Динамическая маршрутизация

Динамическая маршрутизация – это вид маршрутизации, в котором отличительной особенностью является автоматический выбор оптимального маршрута при прохождении трафика между поддерживающими динамическую маршрутизацию сетевыми устройствами.

ARMA FW поддерживает динамическую маршрутизацию по протоколам RIP v.1 и v.2, OSPF, BGP.

Общие настройки

В подразделе общих настроек динамической маршрутизации доступны следующие параметры:

  • «Включить» – активирует сервис маршрутизации;

  • «Включить синхронизацию CARP» – активирует синхронизацию настроек CARP. По умолчанию включён;

  • «Включить отказоустойчивость CARP» – активирует сервис маршрутизации только на ведущем устройстве;

  • «Включить поддержку SNMP AgentX» – активирует поддержку для Net-SNMP AgentX;

  • «Включить логирование» – включает журналирование. По умолчанию включён;

  • «Детализация журнала» – определяет уровень детализации журналирования.

Для включения сервиса маршрутизации FRR необходимо перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации).

../../../../_images/fw.rp.dynamic-route.1.1.png

Рисунок – Включение сервиса маршрутизации

RIP

Данный протокол применяется в небольших компьютерных сетях и позволяет маршрутизаторам динамически обновлять маршрутную информацию, получая её от соседних маршрутизаторов.

Настройка динамической маршрутизации RIP

В качестве примера приведена настройка динамической маршрутизации на трёх ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки динамической маршрутизации).

../../../../_images/fw.rp.dynamic-route.2.1.1.png

Рисунок – Схема стенда для настройки динамической маршрутизации

Перечень интерфейсов со значениями IP-адресов для каждого ARMA FW приведён в таблице (см. Таблица «Перечень интерфейсов»).

Таблица «Перечень интерфейсов»

Интерфейс

ARMA FW1

ARMA FW2

ARMA FW3

NET1

192.168.1.1/24

NET2

192.168.2.2/24

NET3

192.168.3.1/24

192.168.3.3/24

NET4

192.168.4.1/24

192.168.4.2/24

NET5

192.168.5.2/24

192.168.5.3/24

На каждом ARMA FW предварительно необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) на интерфейсах [NETx], где «x» – порядковый номер интерфейса, с параметрами, указанными в таблице (см. Таблица «Значения параметров правила для интерфейсов»).

Таблица «Значения параметров правила для интерфейсов»

Параметр

Значение

Действие

Разрешить (Pass)

Интерфейс

NETx, где «x» – порядковый номер интерфейса

Направление

Любой

Протокол

ICMP

Для настройки динамической маршрутизации по протоколу RIP необходимо выполнить следующие действия:

  1. На каждом ARMA FW перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. На каждом ARMA FW перейти в подраздел настроек маршрутизации RIP («Маршрутизация» - «RIP»), установить флажок для параметра «Включить», указать параметры маршрутизации:

  • ARMA FW1:

    • «Версия» – «2»;

    • «Пассивные интерфейсы» – «NET1»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

    • «Сети» – «192.168.3.0/24», «192.168.4.0/24»;

  • ARMA FW2:

    • «Версия» – «2»;

    • «Пассивные интерфейсы» – «NET2»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

    • «Сети» – «192.168.4.0/24», «192.168.5.0/24»;

  • ARMA FW3:

    • «Версия» – «2»;

    • «Пассивные интерфейсы» – «Не выбрано»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

    • «Сети» – «192.168.3.0/24», «192.168.5.0/24»;

и нажать кнопку «Сохранить».

Проверка работы динамической маршрутизации RIP

Для проверки динамической маршрутизации необходимо выполнить следующие действия:

  1. На ПК «Server» запустить командную строку и ввести команду для выполнения трассировки к IP-адресу ПК «Client», зафиксировать маршрут прохождения трафика (см. Рисунок – Результат выполнения команды трассировки).

../../../../_images/fw.rp.dynamic-route.2.2.1.png

Рисунок – Результат выполнения команды трассировки

  1. Отключить сетевой интерфейс NET4 на ARMA FW1 и ARMA FW2 и дождаться перестроения маршрутов – до 5 минут.

  2. На ПК «Server» запустить командную строку и ввести команду для выполнения трассировки к IP-адресу ПК «Client», убедиться в смене маршрута (см. Рисунок – Результат выполнения команды трассировки).

../../../../_images/fw.rp.dynamic-route.2.2.2.png

Рисунок – Результат выполнения команды трассировки

OSPF

Данный протокол основан на технологии отслеживания состояния канала – «link-state technology» и использующий алгоритм поиска кратчайшего пути. OSPF представляет собой протокол внутреннего шлюза и распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.

