Juniper SSG5 OSPF設定

Juniper SSG5 OSPF設定

在大型網路中，vpn設定採用OSPF方法，可減少維護成本及設定之困難度，以及防火牆資源之佔用。

本設定使用OSPF設定，讓與遠端能與本地端溝通，可用於跟他廠牌router做vpn連結，而不同廠牌間之埠MTU預設值會不同，要設定一致才能互相溝通。

SSG tunnel.1埠預設MTU=1500，SRX ST0.0埠預設MTU=9192，故本例在ST0.0埠設定MTU=1500才能與SSG設備溝通。

成為 Neighbor 的條件

要成為 Neighbor，兩個 Router 的 Interface 的 OSPF 參數必需相同，這些參數包括：

Area ID

如果我的 Interface 在 Area 0 您的 Interface 在 Area 10，當然就不能成為 Neighbor 了，所以 Area ID 必需相同。

Area Type

OSPF 的 Area 分為幾個種類，分別是：Backbone Area (Area 0)、Standard Area，Stub Area，Totally Stubby Area、Not-so-stubby Area 和 Totally Not-so-stubby Area，不要被他們嚇倒，在稍後的章節會再加以說明，現階段只要知道 Area Type 必需相同便可以。

Prefix 與 Subnet Mask

Interface 的 IP Address 中，Prefix 與 Subnet Mask 必需相同，簡單說，Interface 必需處於同一個網段中才能成為 Neighbor。

Interval Timer

剛才都有提及過，Hello Interval 與 Dead Interval 必需相同。

Authentication

基於保安理由，OSPF 可以設定密碼認證，只有密碼相同才能通過認證成為 Neighbor。OSPF 支緩明碼和 MD5加密密碼兩種認證方式。

Router 們成為 Neighbor 其實中間經過多個 State (狀態)，對！背誦如流的話對 Troubleshoot 很有幫助，各個狀態解釋如下：

Down

沒有發放 Hello Message。

Init

剛剛向對方發放 Hello Message

2-Way

他們開始溝通了！在這時，他們會選出 DR 和 BDR，什麼是 DR 和 BDR 呢？一會在說明。如未能成為 DR 和 BDR，則成為 DROTHER，DROTHER 會停在 2-Way，此時兩隻 Router 已成為 Neighbor。

ExStart

預備交換 Link 資訊。

Exchange

他們正在交換 DBD (Database Descriptors)，您可以把 DBD 看成是 Link 資訊的一些目錄，先給目錄對方讓方回覆那些 LSA (Link State Advertisements) 是他需要的。(大部分為MTU匹配問題)

Loading

正在交換 LSA。

Full

終於完成了！兩隻 Router 成為 Adjacency，在這時，同一個 Area 的 Router 裡面的 Topology Table 應該是完全相同的。

而觀察State的命令如下：

user@host> show ospf neighbor

 Address         Intf               State      ID              Pri  Dead

192.168.254.225  fxp3.0              2Way      10.250.240.32    128   36

192.168.254.230  fxp3.0              Exchange   10.250.240.8     128   38

192.168.254.229  fxp3.0              Full      10.250.240.35    128   33

10.1.1.129       fxp2.0              Full      10.250.240.12    128   37

10.1.1.131       fxp2.0              Full      10.250.240.11    128   38

提示 要重新啟動特定的路由式通訊協定（如 OSPF），您可以在配置模式中禁用該協議，然後重新啟動它。當只有一個協議存在問題時，這種方法比重新啟動 JUNOS 的整個路由幕後程式更為可取，後者會影響到所有路由協議。

----------------------------------------------------------------------------

Ssg5 ospf 檢查命令

Get vrouter trust-vr protocal ospf neighbor    

Get vrouter trust-vr protocal ospf config

Get vrouter trust-vr protocal ospf interface

Get vrouter trust-vr protocol ospf database detail

Get vrouter trust-vr protocol ospf area

Get vrouter trust-vr protocol ospf

Get interface tunnel.1

Ssg5 ospf 設定命令

set vrouter trust-vr protocol ospf enable

set interface tunnel.1 zone trust

set interface tunnel.1 nhtb 1.1.1.2 vpn site1-site2

set route 1.1.100.2 interface tunnel.1 getway 1.1.1.2

set interface tunnel.1 protocol ospf area 0.0.0.0

set interface tunnel.1 protocol ospf cost 1

set interface tunnel.1 protocol ospf dead-interval 40

set interface tunnel.1 protocol ospf hello-interval 10

set interface tunnel.1 protocol ospf priority 10

set interface tunnel.1 protocol ospf passive

set interface tunnel.1 protocol ospf enable

set interface tunnel.1 protocol ospf authentication

set interface tunnel.1 protocol ospf link-type p2mp

set interface bgroup0 protocol ospf passive

set interface ethernet0/5 protocol ospf passive

set interface ethernet0/6 protocol ospf passive

-------------------------------------------------------------------------

--------------- SSG OSPF設定範例-----------------------------------------------------------

參考vpn-route_based- multi_lan_to_multi_lan - ospf - SSG - 4_router_of_router_b -  ok - lan_2_4_6--good.txt

相關介面設定

set interface ethernet0/0 ip 192.168.188.11/24

set interface ethernet0/0 route

set interface ethernet0/5 ip 192.168.4.1/24

set interface ethernet0/5 nat

set interface ethernet0/6 ip 192.168.6.1/24

set interface ethernet0/6 nat

set interface bgroup0 ip 192.168.2.1/24

set interface bgroup0 nat

set interface tunnel.1 ip 1.1.100.2/24

在相關介面上啟用OSPF及設定參數

set interface bgroup0 protocol ospf area 0.0.0.0

set interface bgroup0 protocol ospf passive

set interface bgroup0 protocol ospf enable

set interface bgroup0 protocol ospf priority 10

set interface bgroup0 protocol ospf cost 1

set interface ethernet0/5 protocol ospf area 0.0.0.0

set interface ethernet0/5 protocol ospf passive

set interface ethernet0/5 protocol ospf enable

set interface ethernet0/5 protocol ospf priority 10

set interface ethernet0/5 protocol ospf cost 1

set interface ethernet0/6 protocol ospf area 0.0.0.0

set interface ethernet0/6 protocol ospf passive

set interface ethernet0/6 protocol ospf enable

set interface ethernet0/6 protocol ospf priority 10

set interface ethernet0/6 protocol ospf cost 1

set interface tunnel.1 protocol ospf area 0.0.0.0

set interface tunnel.1 protocol ospf link-type p2mp

set interface tunnel.1 protocol ospf enable

set interface tunnel.1 protocol ospf dead-interval 40

set interface tunnel.1 protocol ospf hello-interval 10

set interface tunnel.1 protocol ospf priority 10

set interface tunnel.1 protocol ospf cost 1

--------------- SSG OSPF設定範例-----------------------------------------------------------end