Недавно на простороах интернета попались гайды по настройке Huawei. В основном для начинающих, но поскольку давно было желание поработать с этим вендоров, то почему бы не попробовать, но для того чтобы это было более увлекательно решил немного усложнить и собрать свою лабу. Если интересно, что из этого вышло, добро пожаловать под кат.
Начнем с постановки задачи: у нас есть головной офис, два филиала и наша задача «подружить» их друг с другом. Т.е. сделать так чтобы филиалы увидели друг друга, через головной офис. Построить hub and spoke топологию.
В каждом филиале крутится свой IGP. В одном филиале IS-IS, в другом и головном офисах OSPF.
Строить будем в eve-ng, в качестве border-роутера будет образ Huawei AR1000v, роль L3 коммутатора агрегации будет отведена образу Huawei Cloud Engine 6800.
Решение будет следующим:
Настраиваем IGP в филиалах и головном офисе
Строим туннели между филиалами и офисом
Поднимаем BGP сессии на туннельных интерфейсах
Редистрибутируем IGP в BGP
Фильтруем полученные префиксы
Проверяем связанность
Ниже представлена L3 схема с адресацией
1. Настроим адресацию и сконфигурируем IGP
Адресация на внешних интерфейсах вымышленная и взята для удобства отображения.
Border01-HQ01
display current-configuration
# sysname Border01-HQ01 # acl number 2000 rule 5 permit source 192.168.110.0 0.0.0.255 rule 10 permit source 192.168.120.0 0.0.0.255 rule 15 permit source 192.168.130.0 0.0.0.255 rule 20 deny # interface GigabitEthernet0/0/0 ip address 14.1.2.1 255.255.255.252 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 10.0.0.0 255.255.255.254 ospf network-type p2p ospf enable 1 area 0.0.0.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.255 ospf enable 1 area 0.0.0.0 # ospf 1 router-id 1.1.1.1 default-route-advertise always area 0.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 14.1.2.2 # returnНа внешнем интерфейсе настроено NAT правило для внутренних клиентов, позже будем проверять доступность до ресурса в «интернете», роль которого выполняет loopback интерфейс роутера ISP. Также в сторону агрегации анонсируется маршрут по умолчанию.
Agg-SW01-HQ01
display current-configuration
# sysname Agg-SW01-HQ01 # vlan batch 110 120 130 # interface Vlanif110 ip address 192.168.110.254 255.255.255.0 ospf enable 1 area 0.0.0.0 dhcp select relay dhcp relay binding server ip 192.168.140.100 # interface Vlanif120 ip address 192.168.120.254 255.255.255.0 ospf enable 1 area 0.0.0.0 dhcp select relay dhcp relay binding server ip 192.168.140.100 # interface Vlanif130 ip address 192.168.130.254 255.255.255.0 ospf enable 1 area 0.0.0.0 dhcp select relay dhcp relay binding server ip 192.168.140.100 # interface GE1/0/0 undo portswitch undo shutdown ip address 10.0.0.1 255.255.255.254 ospf network-type p2p ospf enable 1 area 0.0.0.0 # interface GE1/0/1 undo shutdown port default vlan 110 # interface GE1/0/2 undo shutdown port default vlan 120 # interface GE1/0/3 undo shutdown port default vlan 130 # interface LoopBack0 ip address 1.1.1.10 255.255.255.255 ospf enable 1 area 0.0.0.0 # ospf 1 router-id 1.1.1.10 area 0.0.0.0 # returnНа интерфейсах настроен dhcp relay, но на стенде корректно это не заработало. Т.е. запрос приходил на dhcp server, тот выдавал адрес но клиент никак не мог получить ACK. Несмотря на, что dhcp server уже фиксировал аренду для этого клиента. Возможно это особенности образа, возможно самой eve-ng. Скорее всего на реальном оборудование это сработает, но это не точно))). Забегая вперед, на клиентах адреса будут статические.
