Динамическая маршрутизация

Динамическая маршрутизация – это вид маршрутизации, в котором отличительной особенностью является автоматический выбор оптимального маршрута при прохождении трафика между поддерживающими динамическую маршрутизацию сетевыми устройствами.

ARMA FW поддерживает динамическую маршрутизацию по протоколам RIP v.1 и v.2, OSPF, BGP.

RIP

Данный протокол применяется в небольших компьютерных сетях и позволяет маршрутизаторам динамически обновлять маршрутную информацию, получая её от соседних маршрутизаторов.

Настройка динамической маршрутизации RIP

В качестве примера приведена настройка динамической маршрутизации на трёх ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки динамической маршрутизации).

../../../_images/fw.rp.11.1.1.1.png

Рисунок – Схема стенда для настройки динамической маршрутизации

Перечень интерфейсов со значениями IP-адресов для каждого ARMA FW приведён в таблице (см. Таблица «Перечень интерфейсов»).

Таблица «Перечень интерфейсов»

Интерфейс

ARMA FW1

ARMA FW2

ARMA FW3

NET1

192.168.1.1/24

NET2

192.168.2.2/24

NET3

192.168.3.1/24

192.168.3.3/24

NET4

192.168.4.1/24

192.168.4.2/24

NET5

192.168.5.2/24

192.168.5.3/24

На каждом ARMA FW предварительно необходимо создать разрешающее правило МЭ (см. Создание правил межсетевого экранирования) на интерфейсах [NETx], где «x» – порядковый номер интерфейса, с параметрами, указанными в таблице (см. Таблица «Значения параметров правила для интерфейсов»).

Таблица «Значения параметров правила для интерфейсов»

Параметр

Значение

Действие

Разрешить (Pass)

Интерфейс

NETx, где «x» – порядковый номер интерфейса

Направление

Любой

Протокол

ICMP

Для настройки динамической маршрутизации по протоколу RIP необходимо выполнить следующие действия:

  1. На каждом ARMA FW перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

../../../_images/fw.rp.11.1.1.2.png

Рисунок – Включение сервиса маршрутизации

  1. На каждом ARMA FW перейти в подраздел настроек маршрутизации RIP («Маршрутизация» - «RIP»), установить флажок для параметра «Включить», указать параметры маршрутизации:

  • ARMA FW1:

    • «Версия» – «2»;

    • «Пассивные интерфейсы» – «NET1»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

    • «Сети» – «192.168.3.0/24», «192.168.4.0/24»;

  • ARMA FW2:

    • «Версия» – «2»;

    • «Пассивные интерфейсы» – «NET2»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

    • «Сети» – «192.168.4.0/24», «192.168.5.0/24»;

  • ARMA FW3:

    • «Версия» – «2»;

    • «Пассивные интерфейсы» – «Не выбрано»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

    • «Сети» – «192.168.3.0/24», «192.168.5.0/24».

Проверка работы динамической маршрутизации RIP

Для проверки динамической маршрутизации необходимо выполнить следующие действия:

  1. На ПК «Server» запустить командную строку и выполнить команду трассировки до ПК «Client», зафиксировать маршрут прохождения трафика (см. Рисунок – Результат выполнения команды трассировки).

../../../_images/fw.rp.11.1.2.1.png

Рисунок – Результат выполнения команды трассировки

  1. Отключить сетевой интерфейс NET4 на ARMA FW1 и ARMA FW2 и дождаться перестроения маршрутов – до 5 минут.

  2. На ПК «Server» запустить командную строку и выполнить команду трассировки до ПК «Client», убедиться в смене маршрута (см. Рисунок – Результат выполнения команды трассировки).

../../../_images/fw.rp.11.1.2.2.png

Рисунок – Результат выполнения команды трассировки

OSPF

Данный протокол основан на технологии отслеживания состояния канала – «link-state technology» и использующий алгоритм поиска кратчайшего пути. OSPF представляет собой протокол внутреннего шлюза и распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.

Настройка динамической маршрутизации OSPF

В качестве примера приведена настройка динамической маршрутизации на трёх ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки динамической маршрутизации).

Перечень интерфейсов со значениями IP-адресов для каждого ARMA FW приведён в таблице (см. Таблица «Перечень интерфейсов»).

На каждом ARMA FW предварительно необходимо создать разрешающее правило МЭ (см. Создание правил межсетевого экранирования) на интерфейсах [NETx], где «x» – порядковый номер интерфейса, с параметрами, указанными в таблице (см. Таблица «Значения параметров правила для интерфейсов»).

Для настройки динамической маршрутизации по протоколу OSPF необходимо выполнить следующие действия:

  1. На каждом ARMA FW перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

Примечание

В случае настройки маршрутизации OSPF на ARMA FW, используемых в режиме отказоустойчивого кластера, необходимо установить флажок для параметра «Включить отказоустойчивость CARP».

