1500,SRX st0.0埠預設MTU=9192,故本例在ST0.0埠設定MTU=1500才能與SSG設備溝通。
定義OSPF rid
(config-router)# router-id < net>
每個router的rid需唯一
(config-router)# router-id < net>
每個router的rid需唯一
參與 OSPF 的 Router 都會有一個名字,稱為 Router ID,Router ID 會依以下順序來取其名:
根據 Router-id 指令來設定
如沒有設
Router-id,則使用 Loopback Interface 裡面最大的 IP Address 來做 Router ID
如沒有設 Loopback
Interface,使用參與 OSPF 的 其他
Interface 裡面最大的 IP Address 來做
Router ID
OSPF
Neighbor 的三大元素:
- Router 透過 Multicast 搜尋 Neighbor
- DR/BDR 的選擇條件 (先比 Prioriy,再比 Router ID)
- Timer 值 (Hello Interval 與 Dead Interval),預設為 10/40 秒
成為 Neighbor 的條件
要成為
Neighbor,兩個 Router 的 Interface 的 OSPF 參數必需相同,這些參數包括:
Area ID
如果我的
Interface 在 Area 0 您的 Interface
在 Area 10,當然就不能成為 Neighbor 了,所以 Area ID 必需相同。
Area Type
OSPF 的 Area 分為幾個種類,分別是:Backbone Area (Area 0)、Standard Area,Stub Area,Totally Stubby Area、Not-so-stubby Area 和 Totally Not-so-stubby Area,不要被他們嚇倒,在稍後的章節會再加以說明,現階段只要知道 Area Type 必需相同便可以。
Prefix 與 Subnet Mask
Interface
的 IP Address 中,Prefix 與 Subnet Mask 必需相同,簡單說,Interface
必需處於同一個網段中才能成為 Neighbor。
Interval Timer
剛才都有提及過,Hello
Interval 與 Dead Interval 必需相同。
Hello Interval在廣播網路預設是10秒,在非廣播網路預設是30秒。
Dead Interval預設是hello的4倍。
OSPF 預設的 Hello Interval 是 10 秒,即是說 OSPF 會每 10
秒鐘向 Neighbor 傳送 Hello Message,對方接收到後會回應,但如果經過 Dead Interval 40 秒也收不到對方回覆,就判斷對方出了問題下線了。所以在成為 Neighbor 之後,Dead Time 由 40 秒開始倒數,通常數到 30 秒,就會因為收到 Hello Message 而重設為 40 秒,但是如果倒數到 0 秒也收不到 Hello,就判斷對方死了。
在效能較低的網絡,就要改成
Hello Interval 30 秒,Dead Interval 120 秒的設定提供較大的容忍度。
Authentication
基於保安理由,OSPF 可以設定密碼認證,只有密碼相同才能通過認證成為 Neighbor。OSPF 支緩明碼和
MD5加密密碼兩種認證方式。
要設定明碼,先在兩隻
Router 的 OSPF 設定以下指令:
R1(config)# router
ospf 1
R1(config-router)# network 192.168.12.0 0.0.0.255 area 10
R1(config-router)# area 10 authentication
R1(config-router)# network 192.168.12.0 0.0.0.255 area 10
R1(config-router)# area 10 authentication
然後在兩隻 Router 的 Interface 設定密碼:
R1(config)#
interface Ethernet0/0
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication-key MyPassword
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication-key MyPassword
要設定 MD5 密碼,先在兩隻 Router 的 OSPF 設定以下指令:
R1(config)# router
ospf 1
R1(config-router)# network 192.168.12.0 0.0.0.255 area 10
R1(config-router)# area 10 authentication message-digest
R1(config-router)# network 192.168.12.0 0.0.0.255 area 10
R1(config-router)# area 10 authentication message-digest
然後在兩隻 Router 的 Interface 設定密碼:
R1(config)#
interface Ethernet0/0
R1(config-router)# ip ospf message-digest-key 10 md5 MyPassword
R1(config-router)# ip ospf message-digest-key 10 md5 MyPassword
Router 們成為 Neighbor 其實中間經過多個 State (狀態),對!背誦如流的話對 Troubleshoot 很有幫助,各個狀態解釋如下:
Down
沒有發放 Hello
Message。
Init
剛剛向對方發放 Hello
Message
2-Way
他們開始溝通了!在這時,他們會選出 DR 和 BDR,什麼是 DR 和 BDR 呢?一會在說明。如未能成為 DR 和 BDR,則成為 DROTHER,DROTHER
會停在 2-Way,此時兩隻 Router 已成為 Neighbor。
ExStart
預備交換 Link 資訊。
Exchange
他們正在交換 DBD
(Database Descriptors),您可以把 DBD 看成是 Link 資訊的一些目錄,先給目錄對方讓方回覆那些 LSA (Link State
Advertisements) 是他需要的。(大部分為MTU匹配問題)
Loading
正在交換 LSA。
Full
終於完成了!兩隻
Router 成為 Adjacency,在這時,同一個