Проверим OSPF связанность
display ip routing-table protocol ospf
<Border01-HQ01>display ip routing-table protocol ospf Route Flags: R - relay, D - download to fib, T - to vpn-instance ------------------------------------------------------------------------------ Public routing table : OSPF Destinations : 4 Routes : 4 OSPF routing table status : <Active> Destinations : 4 Routes : 4 Destination/Mask Proto Pre Cost Flags NextHop Interface 1.1.1.10/32 OSPF 10 1 D 10.0.0.1 GigabitEthernet0/0/1 192.168.110.0/24 OSPF 10 2 D 10.0.0.1 GigabitEthernet0/0/1 192.168.120.0/24 OSPF 10 2 D 10.0.0.1 GigabitEthernet0/0/1 192.168.130.0/24 OSPF 10 2 D 10.0.0.1 GigabitEthernet0/0/1 OSPF routing table status : <Inactive> Destinations : 0 Routes : 0Как видим маршруты от агрегации приходят.
Теперь посмотрим, что приходит на агрегацию от бордера.
display ip routing-table protocol ospf
<Agg-SW01-HQ01>display ip routing-table protocol ospf Proto: Protocol Pre: Preference Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole route ------------------------------------------------------------------------------ _public_ Routing Table : OSPF Destinations : 7 Routes : 7 OSPF routing table status : <Active> Destinations : 2 Routes : 2 Destination/Mask Proto Pre Cost Flags NextHop Interface 0.0.0.0/0 O_ASE 150 1 D 10.0.0.0 GE1/0/0 1.1.1.1/32 OSPF 10 1 D 10.0.0.0 GE1/0/0 OSPF routing table status : <Inactive> Destinations : 5 Routes : 5 Destination/Mask Proto Pre Cost Flags NextHop Interface 1.1.1.10/32 OSPF 10 0 1.1.1.10 LoopBack0 10.0.0.0/31 OSPF 10 1 10.0.0.1 GE1/0/0 192.168.110.0/24 OSPF 10 1 192.168.110.254 Vlanif110 192.168.120.0/24 OSPF 10 1 192.168.120.254 Vlanif120 192.168.130.0/24 OSPF 10 1 192.168.130.254 Vlanif130Видим, что приходит маршрут по умолчанию и loopback от бордера.
Проверим «выход в мир»
ping 8.8.8.8 -c 3
NAME : VPCS[1] IP/MASK : 192.168.110.10/24 GATEWAY : 192.168.110.254 DNS : 192.168.110.254 MAC : 00:50:79:66:68:23 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 8.8.8.8 -c 3 84 bytes from 8.8.8.8 icmp_seq=1 ttl=253 time=3.327 ms 84 bytes from 8.8.8.8 icmp_seq=2 ttl=253 time=2.987 ms 84 bytes from 8.8.8.8 icmp_seq=3 ttl=253 time=2.106 msДля остальных устройств настройки аналогичные, приведу только настройку IS-IS для Branch-02.
Border01-BR02
display current-configuration
# sysname Border01-BR02 # acl number 2000 rule 5 permit source 192.168.10.0 0.0.0.255 rule 10 permit source 192.168.20.0 0.0.0.255 rule 15 permit source 192.168.30.0 0.0.0.255 rule 20 deny # isis 1 network-entity 49.0001.0000.0000.0001.00 default-route-advertise always # interface GigabitEthernet0/0/0 ip address 195.147.98.1 255.255.255.252 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 10.0.2.3 255.255.255.254 isis enable 1 isis circuit-type p2p # interface GigabitEthernet0/0/2 ip address 10.0.2.1 255.255.255.254 isis enable 1 isis circuit-type p2p # interface LoopBack0 ip address 3.3.3.3 255.255.255.255 isis enable 1 # ip route-static 0.0.0.0 0.0.0.0 195.147.98.2 # returnВ сторону агрегации специально «смотрят» два линка, для того чтобы получить балансировку, при условии равной стоимости.