  1. На каждом ARMA FW перейти в подраздел настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить», указать параметры маршрутизации:

  • ARMA FW1:

    • «Пассивные интерфейсы» – «NET1»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

  • ARMA FW2:

    • «Пассивные интерфейсы» – «NET2»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

  • ARMA FW3:

    • «Пассивные интерфейсы» – «Не выбрано»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)».

  1. На каждом ARMA FW перейти во вкладку «Сети» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать параметры сетей согласно таблице (см. Таблица «Параметры сетей для протокола OSPF») и нажать кнопку «Сохранить». Действие выполнить для каждой сети в таблице.

Таблица «Параметры сетей для протокола OSPF»

Параметр

Сеть

ARMA FW1

ARMA FW2

ARMA FW3

Адрес сети

№1

192.168.3.0

192.168.4.0

192.168.3.0

Адрес сети

№2

192.168.4.0

192.168.5.0

192.168.5.0

Область

№1

0.0.0.0

0.0.0.0

0.0.0.0

Область

№2

0.0.0.0

0.0.0.0

0.0.0.0

Проверка работы динамической маршрутизации OSPF

Для проверки динамической маршрутизации необходимо выполнить следующие действия:

  1. На ПК «Server» запустить командную строку и выполнить команду трассировки до ПК «Client», зафиксировать маршрут прохождения трафика (см. Рисунок – Результат выполнения команды трассировки).

../../../_images/fw.rp.11.2.2.1.png

Рисунок – Результат выполнения команды трассировки

  1. Отключить сетевой интерфейс NET4 на ARMA FW1 и ARMA FW2 и дождаться перестроения маршрутов – до 5 минут.

  2. На ПК «Server» запустить командную строку и выполнить команду трассировки до ПК «Client», убедиться в смене маршрута (см. Рисунок – Результат выполнения команды трассировки).

../../../_images/fw.rp.11.2.2.2.png

Рисунок – Результат выполнения команды трассировки

Настройки области

При необходимости настройки области OSPF следует выполнить следующие действия:

  1. Перейти во вкладку «Настройки области» подраздела настройки OSPF («Маршрутизация» - «OSPF») и нажать кнопку «bttn.plus» (см. Рисунок – Настройки области OSPF).

../../../_images/fw.rp.11.2.3.1.png

Рисунок – Настройки области OSPF

  1. В открывшейся форме указать параметры «Область» и «Тип области».

В поле параметра «Тип области» возможно выбрать следующие значения:

  • «Default (по-умолчанию)»;

  • «Stub (тупиковая)» – принимает маршруты из других зон, но не принимает информацию о внешних маршрутах для автономной системы;

  • «NSSA (не совсем тупиковая область)» – область, в которой может находиться ASBR.

При выборе значения «Stub (тупиковая)» в поле параметра «Тип области» дополнительно появится параметр «no-summary». При установке флажка для параметра «no-summary» типа области «Stub (тупиковая)» настраиваемая область будет соответствовать типу «Totally stub».

При выборе значения «NSSA (не совсем тупиковая область)» в поле параметра «Тип области» дополнительно появятся параметры «NSSA» и «no-summary». При установке флажка для параметра «no-summary» типа области «NSSA (не совсем тупиковая область)» настраиваемая область будет соответствовать типу «Totally NSSA».

В поле параметра «NSSA» возможно выбрать следующие значения:

  • «translate-candidate (по-умолчанию)»;

  • «translate-never» – не будет выполняться трансляция LSA 7-го типа, конвертированных в LSA 5-го типа;

  • «translate-always» – независимо от состояния маршрутизатора будет выполняться трансляция LSA 7-го типа, конвертированных в LSA 5-го типа.

  1. Нажать кнопку «Сохранить».

Особенности настройки маршрутизации OSPF с туннелем OpenVPN

В качестве примера приведены особенности настройки маршрутизации OSPF на двух ARMA FW, предварительно подключённых с помощью технологии OpenVPN в режиме «Пиринговая сеть (Общий ключ)» или «Пиринговая сеть (SSL/TLS)». Подробное описание настройки OpenVPN рассмотрено в разделе OpenVPN настоящего руководства.

Для корректной работы маршрутизации OSPF необходимо выполнить следующие действия:

  1. Добавить обнаруженный интерфейс:

  • «ovpns1» на ARMA FW, настроенном в качестве сервера OpenVPN;

  • «ovpnc1» на ARMA FW, настроенном в качестве клиента OpenVPN.

Подробная настройка интерфейсов рассмотрена в разделе Сетевые интерфейсы настоящего руководства.

  1. Переименовать добавленный интерфейс c «OPT1» на «ovpns».

  2. Создать разрешающие правила МЭ для интерфейса «[ovpns]».

