2013년 12월 30일 월요일

GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 6. OSPF 축약/생략하기



여기까지 정상적으로 진행해 왔다면, 아래의 Routing table을 볼 수 있다.

먼저 A00A


A00B


A10A


A20A


여기서 O IA 로 표시된 경로가 바로 다른 Area에서 전달받은 경로들이다.
ABR(Area Border Router)인 A00A/A00B는 모두 자신이 속한 Area들이라 O IA가 없다.

근데, 보시다시피 라우팅 테이블이 너무 많다. 그리고 상당수가 축약 가능한 경우거나 불필요한 경로(iBGP 동기화용 DMZ)들이다. 그리고 과도한 Routing Table은 불필요한 부하를 발생시킬 수 있다. Routing Table에 다이어트를 시작해보자.



1. 축약하기

불필요하게 많은 내역을 축약하면, 좀더 간략화된 Routing table을 만들 수 있고, 그만큼 라우터에 부하를 줄일 수 있다.

축약은 ABR인 A00A/A00B에서 진행한다.
두개의 라우터 모두에서 아래의 명령어를 실행한다.

Router(config)# router ospf 5730
Router(config-router)# area 0 range 192.168.101.0 255.255.255.0
Router(config-router)# area 10 range 192.168.111.0 255.255.255.0
Router(config-router)# area 20 range 192.168.121.0 255.255.255.0

완료 후에는 아래와 같이 된다.

A00A에서 확인시 아래와 같이 축약한 경로 셋이 추가된 상태로 나온다.
경로가 Null0인 것은 특정 인터페이스로 지정한 경우 생길 수 있는 인터페이스 다운으로 인한 장애를 방지하기 위해서. ABR이기 때문에 Routing Table은 모두 다 표시된다. 하지만 Area가 다른 라우터로 광고하는건 축약된 경로만 광고된다.



A00B에서 확인시에도 동일하게 Null0로 지정된 축약 경로 셋이 추가된다.



이렇게 축약된 경로를 전달받은 A10A(Area 10)/A20A(Area 20)의 Routing Table은 아래와 같다.

A10A(Area 10)에서는 아래와 같이 Area 0(192.168.101.0/24)와 Area 20(192.168.121.0/24)이 축약된 경로로 표시된다.


A20A(Area 20)역시 아래와 같이 Area 0(192.168.101.0/24)와 Area 10(192.168.111.0/24)이 축약된 경로로 표시된다.


하지만, 두 라우터 모두 축약되지 않은 경로들 역시 광고받았고, 그중에서도 불필요한 경로들을 가지고 있다. 바로 DMZ(Demilitarized Zone) 인터페이스들. 이 경로들은 어디까지나 그 용도가 iBGP연결을 위해 IGP인 OSPF에 포함시킨 인터페이스들이다. 그나마도 순수 eBGP연결만 존재하는 Area 10/20에서는 불필요하다. (다만, 지금처럼 단순화시키지 않은 원래의 계획상으로는 모든 Area가 Area 0처럼 이중화 구조를 취하고 있었기 때문에 최초 계획대로 해둔 상태.)
이제 이러한 DMZ 인터페이스들을 생략해보자.



2. 제외/생략하기


2-1. OSPF network 선언에서 제외시키기

OSPF차원에서의 방법은 간단하다. 그냥 해당 네트워크만 제외시키면 되니까.
문제는 iBGP영역. 당장은 문제가 없지만 A00A-ISP_A 나 A00B-ISP_C 구간에 장애가 발생할 경우 문제가 생길 수 있다. 이 문제는 iBGP설정을 변경함으로서 해결 할 수 있다. 즉, 이 방법은 iBGP설정을 변경하고, OSPF선언을 제외하면 된다.

작업방식은 아래와 같이 진행하면 된다.

먼저 A00A의 DMZ 인터페이스를 ospf에서 제외시킨다.

Router(config)# router ospf 5730
Router(config-router)# no network 10.10.10.4 0.0.0.3 area 0

이후 A00A의 BGP설정에 아래와 같이 추가한다.

Router(config)# router bgp 11
Router(config-router)# neighbor  205.172.100.129 next-hop-self

A00B는 아래와 같다.

