Mikrotik – budowanie łączy nadmiarowych z wykorzystaniem OSPF

Celem laboratorium jest uruchomienie funkcji routingu z wykorzystaniem dwóch łączy oraz funkcji dynamicznego trasowania (routing’u) OSPF.

Do realizacji zadania potrzebne są dwa urządzenia (routery) oraz zestaw przewodów RJ45 (3 szt.) i jeden przewód światłowodowy. Obrazek poniżej prezentuje stan końcowy po wykonaniu laboratorium.

Schemat logiczny struktury

Router R2

Podłącz swój komputer do routera R2 na port Ether2

1. Usuń wszystkie wpisy wewnątrz Firewall (/IP/FIREWALL) dotyczące łańcucha FILTER. Zaznacz je i przycisk „-„.

2. Usuń wpis w łańcuchu NAT dotyczący podmiany adresu źródła dla „masquerade”.

3. Usuń adres dla interfejsu bridge1 (/IP/ADDRESSES)

4. Usuń serwer DHCP na interfejsie bridge1 (/IP/DHCP Server)

5. Usuń wszystkie wpisy dotyczące sieci dla serwera DHCP

6. Odłącz od brigde1 interfejsy ETH10 oraz SFP-sfpplus1 (wybierz te 2 interfejsy, a następnie naciśnij minus).

7. Przypisz adresy IP jak na obrazku poniżej do interfejsów, tj.:

-> 172.16.2.1/24 dla interfejsu bridge1

-> 10.10.10.2/30 dla interfejsu SFP-sfpplus1

-> 10.20.20.2/30 dla interfejsu Ether10

7a*. Zadanie samodzielne (wymagane). Skonfiguruj serwer DHCP na interfejsie bridge1. W konfiguracji przydziel klientom adresy od 200 do 254 oraz serwer DNS 8.8.8.8.

8. Przejdź do ustawień OSPF

9. Utwórz nową instancję dla struktur OSPF. Nazwij ją ospf-instance-0 oraz zmień Router ID na adres IP bridge1 tj. 172.16.2.1 – będzie to identyfikator tego routera w strukturze OSPF.

10. Utwórz nową AREA o nazwie ospf-area-0 i nie zmieniaj pozostałych ustawień.

11. Stworzymy teraz wzorce interfejsów do wykorzystania w strukturze OSPF. W tym celu opiszemy wszystkie sieci jakie widzi ten router (ma je dostępne bezpośrednio). W pierwszej kolejności opiszemy łącze SFP. Dla AREA-0 podaj adres sieci 10.10.10.0/30 z kosztem (COST) 1 i priorytetem (PRIORITY) 128.

12. Kolejny wpis dla AREA-0. Podaj adres sieci 10.20.20.0/30 z kosztem 30 i priorytetem 128.

13. Na koniec podaj ostatnią z sieci jak ma dostępny ten router tj. 172.16.2.0/24 z kosztem 1 i priorytetem 128.

14. Zauważ, że trwa konfigurowanie aktywnego połączenia do bridge1. Za chwilę zmieni się na typ połączenia DR. Pozostałe łącza pojawią się kiedy staną się aktywne – zostaną podłączone.

15. Strefa sąsiadów jest nieaktywna ponieważ nie istnieje żadne połączenie pomiędzy routerami. Jak widać poniżej interfejsy Ether10 i SFP-sfpplus1 są nieaktywne (niepodłączone).

Router R1

Podłącz swój komputer do routera R1 na port Ether2

Odłącz z routera R1 przewód z portu ETHER1 (jeżeli jest podłączony). Pozostaw go wolnym – podłączysz go po zakończeniu laboratorium.

16. Powtórz polecenia usuwania domyślnych ustawień routera R1 zgodnie z punktami od 1 do 6 jak to zostało zrobione przy routerze R2

17. Przypisz adresy IP jak na obrazku poniżej do interfejsów, tj.:

-> 172.16.1.1/24 dla interfejsu bridge1

-> 10.10.10.1/30 dla interfejsu SFP-sfpplus1

-> 10.20.20.1/30 dla interfejsu Ether10

17a*. Zadanie samodzielne (wymagane). Skonfiguruj serwer DHCP na interfejsie bridge1. W konfiguracji przydziel klientom adresy od 200 do 254 oraz serwer DNS 8.8.8.8.

18. Tak samo jak wcześniej musimy utworzyć instancję dla routera R1 i nadamy identyfikator tego routera na 172.16.1.1 (taki jaki ma adres IP sieci bridge1 ale to nie jest adres IP tylko ID tego routera – równie dobrze mogłoby być to np. „12” czy inna wartość).

19. Tworzymy przestrzeń AREA 0

20. Tworzymy wzorce sieci dla wszystkich sieci jakie są dostępne na tym routerze bezpośrednio. Najpierw łącze SFP z siecią 10.10.10.0/30.

21. Następnie sieć 10.20.20.0/30 dla łącza ETHER10

22. Na koniec sieć 172.16.1.0/24 – czyli sieć na bridge1

23. Tak powinien wyglądać końcowy zapis w routerze

24. W opisach interfejsów widać będzie podobnie jak na routerze R2 że konfiguruje się podsieć aktywna czyli bridge1

25. W strefie sąsiedztwa nic nie ma bo nie ma łączności pomiędzy routerami.

26. Wykonaj podłączenie z wykorzystaniem światłowodu łącząc porty SFP każdego z routerów. Zauważ że nastąpiła procedura uzgodnienia strefy OSPF w ramach AREA0 – faza TwoWay, a następnie ustawi się status Full.