Agg-SW01-BR02
display current-configuration
# sysname Agg-SW01-BR02 # vlan batch 10 20 30 # isis 1 network-entity 49.0001.0000.0000.0002.00 # interface Vlanif10 ip address 192.168.10.254 255.255.255.0 isis enable 1 isis circuit-type p2p # interface Vlanif20 ip address 192.168.20.254 255.255.255.0 isis enable 1 isis circuit-type p2p # interface GE1/0/0 undo portswitch undo shutdown ip address 10.0.2.2 255.255.255.254 isis enable 1 isis circuit-type p2p # interface GE1/0/1 undo portswitch undo shutdown ip address 10.0.2.0 255.255.255.254 isis enable 1 isis circuit-type p2p # interface GE1/0/2 undo shutdown port default vlan 20 # interface GE1/0/3 undo shutdown port default vlan 10 # interface LoopBack0 ip address 3.3.3.10 255.255.255.255 isis enable 1 # returnПроверим IS-IS связанность
display ip routing-table protocol isis
<Border01-BR02>display ip routing-table protocol isis Route Flags: R - relay, D - download to fib, T - to vpn-instance ------------------------------------------------------------------------------ Public routing table : ISIS Destinations : 3 Routes : 6 ISIS routing table status : <Active> Destinations : 3 Routes : 6 Destination/Mask Proto Pre Cost Flags NextHop Interface 3.3.3.10/32 ISIS-L1 15 10 D 10.0.2.2 GigabitEthernet0/0/1 ISIS-L1 15 10 D 10.0.2.0 GigabitEthernet0/0/2 192.168.10.0/24 ISIS-L1 15 20 D 10.0.2.2 GigabitEthernet0/0/1 ISIS-L1 15 20 D 10.0.2.0 GigabitEthernet0/0/2 192.168.20.0/24 ISIS-L1 15 20 D 10.0.2.2 GigabitEthernet0/0/1 ISIS-L1 15 20 D 10.0.2.0 GigabitEthernet0/0/2 ISIS routing table status : <Inactive> Destinations : 0 Routes : 0Маршруты от агрегации приходят и они доступны через два интерфейса, что и дает балансировку. По умолчанию IS-IS сконфигурирован в режиме L1-L2 (внутри региона/вне региона). В нашем случае это L1 т.к. все внутри одного региона (area) отвечает за это network-entity 49.0001.xxxx.xxxx.xxxx.xx должен быть одинаковым на устройствах одного региона.
display isis peer
<Agg-SW01-BR02>display isis peer Peer Information for ISIS(1) -------------------------------------------------------------------------------- System ID Interface Circuit ID State HoldTime(s) Type PRI -------------------------------------------------------------------------------- 0000.0000.0001 GE1/0/0 0000000001 Up 24 L1L2 -- 0000.0000.0001 GE1/0/1 0000000002 Up 24 L1L2 -- Total Peer(s): 2display ip routing-table protocol isis
<Agg-SW01-BR02>display ip routing-table protocol isis Proto: Protocol Pre: Preference Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole route ------------------------------------------------------------------------------ _public_ Routing Table : IS-IS Destinations : 7 Routes : 9 IS-IS routing table status : <Active> Destinations : 2 Routes : 4 Destination/Mask Proto Pre Cost Flags NextHop Interface 0.0.0.0/0 ISIS-L2 15 10 D 10.0.2.3 GE1/0/0 ISIS-L2 15 10 D 10.0.2.1 GE1/0/1 3.3.3.3/32 ISIS-L1 15 10 D 10.0.2.3 GE1/0/0 ISIS-L1 15 10 D 10.0.2.1 GE1/0/1 IS-IS routing table status : <Inactive> Destinations : 5 Routes : 5 Destination/Mask Proto Pre Cost Flags NextHop Interface 3.3.3.10/32 ISIS-L1 15 0 3.3.3.10 LoopBack0 10.0.2.0/31 ISIS-L1 15 0 10.0.2.0 GE1/0/1 10.0.2.2/31 ISIS-L1 15 0 10.0.2.2 GE1/0/0 192.168.10.0/24 ISIS-L1 15 0 192.168.10.254 Vlanif10 192.168.20.0/24 ISIS-L1 15 0 192.168.20.254 Vlanif20Видим,что на агрегацию приходит маршрут по умолчанию и loopback от бордера. Поскольку по умолчанию IS-IS сконфигурирован в L1-L2 мы можем принимать внешние маршруты, которым является 0.0.0.0/0 (считай редистрибуция) ISIS-L2.