Area 的 Router 裡面的 Topology
Table 應該是完全相同的。
root@srx210> show ospf
neighbor
Address
Intf State ID Pri Dead
192.168.254.225 fxp3.0 2Way 10.250.240.32 128
36
192.168.254.230 fxp3.0
Exchange 10.250.240.8 128
38
192.168.254.229 fxp3.0 Full 10.250.240.35 128
33
10.1.1.129
fxp2.0 Full 10.250.240.12 128
37
10.1.1.131
fxp2.0 Full 10.250.240.11 128
38
要重新啟動特定的路由式通訊協定(如 OSPF),您可以在配置模式中禁用該協議,然後重新啟動它。當只有一個協議存在問題時,這種方法比重新啟動 JUNOS 的整個路由幕後程式更為可取,後者會影響到所有路由協議。
deactivate
protocols (ospf | ospf3) 禁用OSPF
activate
protocols (ospf | ospf3) 啟用OSPF
restart
routing 重啟JUNOS系統路由幕後程式
Passive
interface:設為此型態的interface不能傳送hello封包,故show ospf neighbor會看不到資訊,但是設為passive interface的port,本身的網段還是可以透過其他interface 發散出去。
設定方式:set protocols ospf area 0.0.0.1 interface ge-0/2/0 passive
設定方式:set protocols ospf area 0.0.0.1 interface ge-0/2/0 passive
----------------------------------------------------------------------------
SRX ospf 設定命令
root@SRX# set protocols ospf area
0.0.0.0 interface ge-0/0/0.0
root@SRX# set protocols ospf area
0.0.0.0 interface ge-0/0/1.0
root@SRX# set protocols ospf area
0.0.0.0 interface all
root@SRX# set protocols ospf area
0.0.0.0 interface ge-0/0/2 disable
root@SRX# set protocols ospf area
0.0.0.0 interface ge-0/0/1 passive
root@SRX# set protocols ospf area
0.0.0.0 interface fe-0/0/1 metric 10
root@SRX# set protocols ospf area
0.0.0.0 interface ge-0/0/0 priority 255
root@SRX# set interface fe-0/0/1 unit 0
bandwidth 10m
root@SRX# set protocols ospf
reference-bandwidth 1G
root@SRX# set routing-options router-id 1.1.1.1
root@SRX# set protocols ospf area
0.0.0.0 interface st0.0 hello-interval 10
root@SRX# set protocols ospf area
0.0.0.0 interface st0.0 dead-interval 40
root@SRX# set protocols ospf area
0.0.0.0 interface ge-0/0/0 authentication md5 1 key juniper
root@SRX# set protocols ospf area
0.0.0.0 interface st0.1 interface-type p2mp
root@SRX# set protocols ospf area
0.0.0.0 interface st0.1 dynamic-neighbors
root@SRX# set protocols ospf area
0.0.0.0 interface st0.1 neighbor 1.1.100.2
show routeing-options
delete routeing-options
SRX ospf 檢查命令
root@srx210> show ospf interface
root@srx210> show ospf neighbor
root@srx210> show ospf route
root@srx210> show ospf interface st0.0 detail
root@srx210> show ospf database detail
root@srx210> show ospf interface detail
root@srx210> show ospf overview
root@srx210> show route
root@srx210> show protocols
(ospf | ospf3)
root@srx210> deactivate protocols (ospf | ospf3)
root@srx210> activate protocols (ospf | ospf3)
---------------SRX OSPF設定範例-----------------------------------------------------------
根據vpn-route_based- multi_lan_to_multi_lan - ospf - SRX - 4_router_of_router_d - ok - lan_10_11_12--good.conf
--------設定三個網段及WAN之介面IP
set interfaces fe-0/0/0 unit 0 family inet
address 192.168.188.13/24
set interfaces fe-0/0/6 unit 0 family inet
address 192.168.11.1/24
set interfaces fe-0/0/7 unit 0 family inet
address 192.168.12.1/24
set interfaces vlan unit 0 family inet
