Сегодня хочу выложить топологию лабы, на которой я обкатывал протоколы маршрутизации. Я кропотливо перерисовывал её с двух-трех рукописных листочков. Возможно, в следующий раз, я затрону вопросы настройки и построения. А сейчас, перейдем к делу.
Решил разбирать топологию постепенно, а в конце приведу результативную топологию. К тому же итоговая картинка явна перегружена деталями. Рисовать руками такую топологию довольно бессмысленно, поэтому накидал в draw.io. Получилась такая картинка в стиле старой цисковской документации. Результирующся топология будет в хорошем качестве, а вот все предшествующие чисто для ознакомления. Линковые адреса указывать не буду, можно выбрать их самим. Я использовал подсеть 10.90.90.0/24 и делил её на /30 подсети, но можно взят любую другу, конечно же.
BGP
BGP в лабе представлен четырьмя автономными системами (AS). Мы, как оператор, владеем AS64500 (снизу схемы) и префиксом 100.0.0.0/23 вместе с ней. Другие AS (64501,64502,64503) представляют из себя некие узлы в глобальной сети. Их префиксы отмечены на диаграмме. AS64501 и AS64502 дают нам два адреса из своей сети для пиринга. А AS64503 дает свои адреса двум AS ниже (64501 и 64502). Со стороны нашей AS есть 4 роутера, которые соединены в full-mesh. Два из этих роутера соединяются с глобальной сетью, именно поэтому они должны быть iBGP соседями. Для нормальной работы сети так же нужно добавить соседство ещё с нижней парой устройств, образовав так называемый iBGP Full Mesh.
EIGRP
Я люблю EIGRP, хоть это и не модно. Возможно, даже не принято. Он простой и быстрый, хотя не лишен недостатков. В лабе этот протокол представлен всего тремя роутерами. Между парой из них настроена авторизация. Автосуммирование выключено. Со стороны роутера E2 настроена редистрибуция внешних маршрутов. В нашем случае это три подсети 172.16.30.0/24, 172.16.31.0/24 и 172.16.32.0/24. Каждый роутер в EIGRP домене имеет имя хоста EX, где X - порядковый номер. Соответственно этому номеру каждый роутер имеет loopback с адресом 10.0.30.Х/32. Например, E3 имеет loopback с адресом 10.0.30.3/32. Аналогично каждый роутер имеет пачку подсетей, которая определяется схожим образом. Скажем, E1 имеет подсети 10.31.0.0/24, 10.31.1.0/25, 10.31.2.0/26, 10.31.3.0/27, 10.31.4.0/28, 10.31.5.0/29, 10.31.6.0/30. Это отражено слева-внизу на рисунке. Для экономии места надпись получилась не очень очевидной, но разобраться можно. Роутер E1 является неким пограничным устройством, который соединяет EIGRP домен с IS-IS. На нем настроена редистрибуция, причем из IS-IS в EIGRP попадает только маршрут по умолчанию.
Можно пофильтровать маршруты, настроить автосуммирование на каждом роутере и во внешнюю среду, поиграться с метрикой.
OSPF
OSPF довольно сложный и популярный протокол, поэтому на схеме он представлен внушительным количество устройств. В лабе 5 OSPF зон:
- backbone area 0
- area1
- area2 tottaly stub
- area3 not-so-stabby-area
- area4 stub
Между роутером O2 и O1 настроена авторизация. Со стороны O7 редистрибутируются внешние маршруты с типом метрики E2. Как видно? четвертая зона не имеет точки подключения с нулевой зоной, в OSPF это недопустимо, так что придется делать virtual-link через первую зону. Как и в EIGRP домене, каждый роутер имеет loopback и пачку префиксов, которые анонсирует. Информация о них указана на картинке в правой-нижней части. O1 является ASBR и соединяет IS-IS с OSPF. На нем настроена редистрибуция. O1 получает маршрут по умолчанию из внешней среды и анонсирует свой адрес в качестве маршрута по умолчанию в OSPF домен.
Здесь можно поиграться с суммированием на границах зон, поменять логику выбора DR между O1, O2, O3 и O4, пофильтровать те или иные маршруты.
IS-IS
Мощь IS-IS сложно переоценить. Именно по этому ядро лабораторной работает на нем. В топологии представлено три зоны (условно верхняя, левая и правая) и три уровня. В ядре сети находятся только L2 роутеры, которые маршрутизируют только суммарную информацию. На границе уровней стоят два роутера уровня L1/L2. Они суммируют маршрутную информацию для передачи вверх в ядро и являются маршрутом по умолчанию для L1 маршрутизаторов, расположенных в глубине сети. Как и в двух других доменах, со стороны I3 заходят внешние маршруты, которые редистрибуцируются в IS-IS.
Можно настроить суммаризацию, поменять настройки фильтрации маршрутов и многое другое.
MPLS
В этой лабе совсем слегка затронута тема MPLS L3VPN. Два коммутатора в ядре являются ещё и агрегаторами VPN подключений. Для того чтобы организовать нормальную работу VPN, нам придется запустить MPLS внутри ядра и настроить iBGP пиринг между двумя коммутаторами. В нашем случае, это не что иное, как PE роутеры. Замоделированно два юрлица и два сервиса для них. Первый L3VPN соединяет Corp1_1 с Corp1_2. Клиент подключается по OSPF, его сети отображены на схеме. Второй клиент подключается через IS-IS с одной стороны и тупо статическим маршрутом с другой.
FHRP+NAT
В лабе смоделирована связка HSRP + NAT. У коммутаторов ядра есть маршрут по умолчанию на HSRP адрес, который делят между собой два пограничный маршрутизатора. Они же натят всю внутреннюю сеть и синхронизируют таблицу трансляций между собой. Нужно это для ситуации, когда через один маршрутизатор прошла трансляция NAT во внешний мир, а ответ от сервера пришел на второй роутер. Если у последнего не будет данных о трансляциях, то такой пакет будет отброшен. Как видно на схемке, CoreEdge1 и CoreEdge2 анонсируют свои адреса в качестве маршрута по умолчанию во все нижние домены (IS-IS, EIGRP и OSPF).
Топология целиком
Это, по сути, компиляция всех картинок выше. Быстренько пробежимся по основным моментам. В ядре у нас два коммутатора, которые паралельно выполняют функцию PE роутеров для VPN клиентов. Два этих маршрутизатора находятся в одной зоне с двумя пограничными роутерами, которые по BGP подключены во внешний мир. Основная функция этих устройств в NATe внутренней сети и обеспечении доступа во внешнюю сеть. Для отказоустойчивости между ними настроен HSRP. BGP сеть ничего особого из себя не представляет. Помимо своей автономной системы нужно настроить ещё три.
EIGRP домен получает маршрут по умолчанию от IS-IS ядра редистрибуцируя обратно свои сети и внешние маршруты.
Примерно то же самое происходит в IS-IS части сети, которая разбита на уровни. Никакой редистрибуции между ядром здесь нет, тут всего лишь стандартное IS-IS взаимодействие.
OSPF часть представлена довольно большим количеством устройств и имеет богатое дробление на зоны. Так же присутствуют и внешние маршруты.
Фактически, на этой сети можно обкатывать довольно большое количество сценариев, начиная от простого добавления префиксов в роутинг домен и заканчивая неким тюнингом BGP. Хотел ещё конфиги всех устройств приложить к посту, но, думаю, это лишнее. Во всяком случае, не в этот раз.
Комментариев нет:
Отправить комментарий