Проверим «выход в мир»
ping 8.8.8.8 -c 3
NAME : VPCS[1] IP/MASK : 192.168.10.10/24 GATEWAY : 192.168.10.254 DNS : MAC : 00:50:79:66:68:2d LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 8.8.8.8 -c 3 84 bytes from 8.8.8.8 icmp_seq=1 ttl=253 time=2.745 ms 84 bytes from 8.8.8.8 icmp_seq=2 ttl=253 time=2.001 ms 84 bytes from 8.8.8.8 icmp_seq=3 ttl=253 time=1.977 ms2. Настроим туннели между филиалами и офисом
Будет приведена настройка только для головного офиса, т.к. настройки в филиалах зеркальны. А также не будем вдаваться в подробности настройки IPSEC, т.к. это заслуживает отдельной статьи.
display current-configuration
# sysname Border01-HQ01 # ipsec proposal 10 esp authentication-algorithm sha2-512 esp encryption-algorithm aes-256 # ike proposal default encryption-algorithm aes-256 aes-192 aes-128 dh group14 authentication-algorithm sha2-512 sha2-384 sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 ike proposal 10 encryption-algorithm aes-256 dh group14 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ike peer BRANCH-01 pre-shared-key cipher "your_secret_key" ike-proposal 10 local-address 14.1.2.1 remote-address 2.58.17.1 rsa encryption-padding oaep rsa signature-padding pss ikev2 authentication sign-hash sha2-256 ike peer BRANCH-02 pre-shared-key cipher "your_secret_key" ike-proposal 10 local-address 14.1.2.1 remote-address 195.147.98.1 rsa encryption-padding oaep rsa signature-padding pss ikev2 authentication sign-hash sha2-256 # ipsec profile BR-01-PROF ike-peer BRANCH-01 proposal 10 ipsec profile BR-02-PROF ike-peer BRANCH-02 proposal 10 # interface Tunnel0/0/1 ip address 172.16.10.1 255.255.255.252 tunnel-protocol gre source 14.1.2.1 destination 2.58.17.1 ipsec profile BR-01-PROF # interface Tunnel0/0/2 ip address 172.16.20.1 255.255.255.252 tunnel-protocol gre source 14.1.2.1 destination 195.147.98.1 ipsec profile BR-02-PROF # returnПроверим статистику по Security Association
display ipsec sa b
<Border01-HQ01>display ipsec sa b IPSec SA information: Src address Dst address SPI VPN Protocol Algorithm -------------------------------------------------------------------------------------------------------------------------- 14.1.2.1 195.147.98.1 11898564 ESP E:AES-256 A:SHA2_512_256 195.147.98.1 14.1.2.1 2909459 ESP E:AES-256 A:SHA2_512_256 14.1.2.1 2.58.17.1 240680 ESP E:AES-256 A:SHA2_512_256 2.58.17.1 14.1.2.1 14985427 ESP E:AES-256 A:SHA2_512_256 Number of IPSec SA : 4 --------------------------------------------------------------------------------------------------------------------------display ike sa
<Border01-HQ01>display ike sa Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID ------------------------------------------------------------------------------------------------------------------------------------ 16 2.58.17.1/500 RD|A v2:2 IP 2.58.17.1 4 2.58.17.1/500 RD|A v2:1 IP 2.58.17.1 17 195.147.98.1/500 RD|ST|A v2:2 IP 195.147.98.1 6 195.147.98.1/500 RD|ST|A v2:1 IP 195.147.98.1 Number of IKE SA : 4 ------------------------------------------------------------------------------------------------------------------------------------ Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATINGЕсть созданные security association, а это говорит о том что туннели построились и есть шифрование. Инкапсуляция выполняется через GRE-IPSEC.
3. Поднимем BGP сессии и отфильтруем их
Каждый филиал и головной офис имеют свой номер автономной системы, для офиса это AS65100, филиалы AS65200, AS65300 соответственно.
Поскольку будем производить редистрибуцию из IGP в BGP, то в BGP попадут все прификсы, в том числе loopback-и и линковые сети. Нам они не нужны поэтому напишем prefix-list, по которому будем принимать только нужные нам префиксы, а именно сети клиентов, т.е. 192.168.0.0/16 и все что помещается в это диапазон с большей маской.
Будет приведена настройка только для головного офиса, т.к. настройки в филиалах идентичны с той лишь разницей, что у каждого будет по одному пиру и другие номера автономных систем.