Общие настройки OSPF

В подразделе общих настроек динамической маршрутизации OSPF доступны следующие параметры (см. Рисунок – Общие настройки OSPF):

  • «Включить» – активирует сервис маршрутизации OSPF. Требует предварительного включения сервиса динамической маршрутизации;

  • «Понижение CARP» – активирует отслеживание статуса CARP, если отсутствуют соседние узлы. Требует включения отладочного журналирования syslog;

  • «Пассивные интерфейсы» – используется для указания интерфейсов, на которые не требуется посылать пакеты OSPF;

  • «Перераспределение маршрута» – используется для указания иных источников маршрутизации, которые должны быть переданы другим узлам;

  • «Карта распределения» – используется для указания карты маршрутизации;

  • «Объявлять шлюз по умолчанию» – активирует рассылку информации о наличии шлюза по умолчанию;

  • «Всегда объявлять шлюз по умолчанию» – активирует рассылку информации о наличии шлюза по умолчанию, вне зависимости от доступности этого шлюза;

  • «Объявить метрику шлюза по умолчанию» – используется для указания метрики шлюза по умолчанию.

../../../../_images/fw.rp.dynamic-route.3.1.1.png

Рисунок – Общие настройки OSPF

В поле параметра «Перераспределение маршрута» доступны для выбора следующие значения:

  • «Протокол пограничного шлюза (BGP)»;

  • «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

  • «Маршруты ядра (не устанавливаются через Zebra RIB)»;

  • «Протокол маршрутизации информации (RIP)»;

  • «Статически настроенные маршруты».

При выборе в поле параметра «Перераспределение маршрута» вышеуказанных значений дополнительно появятся соответствующие параметры (см. Рисунок – Метрики):

  • «Метрика для перераспределения маршрута BGP»;

  • «Метрика для перераспределения подключенного маршрута»;

  • «Метрика для перераспределения маршрута ядра»;

  • «Метрика для перераспределения маршрута RIP»;

  • «Метрика для перераспределения статического маршрута»;

в полях которых доступно указание значения метрики в диапазоне от «1» до «16777214».

../../../../_images/fw.rp.dynamic-route.3.1.2.png

Рисунок – Метрики

При переводе кнопки-переключателя «расширенный режим» в положение «bttn.switch.green» дополнительно появятся следующие параметры:

  • «ID роутера» – используется для указания идентификатора маршрутизатора;

  • «Базовая стоимость» – используется для указания базовой стоимости в Мбит/с с целью последующего расчёта маршрута. Доступно указание значения в диапазоне от «1» до «4294967».

Настройка динамической маршрутизации OSPF

В качестве примера приведена настройка динамической маршрутизации на трёх ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки динамической маршрутизации).

Перечень интерфейсов со значениями IP-адресов для каждого ARMA FW приведён в таблице (см. Таблица «Перечень интерфейсов»).

На каждом ARMA FW предварительно необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) на интерфейсах [NETx], где «x» – порядковый номер интерфейса, с параметрами, указанными в таблице (см. Таблица «Значения параметров правила для интерфейсов»).

Для настройки динамической маршрутизации по протоколу OSPF необходимо выполнить следующие действия:

  1. На каждом ARMA FW перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

Примечание

В случае настройки маршрутизации OSPF на ARMA FW, используемых в режиме отказоустойчивого кластера, необходимо установить флажок для параметра «Включить отказоустойчивость CARP».

  1. На каждом ARMA FW перейти в подраздел настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить», указать параметры маршрутизации:

  • ARMA FW1:

    • «Пассивные интерфейсы» – «NET1»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

  • ARMA FW2:

    • «Пассивные интерфейсы» – «NET2»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

  • ARMA FW3:

    • «Пассивные интерфейсы» – «Не выбрано»;

    • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)».

  1. На каждом ARMA FW перейти во вкладку «Сети» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать параметры сетей согласно таблице (см. Таблица «Параметры сетей для протокола OSPF»), нажать кнопку «Сохранить». Действие выполнить для каждой сети в таблице. Нажать кнопку «bttn.restart.service».

Таблица «Параметры сетей для протокола OSPF»

Сеть

Параметр

ARMA FW1

ARMA FW2

ARMA FW3

№1

Адрес сети

192.168.3.0

192.168.4.0

192.168.3.0

№1

Маска сети

24

24

24

№1

Область

0.0.0.0

0.0.0.0

0.0.0.0

№2

Адрес сети

192.168.4.0

192.168.5.0

192.168.5.0

№2

Маска сети

24

24

24

№2

Область

0.0.0.0

0.0.0.0

0.0.0.0

Проверка работы динамической маршрутизации OSPF

Для проверки динамической маршрутизации необходимо выполнить следующие действия:

  1. На ПК «Server» запустить командную строку и ввести команду для выполнения трассировки к IP-адресу ПК «Client», зафиксировать маршрут прохождения трафика (см. Рисунок – Результат выполнения команды трассировки).

../../../../_images/fw.rp.dynamic-route.3.3.1.png

Рисунок – Результат выполнения команды трассировки

  1. Отключить сетевой интерфейс NET4 на ARMA FW1 и ARMA FW2 и дождаться перестроения маршрутов – до 5 минут.

  2. На ПК «Server» запустить командную строку и ввести команду для выполнения трассировки к IP-адресу ПК «Client», убедиться в смене маршрута (см. Рисунок – Результат выполнения команды трассировки).