  3. Включить сервис маршрутизации (см. Рисунок – Включение сервиса маршрутизации).

  4. Перейти во вкладку «Общие настройки» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить», указать следующие параметры:

  • «Пассивные интерфейсы» – «LAN», «WAN»;

  • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)».

  1. Перейти во вкладку «Сети» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать следующие параметры:

  • «Включен» – флажок установлен;

  • «Адрес сети» – «10.0.8.0»;

  • «Маска сети» – «24»;

  • «Область» – «0.0.0.0»;

и нажать кнопку «Сохранить».

  1. Перейти во вкладку «Интерфейсы» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать следующие параметры:

  • «Включен» – флажок установлен;

  • «Интерфейс» – «ovpns»;

  • «Область» – «0.0.0.0»;

и нажать кнопку «Сохранить».

  1. Перезапустить сервисы «frr» и «openvpn» в виджете «Службы» раздела «Инструменты».

Указанные действия повторить на ARMA FW, настроенном в качестве клиента OpenVPN, указывая в полях параметров значение «ovpnc».

BGP

Данный протокол относится к классу протоколов маршрутизации внешнего шлюза и предназначен для обмена информацией о достижимости подсетей между АС. Вместе с информацией о сетях передаются различные атрибуты этих сетей, с помощью которых выбирается лучший маршрут и настраиваются политики маршрутизации.

Настройка динамической маршрутизации BGP

Основными настройками для BGP являются:

  • «Номер BGP AS» – внутренний номер АС;

  • «Сеть» – список сетей, объявляемых через BGP как принадлежащие локальной АС;

  • «Журналировать изменения соседей» – журналирование изменения соседей;

  • «Перераспределение маршрута» – дополнительные источники маршрутизации, передаваемые другим узлам.

При включении переключателя «расширенный режим» дополнительно станут доступны следующие параметры:

  • «ID роутера» – идентификатор маршрутизатора, используемого для связи с другими узлами;

  • «Плавный перезапуск» – продолжение перенаправления пакетов во время восстановления информации маршрутизации;

  • «Проверка сетевого импорта» – объявление о сетях, присутствующих в таблицах маршрутизации маршрутизаторов. По умолчанию флажок установлен.

Более детальные настройки BGP задаются во вкладках:

  • «Соседи» – указываются соседние связи;

  • «Списки AS путей» – указываются пути АС;

  • «Списки префиксов» – указываются списки префиксов;

  • «Списки community» – указываются атрибуты для фильтрации маршрутов;

  • «Карты маршрутизации» – указываются карты маршрутизации.

На каждом ARMA FW предварительно необходимо создать разрешающее правило МЭ (см. Создание правил межсетевого экранирования) на интерфейсе «[LAN]».

Для настройки динамической маршрутизации по протоколу BGP на каждом ARMA FW необходимо выполнить следующие действия:

  1. Перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. Перейти в подраздел настроек маршрутизации BGP («Маршрутизация» - «BGP»), установить флажок для параметра «Включить» (см. Рисунок – Включение BGP), указать следующие параметры:

  • на ARMA FW1:

    • «Номер BGP AS» – «1»;

    • «Сеть» – адрес локальной сети ARMA FW1 в формате CIDR;

  • на ARMA FW2:

    • «Номер BGP AS» – «2»;

    • «Сеть» – адрес локальной сети ARMA FW2 в формате CIDR;

и нажать кнопку «Сохранить».

../../../_images/fw.rp.11.3.1.1.png

Рисунок – Включение BGP

  1. Перейти во вкладку «Соседи», нажать кнопку «bttn.plus», указать следующие параметры:

  • на ARMA FW1:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «WAN» ARMA FW2;

    • «Удалённый AS» – «2»;

  • на ARMA FW2:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «WAN» ARMA FW1;

    • «Удалённый AS» – «1»;

и нажать кнопку «Сохранить».

  1. Перезапустить сервис «frr» в виджете «Службы» раздела «Инструменты».

Проверка работы динамической маршрутизации BGP

Для проверки динамической маршрутизации необходимо с ПК «Client» выполнить команду «ping» ПК «Server». При правильной настройке команда выполнится успешно.

BFD

Данный протокол используется для обнаружения сбоев между маршрутизаторами, соединёнными каналом.

Настройка BFD при статической маршрутизации

В качестве примера приведена настройка BFD при статической маршрутизации на двух ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки BFD при статической маршрутизации).

../../../_images/fw.rp.11.4.1.1.png

Рисунок – Схема стенда для настройки BFD при статической маршрутизации

Использованные IP-адреса на схеме стенда приведены в качестве примера и могут отличаться для каждой конкретной ситуации.