Router(config)# router ospf 5730
Router(config-router)# no network 12.12.12.4 0.0.0.3 area 0

Router(config)# router bgp 11
Router(config-router)# neighbor 205.172.100.129 next-hop-self

A10A/A20A는 ospf설정에서 DMZ만 제외해주면 된다. (iBGP설정이 없음.)

제외한 결과 및 입력한 세부 명령은 아래와 같다.


A00A

router ospf 5730
no network 10.10.10.4 0.0.0.3 area 0

router bgp 11
neighbor 205.172.100.129 next-hop-self



A00B

router ospf 5730
no network 12.12.12.4 0.0.0.3 area 0

router bgp 11
neighbor 203.172.100.129 next-hop-self




A10A

router ospf 5730
no network 11.11.11.12 0.0.0.3 area 10



A20A

router ospf 5730
no network 13.13.13.12 0.0.0.3 area 20




2-2. OSPF 경로 광고에서 제외시키기

방법은 이전에 사용했던 distribute-list를 쓰는 것이다. 역시 여기서도 in을 사용한다. out을 사용할 수는 있지만 이 경우에는 2-1과 본질적으로 차이가 없다. 앞에서 작성한 ACL를 수정(Named ACL로 작업한 경우)하거나 삭제 후 새로작성, 혹은 별도의 distribute-list를 사용할 수 있다. 여기서는 A00A만 과정을 명시하고 나머지는 최종 ACL 및 distribute-list 명령을 사용한다.

먼저 DMZ 인터페이스를 잠시 종료시킨다.

Router(config)# int s1/0
Router(config-if)# sh

그리고 ACL을 제거한다. 기존에 작업한 것이 Named가 아니라서 수정은 할 수 없다.
(Named로 한 경우라면 수정하면 된다.)

Router(config)# no access-list 11

제거한 뒤, 다시 동일한 번호로 새로 생성한다. 기존것에서 두줄이 추가된 구조다.

Router(config)# access-list 11 deny 204.172.100.160 0.0.0.3
Router(config)# access-list 11 deny 206.172.100.160 0.0.0.3
Router(config)# access-list 11 deny 11.11.11.12 0.0.0.3
Router(config)# access-list 11 deny 13.13.13.12 0.0.0.3
Router(config)# access-list 11 permit any

최종적으로 DMZ 인터페이스를 다시 활성화 시킨다.

Router(config)# int s1/0
Router(config-if)# no sh

동일한 방식으로 다른 3개의 라우터도 설정하면된다.


여기까지 설정이 끝난 경우의 ACL 설정은 아래와 같다.
(기존 ACL과 동일한 번호를 사용.)


A00A

access-list 11 deny 204.172.100.160 0.0.0.3
access-list 11 deny 206.172.100.160 0.0.0.3
access-list 11 deny 11.11.11.12 0.0.0.3
access-list 11 deny 13.13.13.12 0.0.0.3
access-list 11 permit any




A00B

access-list 11 deny 204.172.100.160 0.0.0.3
access-list 11 deny 206.172.100.160 0.0.0.3
access-list 11 deny 11.11.11.12 0.0.0.3
access-list 11 deny 13.13.13.12 0.0.0.3
access-list 11 permit any




A10A

access-list 10 deny 203.172.100.128 0.0.0.3
access-list 10 deny 205.172.100.128 0.0.0.3
access-list 10 deny 10.10.10.4 0.0.0.3
access-list 10 deny 12.12.12.4 0.0.0.3
access-list 10 deny 13.13.13.12 0.0.0.3
access-list 10 permit any




A20A

access-list 10 deny 203.172.100.128 0.0.0.3
access-list 10 deny 205.172.100.128 0.0.0.3
access-list 10 deny 10.10.10.4 0.0.0.3
access-list 10 deny 11.11.11.12 0.0.0.3
access-list 10 deny 12.12.12.4 0.0.0.3
access-list 10 permit any




P.S : 잘 보면, 제외시키는 쪽이 광고 안받는 쪽 보다 ABR의 Routing Table 길이가 짧다. (정확히는 한줄 차이) 이건 eBGP를 위한 경로가 필요한가 아닌가의 차이.

2013년 12월 24일 화요일

GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 5. 연결된 Tunnel을 통해 Area 연결 시도

지금까지의 내용을 그대로 따라한 경우, 아래와 같이 된다.