../../../../_images/fw.rp.dynamic-route.3.3.2.png

Рисунок – Результат выполнения команды трассировки

Настройки области

При необходимости настройки области OSPF следует выполнить следующие действия:

  1. Перейти во вкладку «Настройки области» подраздела настройки OSPF («Маршрутизация» - «OSPF») и нажать кнопку «bttn.plus» (см. Рисунок – Настройки области OSPF).

../../../../_images/fw.rp.dynamic-route.3.4.1.png

Рисунок – Настройки области OSPF

  1. В открывшейся форме указать параметры «Область» и «Тип области».

В поле параметра «Тип области» возможно выбрать следующие значения:

  • «Default (по-умолчанию)»;

  • «Stub (тупиковая)» – принимает маршруты из других зон, но не принимает информацию о внешних маршрутах для автономной системы;

  • «NSSA (не совсем тупиковая область)» – область, в которой может находиться ASBR.

При выборе значения «Stub (тупиковая)» в поле параметра «Тип области» дополнительно появится параметр «no-summary». При установке флажка для параметра «no-summary» типа области «Stub (тупиковая)» настраиваемая область будет соответствовать типу «Totally stub».

При выборе значения «NSSA (не совсем тупиковая область)» в поле параметра «Тип области» дополнительно появятся параметры «NSSA» и «no-summary». При установке флажка для параметра «no-summary» типа области «NSSA (не совсем тупиковая область)» настраиваемая область будет соответствовать типу «Totally NSSA».

В поле параметра «NSSA» возможно выбрать следующие значения:

  • «translate-candidate (по-умолчанию)»;

  • «translate-never» – не будет выполняться трансляция LSA 7-го типа, конвертированных в LSA 5-го типа;

  • «translate-always» – независимо от состояния маршрутизатора будет выполняться трансляция LSA 7-го типа, конвертированных в LSA 5-го типа.

  1. Нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

Особенности настройки маршрутизации OSPF с туннелем OpenVPN

В качестве примера приведены особенности настройки маршрутизации OSPF на двух ARMA FW, предварительно подключённых с помощью технологии OpenVPN в режиме «Пиринговая сеть (Общий ключ)» или «Пиринговая сеть (SSL/TLS)». Подробное описание настройки OpenVPN представлено в разделе «OpenVPN» настоящего руководства.

Для корректной работы маршрутизации OSPF необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки интерфейса:

  • «OVPNS1» («Интерфейсы» - «[OVPNS1]») на ARMA FW, настроенном в качестве сервера OpenVPN;

  • «OVPNC1» («Интерфейсы» - «[OVPNC1]») на ARMA FW, настроенном в качестве клиента OpenVPN;

установить флажок для параметра «Включить» (см. Рисунок – Включение интерфейса «OVPNS1»), нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».

../../../../_images/fw.rp.dynamic-route.3.5.1.png

Рисунок – Включение интерфейса «OVPNS1»

Описание настройки интерфейсов представлено в разделе «Сетевые интерфейсы» настоящего руководства.

  1. Создать разрешающие правила МЭ для интерфейса «[OVPNS1]».

  2. Включить сервис маршрутизации (см. Рисунок – Включение сервиса маршрутизации), установив флажок для параметра «Включить» и нажав кнопку «Сохранить».

  3. Перейти во вкладку «Общие настройки» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить», указать следующие значения параметров:

  • «Пассивные интерфейсы» – «LAN», «WAN»;

  • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

и нажать кнопку «Сохранить».

  1. Перейти во вкладку «Сети» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Адрес сети» – «10.0.8.0»;

  • «Маска сети» – «24»;

  • «Область» – «0.0.0.0»;

и нажать кнопку «Сохранить».

  1. Перейти во вкладку «Интерфейсы» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Интерфейс» – «OVPNS1»;

  • «Область» – «0.0.0.0»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

  1. Перезапустить сервис «openvpn» в виджете «Службы» раздела «Инструменты».

Действия следует повторить на ARMA FW, настроенном в качестве клиента OpenVPN, используя в полях вышеуказанных параметров значение «OVPNС1» вместо «OVPNS1».

Особенности настройки маршрутизации OSPF с туннелем IPsec

В качестве примера приведены особенности настройки маршрутизации OSPF на двух ARMA FW, предварительно подключённых с помощью технологии IPsec в режиме «Динамическая маршрутизация» (см. «Настройка IPsec в режиме «Динамическая маршрутизация»» настоящего руководства).

Для корректной работы маршрутизации OSPF необходимо на каждом ARMA FW выполнить следующие действия:

  1. Включить сервис маршрутизации (см. Рисунок – Включение сервиса маршрутизации), установив флажок для параметра «Включить» и нажав кнопку «Сохранить».

  2. Перейти во вкладку «Общие настройки» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить», указать следующие значения параметров:

  • «Пассивные интерфейсы» – «LAN»;

  • «Перераспределение маршрута» – «Подключенные маршруты (напрямую подключенная подсеть или хост)»;

и нажать кнопку «Сохранить».