Border01-HQ01
display current-configuration
# sysname Border01-HQ01 # ip ip-prefix PL_ALLOWED_PREFIXES index 10 permit 192.168.0.0 16 greater-equal 16 less-equal 32 # bgp 65100 peer 172.16.10.2 as-number 65200 peer 172.16.10.2 connect-interface Tunnel0/0/1 peer 172.16.20.2 as-number 65300 peer 172.16.20.2 connect-interface Tunnel0/0/2 # ipv4-family unicast undo synchronization import-route ospf 1 peer 172.16.10.2 enable peer 172.16.10.2 ip-prefix PL_ALLOWED_PREFIXES import peer 172.16.20.2 enable peer 172.16.20.2 ip-prefix PL_ALLOWED_PREFIXES import # returndisplay bgp peer
<Border01-HQ01>display bgp peer Status codes: * - Dynamic BGP local router ID : 14.1.2.1 Local AS number : 65100 Total number of peers : 2 Peers in established state : 2 Total number of dynamic peers : 0 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 172.16.10.2 4 65200 194 197 0 03:08:36 Established 3 172.16.20.2 4 65300 194 196 0 03:07:48 Established 2display ip routing-table protocol bgp
<Border01-HQ01>display ip routing-table protocol bgp Route Flags: R - relay, D - download to fib, T - to vpn-instance ------------------------------------------------------------------------------ Public routing table : BGP Destinations : 5 Routes : 5 BGP routing table status : <Active> Destinations : 5 Routes : 5 Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.10.0/24 EBGP 255 20 RD 172.16.20.2 Tunnel0/0/2 192.168.20.0/24 EBGP 255 20 RD 172.16.20.2 Tunnel0/0/2 192.168.210.0/24 EBGP 255 2 RD 172.16.10.2 Tunnel0/0/1 192.168.220.0/24 EBGP 255 2 RD 172.16.10.2 Tunnel0/0/1 192.168.230.0/24 EBGP 255 2 RD 172.16.10.2 Tunnel0/0/1 BGP routing table status : <Inactive> Destinations : 0 Routes : 0Как видим нужные нам маршруты появились в таблице маршрутизации.
4. Настало время проверок
Проверим IGP в филиалах и головном офисе
HQ
ping
NAME : VPCS[1] IP/MASK : 192.168.130.30/24 GATEWAY : 192.168.130.254 DNS : MAC : 00:50:79:66:68:28 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 192.168.110.10 -c 3 84 bytes from 192.168.110.10 icmp_seq=1 ttl=63 time=4.012 ms 84 bytes from 192.168.110.10 icmp_seq=2 ttl=63 time=1.190 ms 84 bytes from 192.168.110.10 icmp_seq=3 ttl=63 time=1.310 ms VPCS> ping 192.168.120.20 -c 3 84 bytes from 192.168.120.20 icmp_seq=1 ttl=63 time=3.428 ms 84 bytes from 192.168.120.20 icmp_seq=2 ttl=63 time=1.287 ms 84 bytes from 192.168.120.20 icmp_seq=3 ttl=63 time=1.607 ms VPCS> ping 1.1.1.1 -c 3 84 bytes from 1.1.1.1 icmp_seq=1 ttl=254 time=2.239 ms 84 bytes from 1.1.1.1 icmp_seq=2 ttl=254 time=2.288 ms 84 bytes from 1.1.1.1 icmp_seq=3 ttl=254 time=1.588 ms VPCS> ping 1.1.1.10 -c 3 84 bytes from 1.1.1.10 icmp_seq=1 ttl=255 time=19.684 ms 84 bytes from 1.1.1.10 icmp_seq=2 ttl=255 time=1.571 ms 84 bytes from 1.1.1.10 icmp_seq=3 ttl=255 time=1.198 msBranch-01
ping
