Mikrotik 4

written by archi | 24 października 2022

Mikrotik – budowanie łączy nadmiarowych z wykorzystaniem OSPF

Celem laboratorium jest uruchomienie funkcji routingu z wykorzystaniem dwóch łączy oraz funkcji dynamicznego trasowania (routing’u) OSPF.

Do realizacji zadania potrzebne są dwa urządzenia (routery) oraz zestaw przewodów RJ45 (3 szt.) i jeden przewód światłowodowy. Obrazek poniżej prezentuje stan końcowy po wykonaniu laboratorium.

 

Schemat logiczny struktury

 

 

Router R2

1. Podłącz swój komputer (krosownica) do prywatnego switcha, a następnie ze switcha prywatnego do routera R2 (port Ether2)

2. Utwórz bridge1

3. Przypisz adresy IP jak na obrazku poniżej do interfejsów, tj.:

-> 172.16.2.1/24 dla interfejsu bridge1

-> 10.10.10.2/30 dla interfejsu SFP-sfpplus1

-> 10.20.20.2/30 dla interfejsu Ether10

4. Skonfiguruj serwer DHCP na interfejsie bridge1

5. Przejdź do ustawień OSPF

6. Utwórz nową instancję dla struktur OSPF. Nazwij ją ospf-instance-0 oraz zmień Router ID na adres IP bridge1 tj. 172.16.2.1 – będzie to identyfikator tego routera w strukturze OSPF. Identyfikator może być dowolną wartością zapisaną jak adres IP. Zaleca się aby to był jeden z adresów routera w celu lepszej identyfikacji. W naszym przypadku wykorzystaliśmy adres IP przypisany do bridge1.

7. Utwórz nową AREA o nazwie ospf-area-0 i nie zmieniaj pozostałych ustawień.

8. Stworzymy teraz wzorce interfejsów do wykorzystania w strukturze OSPF. W tym celu opiszemy wszystkie sieci jakie widzi ten router (ma je dostępne bezpośrednio). W pierwszej kolejności opiszemy łącze SFP. Dla AREA-0 podaj adres sieci 10.10.10.0/30 z kosztem (COST) 1 i priorytetem (PRIORITY) 128.

9. Kolejny wpis dla AREA-0. Podaj adres sieci 10.20.20.0/30 z kosztem 30 i priorytetem 128.

10. Na koniec podaj ostatnią z sieci jak ma dostępny ten router tj. 172.16.2.0/24 z kosztem 1 i priorytetem 128.

11. Zauważ, że trwa konfigurowanie aktywnego połączenia do bridge1. Za chwilę zmieni się na typ połączenia DR. Pozostałe łącza pojawią się kiedy staną się aktywne – zostaną podłączone.

12. Strefa sąsiadów jest nieaktywna ponieważ nie istnieje żadne połączenie pomiędzy routerami. Jak widać poniżej interfejsy Ether10 i SFP-sfpplus1 są nieaktywne (niepodłączone).

 

Router R1

13. Podłącz kolejnym przewodem router R1 (port Ether2) do swojego prywatnego switcha

14. Odłącz z routera R1 przewód z portu ETHER1 (jeżeli jest podłączony). Pozostaw go wolnym – podłączysz go po zakończeniu laboratorium.

15. Utwórz bridge1

16. Przypisz adresy IP jak na obrazku poniżej do interfejsów, tj.:

-> 172.16.1.1/24 dla interfejsu bridge1

-> 10.10.10.1/30 dla interfejsu SFP-sfpplus1

-> 10.20.20.1/30 dla interfejsu Ether10

17. Skonfiguruj serwer DHCP na interfejsie bridge1

18. Tak samo jak wcześniej musimy utworzyć instancję dla routera R1 i nadamy identyfikator tego routera na 172.16.1.1 (taki jaki ma adres IP sieci bridge1 ale to nie jest adres IP tylko ID tego routera – równie dobrze mogłoby być to np. „12” czy inna wartość).

19. Tworzymy przestrzeń AREA 0

20. Tworzymy wzorce sieci dla wszystkich sieci jakie są dostępne na tym routerze bezpośrednio. Najpierw łącze SFP z siecią 10.10.10.0/30.

21. Następnie sieć 10.20.20.0/30 dla łącza ETHER10

22. Na koniec sieć 172.16.1.0/24 – czyli sieć na bridge1

23. Tak powinien wyglądać końcowy zapis w routerze

24. W opisach interfejsów widać będzie podobnie jak na routerze R2 że konfiguruje się podsieć aktywna czyli bridge1

25. W strefie sąsiedztwa nic nie ma bo nie ma łączności pomiędzy routerami.

26. Wykonaj podłączenie z wykorzystaniem światłowodu łącząc porty SFP każdego z routerów. Zauważ że nastąpiła procedura uzgodnienia strefy OSPF w ramach AREA0 – faza TwoWay, a następnie ustawi się status Full.