  1. Перейти во вкладку «Сети» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать параметры сетей согласно таблице (см. Таблица «Параметры сетей для протокола OSPF с туннелем IPsec»), нажать кнопку «Сохранить». Действие выполнить для каждой сети в таблице. Нажать кнопку «bttn.restart.service».

Таблица «Параметры сетей для протокола OSPF с туннелем IPsec»

Сеть

Параметр

ARMA FW1

ARMA FW2

№1

Адрес сети

192.168.1.0

192.168.2.0

№1

Маска сети

24

24

№1

Область

0.0.0.0

0.0.0.0

№2

Адрес сети

10.0.10.0

10.0.10.0

№2

Маска сети

30

30

№2

Область

0.0.0.0

0.0.0.0

Затем следует выполнить перезапуск IPsec (см. «Шаг 4. Перезапуск IPsec» настоящего руководства).

BGP

Данный протокол относится к классу протоколов маршрутизации внешнего шлюза и предназначен для обмена информацией о доступности подсетей между АС. Вместе с информацией о сетях передаются различные атрибуты этих сетей, с помощью которых выбирается лучший маршрут и настраиваются политики маршрутизации.

Основными настройками для BGP являются:

  • «Номер BGP AS» – внутренний номер АС;

  • «Сеть» – список сетей, объявляемых через BGP как принадлежащие локальной АС;

  • «Журналировать изменения соседей» – журналирование изменения соседей;

  • «Перераспределение маршрута» – дополнительные источники маршрутизации, передаваемые другим узлам.

При переводе кнопки-переключателя «расширенный режим» в положение «bttn.switch.green» дополнительно станут доступны следующие параметры:

  • «ID роутера» – идентификатор маршрутизатора, используемого для связи с другими узлами;

  • «Плавный перезапуск» – продолжение перенаправления пакетов во время восстановления информации маршрутизации;

  • «Проверка сетевого импорта» – объявление о сетях, присутствующих в таблицах маршрутизации маршрутизаторов. По умолчанию флажок установлен.

Более детальные настройки BGP задаются во вкладках:

  • «Соседи» – указываются соседние связи;

  • «Списки AS путей» – указываются пути АС;

  • «Списки community» – указываются атрибуты для фильтрации маршрутов.

Различают следующие способы подключения узлов по BGP:

  • «eBGP» – узлы входят в состав разных АС;

  • «iBGP» – узлы входят в состав одной АС.

На транспортном уровне BGP использует протокол TCP через порт 179.

Настройка маршрутизации BGP

В качестве примера представлено описание настройки ARMA FW в качестве соседей BGP согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки ARMA FW по протоколу BGP).

../../../../_images/fw.rp.dynamic-route.4.1.1.png

Рисунок – Схема стенда для настройки ARMA FW по протоколу BGP

На ARMA FW2, ARMA FW3 и ARMA FW4 предварительно настроены интерфейсы OPT и Loopback с IP-адресами, согласно указанным в таблице (см. Таблица «Параметры интерфейсов»).

Таблица «Параметры интерфейсов»

ARMA FW

OPT1

OPT2

Lo1

ARMA FW1

10.12.0.1/25

не используется

не используется

ARMA FW2

10.12.0.2/25

10.0.0.2/24

10.2.2.2/32

ARMA FW3

не используется

10.0.0.3/24

10.3.3.3/32

ARMA FW4

10.45.0.144/25

10.0.0.4/24

10.4.4.4/32

ARMA FW5

10.45.0.145/25

не используется

не используется

Для настройки маршрутизации по протоколу BGP необходимо выполнить следующие шаги:

  1. Настроить маршрутизацию по протоколу OSPF.

  2. Настроить узлы iBGP.

  3. Настроить узлы eBGP.

  4. Создать правила МЭ.

Настройка OSPF

Маршрутизация по протоколу OSPF на ARMA FW2, ARMA FW3 и ARMA FW4 будет использоваться с целью анонсирования адреса Loopback-интерфейса в сети iBGP.

Для настройки маршрутизации по протоколу OSPF необходимо на ARMA FW2, ARMA FW3 и ARMA FW4 выполнить следующие действия:

  1. Перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. Перейти в подраздел настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), перевести кнопку-переключатель «расширенный режим» в положение «bttn.switch.green», установить флажок для параметра «Включить», указать параметры маршрутизации согласно таблице (см. Таблица «Параметры маршрутизации OSPF») и нажать кнопку «Сохранить».

Таблица «Параметры маршрутизации OSPF»

Параметр

ARMA FW2

ARMA FW3

ARMA FW4

ID роутера

10.2.2.2

10.3.3.3

10.4.4.4

Пассивные интерфейсы

OPT1

не выбрано

OPT1

  1. Перейти во вкладку «Сети» подраздела настроек маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать параметры сетей согласно таблице (см. Таблица «Параметры сетей для протокола OSPF»), нажать кнопку «Сохранить». Действие выполнить для каждой сети в таблице. Нажать кнопку «bttn.restart.service» (см. Рисунок – Сети OSPF на ARMA FW2).