1. 3개의 OSPF Area 각각의 OSPF 경로가 형성된다.
2. 주요 4개의 라우터(A00A/A00B/A10A/A20A)간 루프백 인터페이스를 기준으로 한 eBGP경로가 생성됨.
3. 주요 4개의 라우터(A00A/A00B/A10A/A20A)간 eBGP 경로를 기반으로 터널링 연결을 통한 논리적 직접연결이 형성된다.
4. 4개의 ISP는 eBGP로 선언한 네트워크가 없어 주요 4개 라우터에 관련 경로가 남지 않음.


OSPF 단일 Area의 경우는 상관없으나, 여러 Area를 포함하는 경우, 반드시 모든 Area는 Area 0에 연결되어야만 한다. 앞에서 설정한 Tunnel 인터페이스는 이를 위해서 논리적으로 연결을 형성하기 위해 사용된 것이다.

그럼 이제 이를 이용해서 연결을 시도해 보자. (편의상 A00A와 A10A연결로 진행)

먼저 eBGP와 Tunnel 인터페이스가 정상적으로 활성화 되었는지 show ip route 명령으로 확인한다.

먼저 A00A는 아래와 같다.
아래와 같이 A10A의 루프백 인터페이스 및 Tunnel 12 인터페이스 연결이 확인된다.


그리고 A10A는 아래와 같다.
아래와 같이 A00A의 루프백 인터페이스 및 Tunnel 12 인터페이스 연결이 확인된다.



이제 여기에 Area 연결을 위해 Tunnel 12 인터페이스를 OSPF에 선언한다.

router ospf 5730
 network 192.168.111.64 0.0.0.3 area 10

그러면 아래와 같이 터널의 연결이 끊겼다가 다시 복구되는게 반복된다.




일반적으로 터널링 연결상태에서 연결이 끊기는 경우는 아래와 같다.


- There is no route to the tunnel destination address.
터널의 목적지(destination)로 연결되는 경로를 알 수 없는 경우.
* 이를 방지하기 위해서 Tunnel 인터페이스와 무관하게 라우팅 태이블에 올라오도록 설정한다. 여기서는 eBGP를 사용.

- The interface that anchors the tunnel source is down.
터널의 출발지(source) 인터페이스가 다운된 경우.
* 여기서는 이를 방지하기 위해서 Loopback 인터페이스를 사용했다.

- The route to the tunnel destination address is through the tunnel itself.
터널의 목적지(destination)로 향하는 경로가 터널 자신이 될 경우.


여기서는 세번째가 원인. OSPF에 선언된 네트워크중 주요 라우터의 루프백 인터페이스가 포함되어 있기 때문이다. 해결방법은 크게 두가지 방법이 있다.


1. Tunnel을 통해 연결하는 Routing Protocol에 해당 Tunnel의 Destination/Source에 해당하는 Network를 포함시키지 않는다.

2. Tunnel을 통해 연결하는 Routing Protocol에서 해당 Tunnel의 Destination/Source에 해당하는 Network를 광고하지 않는다.


지금과 같은 경우, iBGP로 연결된 구간이 있기 때문에 1번은 불가. 때문에 2번을 선택해서 아래와 같이 진행한다.


A00A

Router(config)# access-list 11 deny 204.172.100.160 0.0.0.3   - Tunnel 12 destination 관련
Router(config)# access-list 11 permit any
Router(config)# router ospf 5730
Router(config-router)# distribute-list 11 in


A10A

Router(config)# access-list 10 deny 203.172.100.128 0.0.0.3   - Tunnel 12 destination 관련
Router(config)# access-list 10 permit any
Router(config)# router ospf 5730
Router(config-router)# distribute-list 10 in


위 내용의 의미는 ACL을 통해서 광고 대상을 설정한 뒤(여기서는 Tunnel 12 destination에 대한 network), distribute-list 명령으로 OSPF 네이버간 받아들이는(distribute-list [acl] in) 광고를 제한한것. 외부로 보내는 광고를 제한(distribute-list [acl] out)하지 않는 이유는 iBGP기반이 되는 영역과 중복되고, 다른 장비에는 경로에 대한 광고를 보내야 하기 때문.