27. Połącz porty ETHER10 każdego z routerów (ze sobą nawzajem) i zobacz jak zmienia się konfiguracja routingu. W ramach Neighbors dojdzie po ustanowienia statusu FULL i pojawi się wpis w strefie tablicy routingu o dostępnej zdalnej sieci 172.16.2.0/24 dostępnej poprzez interfejs SFP

28. Sytuacja stabilna połączone struktury OSPF

29. Ten sam widok z poziomu routera R2 gdzie zauważ pojawiła się dostępna za routerem R1 sieć 172.16.1.0/24 również dostępna za interfejsem SFP

Routery ustabilizowały sieć OSPF z wykorzystaniem łącza SFP na obu routerach ze względu na najniższy koszt transmisji przez te łącza. Koszt wynosi na tym łączu 1. Sprawdzimy teraz co się stanie jeśli odłączymy połączenie światłowodowe SFP.

30. Odepnij światłowód z jednego z końców dowolnego routera i zaobserwuj jaki będzie efekt.

Jak widać na obrazku struktura działa dalej z wykorzystaniem łącza zapasowego o koszcie 30 poprzez interfejsy ETHER10

Sytuacja ma miejsce na obu routerach, zapewniliśmy nadmiarowość łącza i uszkodzenie jednego z nich nie wpływa na stabilność działania sieci.

31. Przywróć połączenie SFP (światłowodowe) i zaobserwuj zmiany. Łącze powinno się po chwili przywrócić poprzez interfejsy SFP.

Trwa odbudowa połączenia, jeszcze działa poprzez ETHER10 ale za chwilę wróci do łącza o niższym koszcie, czyli SFP

Teraz zmienimy parametry OSPF na jednym z łączy. Wykorzystamy możliwość zabezpieczenia łącza przed niepowołanym dostępem poprzez utworzenie uwierzytelnienia w strukturze OSPF. Zmienimy parametr na łączu SFP i na routerze R1 wprowadzimy wymaganie uwierzytelnienia z wykorzystanie szyfrowania MD5 i wprowadzimy hasło „123456” z identyfikatorem 1.

32. Na jednym z routerów (dowolnym) otwórz wzorzec dla sieci 10.10.10.0/30 i włącz uwierzytelnienie z parametrami jak powyżej.

I zatwierdź. Spowoduje to ponowne uszkodzenia łącza SFP ze względu na niezgodność paramentów komunikacyjnych. Wprowadziliśmy wymóg uwierzytelnienia się i tylko routery znające ten parametr będą działały (na uszkodzenie chwilę musisz poczekać).

33. Na przeciwnym routerze (tj. jeśli zmianę zrobiłeś na routerze R1 to teraz na routerze R2 lub odwrotnie) wprowadź te same parametry dla tego łącza. OSPF powinien na nowo ustawić pełną synchronizację połączenia OSPF na światłowodzie i przełączyć się z ETHER10 ponownie na SFP.

Po wprowadzeniu hasła

Po wprowadzeniu na drugim routerze tych samych parametrów

34. Teraz możemy wykorzystać siłę OSPF. Dodamy na routerze R2 nową sieć poprzez utworzenie bridge2 i nadanie mu klasy adresowej z adresem 172.16.3.1/24.

35. Na routerze R2 utwórz zapis nowej sieci w OSPF

Zajrzyj do tablicy routingu na routerze R1 – routing sam się zmienił bo rozpoznano nową sieć po stronie routera R2 i router R1 utworzył do niej dostęp (172.16.3.0/24 poprzez łącze SFP).

36. Przypiszemy dostęp do internetu w sieci OSPF oraz podepniemy router R1 do internetu.

a) Podepnij port Ether1 routera R1 do Internetu (48-portowy switch)

b) Na routerze R1, w sekcji IP->DHCP_Client dodaj klienta dla portu Ether1

c) Na routerze R1 otwórz do edycji instancje w OSPF i poprawimy wpis dla tego routera.

37. Włącz propagację routingu do strefy poza OSPF (do Internetu) w opcji „Originate Default” na wartość „always”

38. Po zatwierdzeniu router R1 stanie się urządzeniem do którego należy kierować ruch wychodzący poza sieć OSPF. Zauważ co się zmieni na obu routerach. W przypadku R1 powstanie wpis dynamiczny, że port ETHER1 ma nadany z DHCP od IPS adres IP oraz pojawiła się domyśla trasa do sieci zewnętrznych w Route List.

39. Na routerze R2 wpis w tablicy routingu dla sieci 0.0.0.0/0 również został dodany automatycznie przez OSPF. Sprawdź w terminalu routera R2 czy możesz wykonać ping do adresu np. 8.8.8.8 z routera R2 i to samo zobacz na routerze R1. Jak zauważysz na routerze R1 działa, a na routerze R2 nie. Czegoś brakuje? Tak nie ma tłumaczenia adresów wewnętrznych IP użytych w OSPF na część publiczną w sieci internet. Musimy na routerze R1 włączyć tłumaczenie adresacji czyli NAT.

40. Włącz w /IP/FIREWALL na routerze R1 w łańcuchu NAT maskowanie „masquerade” na wszystko co opuszcza sieć OSPF.

41. Sprawdź czy masz dostęp do Internetu na obydwu routerach: R1 i R2.

Zgłoś do prowadzącego wykonanie laboratorium!!

 

Zadanie samodzielne

42. Zmień ustawienia routerów R1 i R2 tak, żeby dostęp do Internetu był możliwy poprzez router R2

43. Odłącz przewód internetowy od routera R1 (port ether 1) i podłącz go do router R2 (port ether 1)

44. Podłącz maszynę wirtualną win-01 do routera R1. Skonfiguruj jej dostęp do Internetu przez router R2.