address 192.168.10.1/24
set interfaces st0 unit 0 family inet
address 1.1.100.4/24 ##設定st0.0之介面IP
set interfaces st0 unit 0 family inet mtu
1500 ##設定st0.0之MTU=1500,如此才能與ssg5設備之tunnel.1溝通
--------OSPF
nieghbor設定-動態(本例採用)
set protocols ospf area
0.0.0.0 interface st0.0 interface-type p2mp ##設定介面模式point
to multi-points
set protocols ospf area
0.0.0.0 interface st0.0 dynamic-neighbors ##設定使用動態鄰居
set protocols ospf area
0.0.0.0 interface st0.0 hello-interval 10 ##此為預設值
set protocols ospf area
0.0.0.0 interface st0.0 dead-interval 40
--------OSPF
nieghbor設定-靜態示範
set protocols ospf area
0.0.0.0 interface st0.0 interface-type p2mp
set protocols ospf area
0.0.0.0 interface st0.0 neighbor 1.1.100.1 ##設定使用靜態鄰居
set protocols ospf area
0.0.0.0 interface st0.0 neighbor 1.1.100.2
set protocols ospf area
0.0.0.0 interface st0.0 neighbor 1.1.100.3
set protocols ospf area
0.0.0.0 interface st0.0 hello-interval 10
set protocols ospf area
0.0.0.0 interface st0.0 dead-interval 40
--------OSPF
nieghbor設定 end
set protocols ospf area
0.0.0.0 interface st0.0 priority 10
set protocols ospf area
0.0.0.0 interface st0.0 metric 1
set protocols ospf area
0.0.0.0 interface ge-0/0/6.0 passive ##設定為被動模式
set protocols ospf area
0.0.0.0 interface ge-0/0/6.0 priority 10
set protocols ospf area
0.0.0.0 interface ge-0/0/6.0 metric 1
set protocols ospf area
0.0.0.0 interface ge-0/0/7.0 passive
set protocols ospf area
0.0.0.0 interface ge-0/0/7.0 priority 10
set protocols ospf area
0.0.0.0 interface ge-0/0/7.0 metric 1
set protocols ospf area
0.0.0.0 interface vlan.0 passive
set protocols ospf area
0.0.0.0 interface vlan.0 priority 10
set protocols ospf area
0.0.0.0 interface vlan.0 metric 1
set security zones security-zone VPN
interfaces st0.0 host-inbound-traffic protocols ospf ##設定st0.0開放ospf協定
--------------- SRX OSPF設定範例-----------------------------------------------------------end
--------------- SRX OSPF設定範例2------------------------------
Site-A
set interfaces ge-0/0/1 unit 0 family inet
address 1.1.1.1/30
set interfaces ge-0/0/3 unit 0 family inet
address 50.50.50.1/24
set interfaces st0 unit 0 multipoint
set interfaces st0 unit 0 family inet
address 10.10.10.1/24
set protocols ospf area
0.0.0.0 interface st0.0 interface-type p2mp
set protocols ospf area
0.0.0.0 interface st0.1 dynamic-neighbors
set protocols ospf area
0.0.0.0 interface ge-0/0/3.0
set routing-options static route 2.2.2.0/30
next-hop 1.1.1.2
set routing-options static route 3.3.3.0/30
next-hop 1.1.1.2
set security zones security-zone VPN
interfaces st0.0 host-inbound-traffic protocols ospf
Site-B
set protocols ospf area
0.0.0.0 interface st0.0
set protocols ospf area
0.0.0.0 interface ge-0/0/1.0 passive
set security zones security-zone VPN
interfaces st0.0 host-inbound-traffic protocols ospf
--------------- SRX OSPF設定範例2------------------------------END
------檢查OSPF設定-----------------------------------------------------------------------
root@srx210> show ospf interface
Intf