27. Połącz porty ETHER10 każdego z routerów (ze sobą nawzajem) i zobacz jak zmienia się konfiguracja routingu. W ramach Neighbors dojdzie po ustanowienia statusu FULL i pojawi się wpis w strefie tablicy routingu o dostępnej zdalnej sieci 172.16.2.0/24 dostępnej poprzez interfejs SFP

28. Sytuacja stabilna połączone struktury OSPF

29. Ten sam widok z poziomu routera R2 gdzie zauważ pojawiła się dostępna za routerem R1 sieć 172.16.1.0/24 również dostępna za interfejsem SFP

Routery ustabilizowały sieć OSPF z wykorzystaniem łącza SFP na obu routerach ze względu na najniższy koszt transmisji przez te łącza. Koszt wynosi na tym łączu 1. Sprawdzimy teraz co się stanie jeśli odłączymy połączenie światłowodowe SFP.

30. Odepnij światłowód z jednego z końców dowolnego routera i zaobserwuj jaki będzie efekt.

Jak widać na obrazku struktura działa dalej z wykorzystaniem łącza zapasowego o koszcie 30 poprzez interfejsy ETHER10

Sytuacja ma miejsce na obu routerach, zapewniliśmy nadmiarowość łącza i uszkodzenie jednego z nich nie wpływa na stabilność działania sieci.

31. Przywróć połączenie SFP (światłowodowe) i zaobserwuj zmiany. Łącze powinno się po chwili przywrócić poprzez interfejsy SFP.

Trwa odbudowa połączenia, jeszcze działa poprzez ETHER10 ale za chwilę wróci do łącza o niższym koszcie, czyli SFP

Teraz zmienimy parametry OSPF na jednym z łączy. Wykorzystamy możliwość zabezpieczenia łącza przed niepowołanym dostępem poprzez utworzenie uwierzytelnienia w strukturze OSPF. Zmienimy parametr na łączu SFP i na routerze R1 wprowadzimy wymaganie uwierzytelnienia z wykorzystanie szyfrowania MD5 i wprowadzimy hasło „123456” z identyfikatorem 1.

32. Otwórz wzorzec dla sieci 10.10.10.0/30 i włącz uwierzytelnienie z parametrami jak powyżej.

I zatwierdź. Spowoduje to ponowne uszkodzenia łącza SFP ze względu na niezgodność paramentów komunikacyjnych. Wprowadziliśmy wymóg uwierzytelnienia się i tylko routery znające ten parametr będą działały.

33. Na przeciwnym routerze (tj. jeśli zmianę zrobiłeś na routerze R1 to teraz na routerze R2 lub odwrotnie) wprowadź te same parametry dla tego łącza. OSPF powinien na nowo ustawić pełną synchronizację połączenia OSPF na światłowodzie i przełączyć się z ETHER10 ponownie na SFP.

Po wprowadzeniu hasła

Po wprowadzeniu na drugim routerze tych samych parametrów

34. Teraz możemy wykorzystać siłę OSPF. Dodamy na routerze R2 nową sieć poprzez utworzenie bridge2 i nadanie mu klasy adresowej z adresem 172.16.3.1/24.

35. Utwórz zapis nowej sieci w OSPF

Zobacz – routing sam się zmienił bo rozpoznano nową sieć po stronie routera R2 i router R1 utworzył do niej dostęp (172.16.3.0/24 poprzez łącze SFP).

36. Przypiszemy dostęp do internetu w sieci OSPF. W tym celu na routerze R1 otwórz do edycji instancje w OSPF i poprawimy wpis dla tego routera.

37. Włącz propagację routingu do strefy poza OSPF (do Internetu) w opcji „Originate Default” na wartość „always”

38. Po zatwierdzeniu router R1 stanie się urządzeniem do którego należy kierować ruch wychodzący poza sieć OSPF. Podłącz przewód internetowe do portu ETHER1 routera R1. Zauważ co się zmieni na obu routerach. W przypadku R1 powstanie wpis dynamiczny, że port ETHER1 ma nadany z DHCP od IPS adres IP oraz pojawiła się domyśla trasa do sieci zewnętrznych w Route List.

39. Na routerze R2 wpis w tablicy routingu dla sieci 0.0.0.0/0 również został dodany automatycznie przez OSPF. Sprawdź w terminalu routera R2 czy możesz wykonać ping do adresu np. 8.8.8.8 z routera R2 i to samo zobacz na routerze R1. Jak zauważysz na routerze R1 działa, a na routerze R2 nie. Czegoś brakuje? Tak nie ma tłumaczenia adresów wewnętrznych IP użytych w OSPF na część publiczną w sieci internet. Musimy na routerze R1 włączyć tłumaczenie adresaci czyli NAT.

40. Włącz w /IP/FIREWALL na routerze R1 w łańcuchu NAT maskowanie „masquerade” na wszystko co opuszcza sieć OSPF.

Zgłoś do prowadzącego wykonanie laboratorium!!