Для настройки BFD при статической маршрутизации необходимо выполнить следующие действия:

  1. На каждом ARMA FW перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. На каждом ARMA FW перейти в подраздел настроек BFD («Маршрутизация» - «BFD»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

  3. На ARMA FW1 перейти во вкладку «Статические маршруты» подраздела настроек BFD, установить флажок для параметра «Включить BFD для статической маршрутизации», нажать кнопку «Сохранить», нажать кнопку «bttn.plus», указать следующие параметры:

  • «Включен» – флажок установлен;

  • «Описание» – «stat route BFD»;

  • «Адрес сети» – адрес локальной сети ARMA FW2 в формате CIDR, в примере «192.168.2.0/24»;

  • «Шлюз» – IP-адрес интерфейса «WAN» ARMA FW2, в примере «78.106.95.217»;

и нажать кнопку «Сохранить».

Перейти во вкладку «Соседи» подраздела диагностики BFD ARMA FW1 («Маршрутизация» - «Диагностика» - «BFD») и убедиться в наличии информации о соседнем маршрутизаторе с отображением статуса «down».

  1. На ARMA FW2 перейти во вкладку «Соседи» подраздела настроек BFD («Маршрутизация» - «BFD»), нажать кнопку «bttn.plus», указать следующие параметры:

  • «Включен» – флажок установлен;

  • «IP пира» – IP-адрес интерфейса «WAN» ARMA FW1, в примере «85.175.16.172»;

и нажать кнопку «Сохранить».

Проверка настройки BFD при статической маршрутизации

Для проверки настройки BFD при статической маршрутизации необходимо выполнить следующие действия:

  1. Перейти во вкладку «Соседи» подраздела диагностики BFD ARMA FW1 («Маршрутизация» - «Диагностика» - «BFD») и убедиться в наличии информации о соседнем маршрутизаторе с отображением статуса «up».

  2. С ПК «Client» выполнить команду «ping» ПК «Server». При правильной настройке команда выполнится успешно.

Настройка BFD при маршрутизации OSPF

В качестве примера приведена настройка BFD и маршрутизации по протоколу OSPF на двух ARMA FW.

Для настройки BFD при маршрутизации OSPF необходимо на каждом ARMA FW выполнить следующие действия:

  1. Перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. Перейти в подраздел настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

  3. Перейти во вкладку «Интерфейсы» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать следующие параметры:

  • «Включен» – флажок установлен;

  • «Интерфейс» – «LAN»;

  • «Область» – «0.0.0.0»;

и нажать кнопку «Сохранить».

  1. Нажать кнопку «bttn.plus», указать следующие параметры:

  • «Включен» – флажок установлен;

  • «Интерфейс» – «WAN»;

  • «Область» – «0.0.0.0»;

  • «BFD» – флажок установлен;

и нажать кнопку «Сохранить».

  1. Нажать кнопку «Перезагрузка службы».

  2. Перейти в подраздел настроек BFD («Маршрутизация» - «BFD»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

Проверка настройки BFD при маршрутизации OSPF

Для проверки настройки BFD при маршрутизации OSPF необходимо выполнить следующие действия:

  1. Перейти во вкладку «Маршруты IPv4» подраздела диагностики маршрутизации («Маршрутизация» - «Диагностика» - «Общие настройки») и убедиться в наличии корректной информации о маршруте.

  2. Перейти во вкладку «Сводка» подраздела диагностики BFD («Маршрутизация» - «Диагностика» - «BFD») и убедиться в отображении статуса «up».

  3. Перейти во вкладку «Счетчики» подраздела диагностики BFD и убедиться в наличии корректной информации о соседнем маршрутизаторе.

Настройка BFD при маршрутизации BGP

В качестве примера приведены особенности настройки BFD при использовании маршрутизации по протоколу BGP на двух ARMA FW. Подробное описание процесса настройки маршрутизации по протоколу BGP приведено в разделе Настройка динамической маршрутизации BGP настоящего руководства.

Для настройки BFD при маршрутизации по протоколу BGP необходимо на каждом ARMA FW дополнительно установить флажок для параметра «BFD» во вкладке «Соседи» подраздела настроек маршрутизации BGP («Маршрутизация» - «BGP»).

Проверка настройки BFD при маршрутизации BGP

Для проверки настройки BFD при маршрутизации BGP необходимо выполнить следующие действия:

  1. Перейти во вкладку «Маршруты IPv4» подраздела диагностики маршрутизации («Маршрутизация» - «Диагностика» - «Общие настройки») и убедиться в наличии корректной информации о маршруте.

  2. Перейти во вкладку «Сводка» подраздела диагностики BFD («Маршрутизация» - «Диагностика» - «BFD») и убедиться в отображении статуса «up».

  3. Перейти во вкладку «Соседи» подраздела диагностики BFD и убедиться в наличии корректной информации о соседнем маршрутизаторе.