Таблица «Параметры сетей для протокола OSPF»

Сеть

Параметр

ARMA FW2

ARMA FW3

ARMA FW4

№1

Адрес сети

10.0.0.0

10.0.0.0

10.0.0.0

№1

Маска сети

24

24

24

№1

Область

0.0.0.0

0.0.0.0

0.0.0.0

№2

Адрес сети

10.2.2.2

10.3.3.3

10.4.4.4

№2

Маска сети

32

32

32

№2

Область

0.0.0.0

0.0.0.0

0.0.0.0

№3

Адрес сети

10.12.0.0

10.45.0.128

№3

Маска сети

25

25

№3

Область

0.0.0.0

0.0.0.0
../../../../_images/fw.rp.dynamic-route.4.1.1.1.png

Рисунок – Сети OSPF на ARMA FW2

../../../../_images/fw.rp.dynamic-route.4.1.1.2.png

Рисунок – Сети OSPF на ARMA FW3

../../../../_images/fw.rp.dynamic-route.4.1.1.3.png

Рисунок – Сети OSPF на ARMA FW4

Настройка узлов iBGP

Для настройки маршрутизации iBGP на ARMA FW2, ARMA FW3 и ARMA FW4 необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек маршрутизации BGP («Маршрутизация» - «BGP»), перевести кнопку-переключатель «расширенный режим» в положение «bttn.switch.green», установить флажок для параметра «Включить» (см. Рисунок – ARMA FW2: создание узла iBGP), указать значения параметров согласно таблице (см. Таблица «Параметры маршрутизации для iBGP») и нажать кнопку «Сохранить».

Таблица «Параметры маршрутизации для iBGP»

Параметр

ARMA FW2

ARMA FW3

ARMA FW4

Номер BGP AS

64500

64500

64500

ID роутера

10.2.2.2

10.3.3.3

10.4.4.4
../../../../_images/fw.rp.dynamic-route.4.1.2.1.png

Рисунок – ARMA FW2: создание узла iBGP

  1. Перейти во вкладку «Соседи», нажать кнопку «bttn.plus», указать следующие значения параметров.

На ARMA FW2:

  • Сосед №1:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «Lo1» ARMA FW3, в примере «10.3.3.3»;

    • «Удалённый AS» – «64500»;

    • «Интерфейс-источник обновлений» – «Lo1»;

    • «Следующий переход – локальный маршрутизатор (next-hop-self)» – «флажок установлен» (см. Рисунок – ARMA FW2: добавление соседа iBGP);

    и нажать кнопку «Сохранить»;

  • Сосед №2:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «Lo1» ARMA FW4, в примере «10.4.4.4»;

    • «Удалённый AS» – «64500»;

    • «Интерфейс-источник обновлений» – «Lo1»;

    • «Следующий переход – локальный маршрутизатор (next-hop-self)» – «флажок установлен»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service» (см. Рисунок – ARMA FW2: соседи по iBGP).

../../../../_images/fw.rp.dynamic-route.4.1.2.2.png

Рисунок – ARMA FW2: добавление соседа iBGP

../../../../_images/fw.rp.dynamic-route.4.1.2.3.png

Рисунок – ARMA FW2: соседи по iBGP

На ARMA FW3:

  • Сосед №1:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «Lo1» ARMA FW2, в примере «10.2.2.2»;

    • «Удалённый AS» – «64500»;

    • «Интерфейс-источник обновлений» – «Lo1»;

    и нажать кнопку «Сохранить»;

  • Сосед №2:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «Lo1» ARMA FW4, в примере «10.4.4.4»;

    • «Удалённый AS» – «64500»;

    • «Интерфейс-источник обновлений» – «Lo1»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service» (см. Рисунок – ARMA FW3: соседи по iBGP).

../../../../_images/fw.rp.dynamic-route.4.1.2.4.png

Рисунок – ARMA FW3: соседи по iBGP

На ARMA FW4:

  • Сосед №1:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «Lo1» ARMA FW2, в примере «10.2.2.2»;

    • «Удалённый AS» – «64500»;

    • «Интерфейс-источник обновлений» – «Lo1»;

    • «Следующий переход – локальный маршрутизатор (next-hop-self)» – «флажок установлен»;

    и нажать кнопку «Сохранить»;

  • Сосед №2:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «Lo1» ARMA FW3, в примере «10.3.3.3»;

    • «Удалённый AS» – «64500»;

    • «Интерфейс-источник обновлений» – «Lo1»;

    • «Следующий переход – локальный маршрутизатор (next-hop-self)» – «флажок установлен»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

Настройка узлов eBGP

Для настройки маршрутизации eBGP на ARMA FW1 и ARMA FW2, ARMA FW4 и ARMA FW5 необходимо выполнить следующие действия:

  1. Перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. На ARMA FW1 и ARMA FW5 перейти в подраздел настроек маршрутизации BGP («Маршрутизация» - «BGP»), перевести кнопку-переключатель «расширенный режим» в положение «bttn.switch.green», установить флажок для параметра «Включить», указать значения параметров согласно таблице (см. Таблица «Параметры маршрутизации для eBGP») и нажать кнопку «Сохранить» (см. Рисунок – Создание узла eBGP).