State Area DR ID BDR ID Nbrs
at-5/1/0.0 PtToPt
0.0.0.0 0.0.0.0 0.0.0.0 1
ge-2/3/0.0 DR 0.0.0.0 192.168.4.16 192.168.4.15 1
lo0.0 DR 0.0.0.0 192.168.4.16 0.0.0.0 0
so-0/0/0.0 Down 0.0.0.0 0.0.0.0 0.0.0.0 0
so-6/0/1.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1
so-6/0/2.0 Down 0.0.0.0 0.0.0.0 0.0.0.0 0
so-6/0/3.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1
root@srx210> show ospf neighbor
Address
Intf State ID Pri Dead
192.168.254.225 fxp3.0 2Way 10.250.240.32 128
36
192.168.254.230 fxp3.0 Full 10.250.240.8 128
38
192.168.254.229 fxp3.0 Full 10.250.240.35 128
33
10.1.1.129 fxp2.0 Full 10.250.240.12 128
37
10.1.1.131 fxp2.0 Full 10.250.240.11 128
38
10.1.2.1 fxp1.0 Full 10.250.240.9 128
32
10.1.2.81 fxp0.0 Full 10.250.240.10 128
33
root@srx210> show ospf route
Prefix Path Route NH Metric
NextHop Nexthop
Type Type
Type Interface addr/label
10.10.10.1/24 Intra Network
IP 1 ge-0/0/2.0 10.0.21.1
10.10.10.2/24 Intra Network
IP 1 ge-0/0/2.0 10.0.21.1
10.10.10.4/24 Intra Network
IP 1 ge-0/0/1.0 10.0.13.1
10.10.10.5/24 Intra Network
IP 1 ge-0/0/2.0 10.0.21.1
root@srx210> show ospf interface st0.0 detail
Interface State Area DR
ID BDR ID Nbrs
st0.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 3
Type: P2MP, Address: 1.1.100.1, Mask: 255.255.255.0, MTU: 9192, Cost: 1
Adj
count: 1
Hello: 10, Dead: 40, ReXmit: 5, Not Stub
Auth type: None
Protection type: None
Topology default (ID 0) -> Cost: 1
root@srx210> show ospf database detail
OSPF database, Area 0.0.0.0
Type
ID Adv Rtr Seq Age
Opt Cksum Len
Router
*1.1.100.1 1.1.100.1 0x80000007 1607
0x22 0x809e 72
bits 0x0, link count 4
id
192.168.3.0, data 255.255.255.0, Type Stub (3)
Topology count: 0, Default metric: 1
id
1.1.100.1, data 255.255.255.255, Type Stub (3)
Topology count: 0, Default metric: 0
id
1.1.100.2, data 1.1.100.1, Type PointToPoint (1)
Topology
count: 0, Default metric: 1
id
192.168.1.0, data 255.255.255.0, Type Stub (3)
Topology count: 0, Default metric: 1
Topology default (ID 0)
Type: PointToPoint, Node ID: 1.1.100.2
Metric: 1, Bidirectional
Router
1.1.100.2 1.1.100.2 0x80000006 1608
0x22 0x9efa 60
bits 0x0, link count 3
id
1.1.100.2, data 255.255.255.255, Type Stub (3)
Topology count: 0, Default metric: 0
id
1.1.100.1, data 1.1.100.2, Type PointToPoint (1)
Topology count: 0, Default metric: 1
id
192.168.2.0, data 255.255.255.0, Type Stub (3)
Topology count: 0, Default metric: 1
Topology default (ID 0)
Type: PointToPoint, Node ID: 1.1.100.1
Metric: 1, Bidirectional
root@srx210> show ospf overview
Instance: master
Router ID: 1.1.100.1
Route table index: 0
LSA
refresh time: 50 minutes
Area: 0.0.0.0
Stub type: Not Stub
Authentication Type: None
Area border routers: 0, AS boundary routers: 0
Neighbors
Up (in full state): 1
Topology: default (ID 0)
Prefix export count: 0
Full SPF runs: 5
SPF delay: 0.200000 sec, SPF holddown: 5 sec, SPF rapid runs: 3
Backup SPF: Not Needed
------------------------------------------------------------------------