NAME : VPCS[1] IP/MASK : 192.168.210.10/24 GATEWAY : 192.168.210.254 DNS : MAC : 00:50:79:66:68:26 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 192.168.220.20 -c 3 84 bytes from 192.168.220.20 icmp_seq=1 ttl=63 time=1.330 ms 84 bytes from 192.168.220.20 icmp_seq=2 ttl=63 time=1.194 ms 84 bytes from 192.168.220.20 icmp_seq=3 ttl=63 time=1.540 ms VPCS> ping 192.168.230.30 -c 3 84 bytes from 192.168.230.30 icmp_seq=1 ttl=63 time=1.552 ms 84 bytes from 192.168.230.30 icmp_seq=2 ttl=63 time=1.240 ms 84 bytes from 192.168.230.30 icmp_seq=3 ttl=63 time=1.522 ms VPCS> ping 2.2.2.2 -c 3 84 bytes from 2.2.2.2 icmp_seq=1 ttl=254 time=2.045 ms 84 bytes from 2.2.2.2 icmp_seq=2 ttl=254 time=1.508 ms 84 bytes from 2.2.2.2 icmp_seq=3 ttl=254 time=1.838 ms VPCS> ping 2.2.2.10 -c 3 84 bytes from 2.2.2.10 icmp_seq=1 ttl=255 time=15.846 ms 84 bytes from 2.2.2.10 icmp_seq=2 ttl=255 time=1.115 ms 84 bytes from 2.2.2.10 icmp_seq=3 ttl=255 time=1.663 msBranch-02
ping
NAME : VPCS[1] IP/MASK : 192.168.10.10/24 GATEWAY : 192.168.10.254 DNS : MAC : 00:50:79:66:68:2d LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 192.168.20.20 -c 3 84 bytes from 192.168.20.20 icmp_seq=1 ttl=63 time=6.022 ms 84 bytes from 192.168.20.20 icmp_seq=2 ttl=63 time=1.168 ms 84 bytes from 192.168.20.20 icmp_seq=3 ttl=63 time=1.412 ms VPCS> ping 3.3.3.3 -c 3 84 bytes from 3.3.3.3 icmp_seq=1 ttl=254 time=1.567 ms 84 bytes from 3.3.3.3 icmp_seq=2 ttl=254 time=1.745 ms 84 bytes from 3.3.3.3 icmp_seq=3 ttl=254 time=1.596 ms VPCS> ping 3.3.3.10 -c 3 84 bytes from 3.3.3.10 icmp_seq=1 ttl=255 time=8.187 ms 84 bytes from 3.3.3.10 icmp_seq=2 ttl=255 time=1.219 ms 84 bytes from 3.3.3.10 icmp_seq=3 ttl=255 time=1.612 ms С одной из машин филиалов доступны машины других подсетей, а также loopback’и бордера и агрегации внутри этого филиала.
Проверим доступность удаленных филиалов из головного офиса
HQ to Branch-01
ping
NAME : VPCS[1] IP/MASK : 192.168.110.10/24 GATEWAY : 192.168.110.254 DNS : 192.168.110.254 MAC : 00:50:79:66:68:23 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 192.168.210.10 -c 3 84 bytes from 192.168.210.10 icmp_seq=1 ttl=60 time=8.976 ms 84 bytes from 192.168.210.10 icmp_seq=2 ttl=60 time=7.053 ms 84 bytes from 192.168.210.10 icmp_seq=3 ttl=60 time=6.672 ms VPCS> ping 192.168.220.20 -c 3 84 bytes from 192.168.220.20 icmp_seq=1 ttl=60 time=9.236 ms 84 bytes from 192.168.220.20 icmp_seq=2 ttl=60 time=8.123 ms 84 bytes from 192.168.220.20 icmp_seq=3 ttl=60 time=7.247 ms VPCS> ping 192.168.230.30 -c 3 84 bytes from 192.168.230.30 icmp_seq=1 ttl=60 time=8.117 ms 84 bytes from 192.168.230.30 icmp_seq=2 ttl=60 time=8.451 ms 84 bytes from 192.168.230.30 icmp_seq=3 ttl=60 time=4.663 msHQ to Branch-02
ping
NAME : VPCS[1] IP/MASK : 192.168.110.10/24 GATEWAY : 192.168.110.254 DNS : 192.168.110.254 MAC : 00:50:79:66:68:23 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 192.168.10.10 -c 3 84 bytes from 192.168.10.10 icmp_seq=1 ttl=60 time=13.473 ms 84 bytes from 192.168.10.10 icmp_seq=2 ttl=60 time=7.663 ms 84 bytes from 192.168.10.10 icmp_seq=3 ttl=60 time=6.367 ms VPCS> ping 192.168.20.20 -c 3 84 bytes from 192.168.20.20 icmp_seq=1 ttl=60 time=10.810 ms 84 bytes from 192.168.20.20 icmp_seq=2 ttl=60 time=6.923 ms 84 bytes from 192.168.20.20 icmp_seq=3 ttl=60 time=7.925 msПроверим доступность филиалов между собой
Branch-01 to Branch-02
ping