Таблица «Параметры маршрутизации для eBGP»

Параметр

ARMA FW1

ARMA FW2

ARMA FW4

ARMA FW5

Номер BGP AS

64501

64500

64500

64505

ID роутера

10.12.0.1

10.12.0.2

10.45.0.144

10.45.0.145

Сеть

192.168.11.0/24

192.168.55.0/24
../../../../_images/fw.rp.dynamic-route.4.1.3.1.png

Рисунок – Создание узла eBGP

  1. На ARMA FW1, ARMA FW2, ARMA FW4 и ARMA FW5 перейти во вкладку «Соседи», нажать кнопку «bttn.plus», указать следующие значения параметров.

На ARMA FW1:

  • Сосед №1:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «OPT1» ARMA FW2, в примере «10.12.0.2»;

    • «Удалённый AS» – «64500»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service»(см. Рисунок – ARMA FW1: соседи по eBGP).

../../../../_images/fw.rp.dynamic-route.4.1.3.2.png

Рисунок – ARMA FW1: соседи по eBGP

На ARMA FW2:

  • Сосед №3:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «OPT1» ARMA FW1, в примере «10.12.0.1»;

    • «Удалённый AS» – «64501»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service» (см. Рисунок – ARMA FW2: соседи по BGP).

../../../../_images/fw.rp.dynamic-route.4.1.3.3.png

Рисунок – ARMA FW2: соседи по BGP

На ARMA FW4:

  • Сосед №3:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «OPT1» ARMA FW5, в примере «10.45.0.145»;

    • «Удалённый AS» – «64505»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service» (см. Рисунок – ARMA FW4: соседи по BGP).

../../../../_images/fw.rp.dynamic-route.4.1.3.4.png

Рисунок – ARMA FW4: соседи по BGP

На ARMA FW5:

  • Сосед №1:

    • «Включен» – флажок установлен;

    • «IP пира» – IP-адрес интерфейса «OPT1» ARMA FW4, в примере «10.45.0.144»;

    • «Удалённый AS» – «64500»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service» (см. Рисунок – ARMA FW5: соседи по eBGP).

../../../../_images/fw.rp.dynamic-route.4.1.3.5.png

Рисунок – ARMA FW5: соседи по eBGP

Правила МЭ

На каждом ARMA FW необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) для обеспечения соединения по протоколу BGP, указав следующие значения параметров:

  • «Интерфейс» – «OPT1» и «OPT2», используемые согласно таблице (см. Таблица «Параметры интерфейсов»);

  • «Действие» – «Разрешить (Pass)»;

  • «Версии TCP/IP» – «IPv4»;

  • «Протокол» – «TCP»;

  • «Диапазон портов назначения»:

    • от: «(другое)», «179»;

    • к: «(другое)», «179»;

  • «Описание» – «Allow BGP Traffic».

Неуказанные параметры следует оставить по умолчанию.

В течение нескольких минут после включения вышеуказанных правил МЭ между узлами будет установлено соединение BGP, на успешность которого будет указывать статус соседей, отличающийся от «0», во вкладке «Подробности» категории диагностики маршрутизации BGP («Маршрутизация» - «Диагностика» - «BGP»).

Проверка работы динамической маршрутизации BGP

Перед выполнением проверки необходимо на каждом ARMA FW создать правило МЭ, разрешающее трафик по протоколу ICMP (см. «Создание правил межсетевого экранирования» настоящего руководства).

Для проверки динамической маршрутизации BGP необходимо с ПК «Client» запустить выполнение команды «ping» ПК «Server». При правильной настройке команда выполнится успешно.

BFD

Данный протокол используется для обнаружения сбоев между маршрутизаторами, соединёнными каналом.

Настройка BFD при статической маршрутизации

В качестве примера приведена настройка BFD при статической маршрутизации на двух ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки BFD при статической маршрутизации).

../../../../_images/fw.rp.dynamic-route.5.1.1.png

Рисунок – Схема стенда для настройки BFD при статической маршрутизации

Использованные IP-адреса на схеме стенда приведены в качестве примера и могут отличаться для каждой конкретной ситуации.

Для настройки BFD при статической маршрутизации необходимо выполнить следующие действия:

  1. На каждом ARMA FW перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. На каждом ARMA FW перейти в подраздел настройки BFD («Маршрутизация» - «BFD»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

  3. На ARMA FW1 перейти во вкладку «Общие настройки» подраздела настройки статических маршрутов FRR («Маршрутизация» - «STATIC»), установить флажок для параметра «Включить» (см. Рисунок – Статическая маршрутизация FRR) и нажать кнопку «Сохранить».

../../../../_images/fw.rp.dynamic-route.5.1.2.png

Рисунок – Статическая маршрутизация FRR

  1. На ARMA FW1 перейти во вкладку «Маршруты» подраздела настройки статических маршрутов FRR («Маршрутизация» - «STATIC»), нажать кнопку «bttn.plus», в открывшейся форме (см. Рисунок – Добавление маршрута) указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Описание» – «stat route BFD»;

  • «Сеть» – адрес локальной сети ARMA FW2 в формате CIDR, в примере «192.168.2.0/24»;

  • «Шлюз (опционально)» – IP-адрес интерфейса «WAN» ARMA FW2, в примере «203.0.113.67»;

  • «BFD» – флажок установлен;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

../../../../_images/fw.rp.dynamic-route.5.1.3.png

Рисунок – Добавление маршрута

  1. Перейти во вкладку «Соседи» подраздела диагностики BFD ARMA FW1 («Маршрутизация» - «Диагностика» - «BFD») и убедиться в наличии информации о соседнем маршрутизаторе с отображением статуса «down».

  2. На ARMA FW2 перейти во вкладку «Соседи» подраздела настройки BFD («Маршрутизация» - «BFD»), нажать кнопку «bttn.plus», указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «IP пира» – IP-адрес интерфейса «WAN» ARMA FW1, в примере «198.51.100.51»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

  1. На каждом ARMA FW перейти в подраздел общих правил МЭ («Межсетевой экран» - «Правила» - «[Общие]») и создать правило, указав следующие значения параметров:

  • «Действие» – «Разрешить (Pass)»;

  • «Направление» – «Любое»;

  • «Отправитель» – «WAN адрес»;

  • «IP-адрес назначения» – «Единственный хост или сеть», IP-адрес ПК «Server», в примере «192.168.2.20».

Неуказанные параметры следует оставить по умолчанию. Описание создания правил МЭ представлено в разделе «Создание правил межсетевого экранирования» настоящего руководства.

Проверка настройки BFD при статической маршрутизации

Для проверки настройки BFD при статической маршрутизации необходимо выполнить следующие действия:

  1. Перейти во вкладку «Соседи» подраздела диагностики BFD ARMA FW1 («Маршрутизация» - «Диагностика» - «BFD») и убедиться в наличии информации о соседнем маршрутизаторе с отображением статуса «up».

  2. С ПК «Client» выполнить команду «ping» ПК «Server». При правильной настройке команда выполнится успешно.

Настройка BFD при маршрутизации OSPF

В качестве примера приведена настройка BFD и маршрутизации по протоколу OSPF на двух ARMA FW.

Для настройки BFD при маршрутизации OSPF необходимо на каждом ARMA FW выполнить следующие действия:

  1. Перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. Перейти в подраздел настройки маршрутизации OSPF («Маршрутизация» - «OSPF»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

  3. Перейти во вкладку «Интерфейсы» подраздела настройки маршрутизации OSPF («Маршрутизация» - «OSPF»), нажать кнопку «bttn.plus», указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Интерфейс» – «LAN»;

  • «Область» – «0.0.0.0»;

и нажать кнопку «Сохранить».

  1. Нажать кнопку «bttn.plus», указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Интерфейс» – «WAN»;

  • «Область» – «0.0.0.0»;

  • «BFD» – флажок установлен;

и нажать кнопку «Сохранить».

  1. Нажать кнопку «bttn.restart.service».

  2. Перейти в подраздел настройки BFD («Маршрутизация» - «BFD»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

Проверка настройки BFD при маршрутизации OSPF

Для проверки настройки BFD при маршрутизации OSPF необходимо выполнить следующие действия:

  1. Перейти во вкладку «Маршруты IPv4» подраздела диагностики маршрутизации («Маршрутизация» - «Диагностика» - «Общие настройки») и убедиться в наличии корректной информации о маршруте.

  2. Перейти во вкладку «Сводка» подраздела диагностики BFD («Маршрутизация» - «Диагностика» - «BFD») и убедиться в отображении статуса «up».

  3. Перейти во вкладку «Счетчики» подраздела диагностики BFD и убедиться в наличии корректной информации о соседнем маршрутизаторе.

Настройка BFD при маршрутизации BGP

В качестве примера приведены особенности настройки BFD при использовании маршрутизации по протоколу BGP на двух ARMA FW. Подробное описание процесса настройки маршрутизации по протоколу BGP приведено в разделе «Настройка маршрутизации BGP» настоящего руководства.

Для настройки BFD при маршрутизации по протоколу BGP необходимо на каждом ARMA FW дополнительно установить флажок для параметра «BFD» во вкладке «Соседи» подраздела настройки маршрутизации BGP («Маршрутизация» - «BGP»).

Проверка настройки BFD при маршрутизации BGP

Для проверки настройки BFD при маршрутизации BGP необходимо выполнить следующие действия:

  1. Перейти во вкладку «Маршруты IPv4» подраздела диагностики маршрутизации («Маршрутизация» - «Диагностика» - «Общие настройки») и убедиться в наличии корректной информации о маршруте.

  2. Перейти во вкладку «Сводка» подраздела диагностики BFD («Маршрутизация» - «Диагностика» - «BFD») и убедиться в отображении статуса «up».

  3. Перейти во вкладку «Соседи» подраздела диагностики BFD и убедиться в наличии корректной информации о соседнем маршрутизаторе.