NAME : VPCS[1] IP/MASK : 192.168.220.20/24 GATEWAY : 192.168.220.254 DNS : MAC : 00:50:79:66:68:27 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> ping 192.168.10.10 -c 3 84 bytes from 192.168.10.10 icmp_seq=1 ttl=59 time=12.489 ms 84 bytes from 192.168.10.10 icmp_seq=2 ttl=59 time=10.401 ms 84 bytes from 192.168.10.10 icmp_seq=3 ttl=59 time=14.660 ms VPCS> ping 192.168.20.20 -c 3 84 bytes from 192.168.20.20 icmp_seq=1 ttl=59 time=13.374 ms 84 bytes from 192.168.20.20 icmp_seq=2 ttl=59 time=10.889 ms 84 bytes from 192.168.20.20 icmp_seq=3 ttl=59 time=13.471 msИ немного трассировок
Tracert from Branch 01
trace
NAME : VPCS[1] IP/MASK : 192.168.220.20/24 GATEWAY : 192.168.220.254 DNS : MAC : 00:50:79:66:68:27 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> trace 192.168.10.10 -P 1 trace to 192.168.10.10, 8 hops max (ICMP), press Ctrl+C to stop 1 192.168.220.254 4.274 ms 1.026 ms 0.825 ms 2 10.0.1.0 6.317 ms 8.018 ms 5.600 ms 3 172.16.10.1 8.656 ms 12.895 ms 8.293 ms 4 172.16.20.2 13.364 ms 13.165 ms 14.289 ms 5 10.0.2.2 13.012 ms 10.468 ms 10.961 ms 6 192.168.10.10 11.924 ms 11.986 ms 9.160 ms VPCS> trace 192.168.20.20 -P 1 trace to 192.168.20.20, 8 hops max (ICMP), press Ctrl+C to stop 1 192.168.220.254 5.000 ms 1.036 ms 0.825 ms 2 10.0.1.0 5.701 ms 4.666 ms 3.809 ms 3 172.16.10.1 7.985 ms 9.941 ms 13.568 ms 4 172.16.20.2 13.479 ms 12.973 ms 14.480 ms 5 10.0.2.2 15.023 ms 9.474 ms 8.189 ms 6 192.168.20.20 15.522 ms 10.690 ms 10.563 msTracert from Branch 02
trace
NAME : VPCS[1] IP/MASK : 192.168.20.20/24 GATEWAY : 192.168.20.254 DNS : MAC : 00:50:79:66:68:2e LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 VPCS> trace 192.168.110.10 -P 1 trace to 192.168.110.10, 8 hops max (ICMP), press Ctrl+C to stop 1 192.168.20.254 4.494 ms 0.963 ms 0.806 ms 2 10.0.2.1 5.014 ms 3.441 ms 5.638 ms 3 172.16.20.1 9.150 ms 8.669 ms 12.742 ms 4 10.0.0.1 22.344 ms 8.755 ms 6.997 ms 5 192.168.110.10 6.610 ms 6.782 ms 7.380 ms VPCS> trace 192.168.230.30 -P 1 trace to 192.168.230.30, 8 hops max (ICMP), press Ctrl+C to stop 1 192.168.20.254 3.454 ms 1.295 ms 1.181 ms 2 10.0.2.1 5.356 ms 7.253 ms 3.723 ms 3 172.16.20.1 9.490 ms 9.953 ms 11.376 ms 4 172.16.10.2 13.284 ms 14.037 ms 15.375 ms 5 10.0.1.1 14.616 ms 10.290 ms 11.622 ms 6 192.168.230.30 14.632 ms 10.351 ms 12.057 ms5. Выводы
Целью данного стенда было показать некое универсальное решение для той задачи, когда необходимо объеденить между собой площадки с разными IGP и когда нет возможности построить DMVPN. И на мой субъективный взгляд, редистрибуция в BGP подходит как нельзя лучше.
Безусловно это не единственное решение.
Что можно ещё добавить или улучшить?
Можно было пушить дефолт в филиалы через BGP и тем самым заставить их ходить в мир через головной офис, это бывает нужно из соображений безопасности.
Можно на каждую площадку завести ещё одного провайдера и поставить ещё один бордер для отказоустойчивости.
Возможно это будет в следующих итерациях.
Полные версии всех конфигов можно найти вотздесь
ссылка на оригинал статьи https://habr.com/ru/articles/927384/
Добавить комментарий