Статическая маршрутизация FRR

Данный раздел позволяет настроить статический маршрут посредством службы FRR.

В качестве примера приведена настройка статического маршрута на двух ARMA FW согласно схеме стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки BFD при статической маршрутизации).

Для настройки статического маршрута посредством службы FRR необходимо на каждом ARMA FW выполнить следующие действия:

  1. Перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажок для параметра «Включить» и нажать кнопку «Сохранить» (см. Рисунок – Включение сервиса маршрутизации) для включения сервиса маршрутизации.

  2. Перейти во вкладку «Общие настройки» подраздела настройки статических маршрутов FRR («Маршрутизация» - «STATIC»), установить флажок для параметра «Включить» (см. Рисунок – Статическая маршрутизация FRR) и нажать кнопку «Сохранить».

../../../../_images/fw.rp.dynamic-route.6.1.png

Рисунок – Статическая маршрутизация FRR

  1. Перейти во вкладку «Маршруты», нажать кнопку «bttn.plus», указать в открывшейся форме (см. Рисунок – Добавление маршрута) следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Описание» – «static route»;

  • «Адрес сети» – адрес локальной сети ARMA FW2 в формате CIDR, в примере «192.168.2.0/24»;

  • «Шлюз» – IP-адрес интерфейса «WAN» ARMA FW2, в примере «203.0.113.67»;

  • «Интерфейс» – «WAN»;

и нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

../../../../_images/fw.rp.dynamic-route.6.2.png

Рисунок – Добавление маршрута

  1. Перейти в подраздел общих правил МЭ («Межсетевой экран» - «Правила» - «[Общие]») и создать правило, указав следующие значения параметров:

  • «Действие» – «Разрешить (Pass)»;

  • «Интерфейс» – «WAN»;

  • «Направление» – «Любое»;

  • «Отправитель» – «WAN адрес»;

  • «IP-адрес назначения» – «Единственный хост или сеть», IP-адрес ПК «Server», в примере «192.168.2.20».

Неуказанные параметры следует оставить по умолчанию. Описание создания правил МЭ представлено в разделе «Создание правил межсетевого экранирования» настоящего руководства.

Проверка настройки статического маршрута посредством службы FRR

Для проверки настройки статического маршрута посредством службы FRR необходимо выполнить следующие действия:

  1. Перейти во вкладку «Запущенная конфигурация» подраздела диагностики маршрутизации ARMA FW1 («Маршрутизация» - «Диагностика» - «Общие настройки») и убедиться в наличии информации маршруте.

  2. С ПК «Client» выполнить команду «ping» ПК «Server». При правильной настройке команда выполнится успешно.

Списки префиксов

Списки префиксов могут использоваться для фильтрации маршрутов.

Для создания списка префиксов необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки списков префиксов («Маршрутизация» - «Списки префиксов») и нажать кнопку «bttn.plus» (см. Рисунок – Списки префиксов).

../../../../_images/fw.rp.dynamic-route.7.1.png

Рисунок – Списки префиксов

  1. В форме редактирования списка префиксов доступны следующие параметры:

  • «Включен» – включает список префиксов;

  • «Описание»;

  • «Имя» – поле обязательно к заполнению;

  • «Версия IP» – в перечне доступны значения «IPv4» и «IPv6»;

  • «Номер последовательности» – поле принимает значения в диапазоне от «1» до «4294967294»;

  • «Действие» – назначает действие при соответствии правила. В перечне доступны значения «Разрешить» и «Запретить»;

  • «Сеть» – поле принимает шаблон сети для поиска, например, «10.1.1.0/24». Поле обязательно к заполнению. Допускается дополнительное использование выражений «ge» – более чем и «le» – менее чем.

Примечание

Не допускается создание нескольких списков префиксов с одновременно идентичными значениями параметров «Имя» и «Номер последовательности».

  1. Нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».

Карты маршрутизации

Карты маршрутизации могут использоваться для фильтрации маршрутов.

Для создания карты маршрутизации необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки карт маршрутизации («Маршрутизация» - «Карты маршрутизации») и нажать кнопку «bttn.plus» (см. Рисунок – Карты маршрутизации).

../../../../_images/fw.rp.dynamic-route.8.1.png

Рисунок – Карты маршрутизации

  1. В форме редактирования карты маршрутизации доступны следующие параметры:

  • «Включен» – включает карту маршрутизации;

  • «Описание»;

  • «Имя» – поле обязательно к заполнению;

  • «Действие» – назначает действие при соответствии правила. В перечне доступны значения «Разрешить» и «Запретить»;

  • «ID» – поле принимает значения в диапазоне от «1» до «65535». Поле обязательно к заполнению;

  • «Список путей AS»;

  • «Список префиксов»;

  • «Список community»;

  • «Команда Set» – используется для модификации команды.

Примечание

Не допускается создание нескольких карт маршрутизации с одновременно идентичными значениями параметров «Имя» и «ID».

  1. Нажать кнопку «Сохранить», затем нажать кнопку «bttn.restart.service».