최종적으로 이 환경에서 OSPF Area 연결에 대한 명령은 아래와 같이 된다.


A00A

access-list 11 deny 204.172.100.160 0.0.0.3
access-list 11 deny 206.172.100.160 0.0.0.3
access-list 11 permit any

router ospf 5730
network 192.168.111.64 0.0.0.3 area 10
network 192.168.121.64 0.0.0.3 area 20
distribute-list 11 in


A00B

access-list 11 deny 204.172.100.160 0.0.0.3
access-list 11 deny 206.172.100.160 0.0.0.3
access-list 11 permit any

router ospf 5730
network 192.168.111.68 0.0.0.3 area 10
network 192.168.121.68 0.0.0.3 area 20
distribute-list 11 in


A10A

access-list 10 deny 203.172.100.128 0.0.0.3
access-list 10 deny 205.172.100.128 0.0.0.3
access-list 10 permit any

router ospf 5730
network 192.168.111.64 0.0.0.3 area 10
network 192.168.111.68 0.0.0.3 area 10
distribute-list 10 in


A20A

access-list 10 deny 203.172.100.128 0.0.0.3
access-list 10 deny 205.172.100.128 0.0.0.3
access-list 10 permit any

router ospf 5730
network 192.168.121.64 0.0.0.3 area 20
network 192.168.121.68 0.0.0.3 area 20
distribute-list 10 in


P.S : distribute-list에 사용되는 ACL은 반드시 Standard ACL만 사용 가능하다. 조금 다른 경우로, X.X.X.0/24는 차단하고 X.X.X.0/25는 받도록 하고싶은 경우라면 ACL이 아닌 Prefix-List를 사용해야 한다.

P.S : 사실 이 현상 자체는 좀 더 간단한 방법으로 해결 가능하다.


관련 링크

GRE Tunnel Keepalives
OSPF Inbound Filtering Using Route Maps with a Distribute List

2013년 12월 20일 금요일

GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 4. 터널링 설정

Tunnel 연결.

특정 네트워크끼리 논리적인 연결을 구성함으로서 마치 직접 연결된 인터페이스로 인식 시키는 기술. 여기서는 총 4개의 터널 연결을 구성한다.

tunnel 12 : A00A Lo 0 - A10A Lo 0
tunnel 22 : A00B Lo 0 - A10A Lo 0
tunnel 13 : A00A Lo 0 - A20A Lo 0
tunnel 23 : A00B Lo 0 - A20A Lo 0




A00A 

interface Tunnel12
 ip address 192.168.111.65 255.255.255.252
 tunnel source 203.172.100.129
 tunnel destination 204.172.100.161

interface Tunnel13
 ip address 192.168.121.65 255.255.255.252
 tunnel source 203.172.100.129
 tunnel destination 206.172.100.161



A00B

interface Tunnel22
 ip address 192.168.111.69 255.255.255.252
 tunnel source 205.172.100.129
 tunnel destination 204.172.100.161

interface Tunnel23
 ip address 192.168.121.69 255.255.255.252
 tunnel source 205.172.100.129
 tunnel destination 206.172.100.161



A10A 

interface Tunnel12
 ip address 192.168.111.66 255.255.255.252
 tunnel source 204.172.100.161
 tunnel destination 203.172.100.129

interface Tunnel22
 ip address 192.168.111.70 255.255.255.252
 tunnel source 204.172.100.161
 tunnel destination 205.172.100.129



A20A

interface Tunnel13
 ip address 192.168.121.66 255.255.255.252
 tunnel source 206.172.100.161
 tunnel destination 203.172.100.129

interface Tunnel23
 ip address 192.168.121.70 255.255.255.252
 tunnel source 206.172.100.161
 tunnel destination 205.172.100.129


정상적으로 터널링 연결이 되었다면, 기존에 BGP를 통해 Lo 0로 핑을 보낸것과 달리 터널로 직접 핑을 보낼 수 있다. 핑 테스트를 꼭 해보자. 



GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 3. 각 라우터간 연결(BGP)


1. ISP 연결관련 설정.

ISP부분은 OSPF가 아니면서 각 Area를 연결하기 위한 환경을 구성하는게 목적이고, 그러한 목적을 위해서 각각 모두 분리된 AS로 eBGP를 구성함. ISP들 자체의 네트워크 선언은 하지 않고 OSPF 각 Area에서 선언된 네트워크 전달만 함. 각각의 AS는 아래와 같음.

ISP_A : BGP 10
ISP_B : BGP 20
ISP_C : BGP 30
ISP_D : BGP 40



ISP_A 

interface Loopback0
 ip address 203.172.100.65 255.255.255.252

interface FastEthernet0/0
 ip address 100.100.10.5 255.255.255.252

interface FastEthernet0/1
 ip address 100.100.11.5 255.255.255.252

interface Serial1/0
 ip address 10.10.10.5 255.255.255.252

router bgp 10
 no synchronization (사용 IOS파일에선 기본값. 이후 언급 생략)
 bgp router-id 203.172.100.65
 bgp log-neighbor-changes (사용 IOS파일에선 기본값. 역시 이후 언급 생략)
 neighbor 10.10.10.6 remote-as 11 (A00A와 eBGP연결)
 neighbor 100.100.10.6 remote-as 20 (ISP_B와 eBGP연결)
 neighbor 100.100.11.6 remote-as 30 (ISP_C와 eBGP연결)


ISP_B

interface Loopback0
 ip address 204.172.100.65 255.255.255.252

interface FastEthernet0/0
 ip address 100.100.10.6 255.255.255.252

interface FastEthernet0/1
 ip address 110.110.10.5 255.255.255.252

interface Serial1/1
 ip address 11.11.11.13 255.255.255.252

router bgp 20
 no synchronization
 bgp router-id 204.172.100.65
 bgp log-neighbor-changes
 neighbor 11.11.11.14 remote-as 12 (A10A와 eBGP연결)
 neighbor 100.100.10.5 remote-as 10 (ISP_A와 eBGP연결)
 neighbor 110.110.10.6 remote-as 40 (ISP_D와 eBGP연결)


ISP_C

interface Loopback0
 ip address 205.172.100.65 255.255.255.252

interface FastEthernet0/0
 ip address 120.120.10.5 255.255.255.252

interface FastEthernet0/1
 ip address 100.100.11.6 255.255.255.252

interface Serial1/0
 ip address 12.12.12.5 255.255.255.252

router bgp 30
 no synchronization
 bgp router-id 205.172.100.65
 bgp log-neighbor-changes
 neighbor 12.12.12.6 remote-as 11 (A10B와 eBGP연결)
 neighbor 100.100.10.5 remote-as 10 (ISP_A와 eBGP연결)
 neighbor 120.120.10.6 remote-as 40 (ISP_D와 eBGP연결)


ISP_D

interface Loopback0
 ip address 206.172.100.65 255.255.255.252

interface FastEthernet0/0
 ip address 120.120.10.6 255.255.255.252

interface FastEthernet0/1
 ip address 110.110.10.6 255.255.255.252

interface Serial1/1
 ip address 13.13.13.13 255.255.255.252

router bgp 40
 no synchronization
 bgp router-id 206.172.100.65
 bgp log-neighbor-changes
 neighbor 13.13.13.14 remote-as 13 (A20A와 eBGP연결)
 neighbor 110.110.10.5 remote-as 20 (ISP_B와 eBGP연결)
 neighbor 120.120.10.5 remote-as 30 (ISP_C와 eBGP연결)



2. 각 OSPF Area별 설정.

각 OSPF Area 별로 지정된 BGP AS값은 아래와 같다.

Area 0 : 11
Area 10 : 12
Area 20 : 13

OSPF Area 0은 외부 연결이 이중화 구조라 A00A와 A00B는 iBGP구성(IGP는 OSPF 그대로 사용). 그외의 BGP연결은 모두 eBGP연결.


2-1. Area 0

A00A

router bgp 11
 bgp router-id 203.172.100.129
 neighbor 10.10.10.5 remote-as 10
 neighbor 205.172.100.129 remote-as 11
 neighbor 205.172.100.129 update-source Loopback0
 network 203.172.100.128 mask 255.255.255.240


A00B

router bgp 11
 bgp router-id 205.172.100.129
 neighbor 12.12.12.5 remote-as 30
 neighbor 203.172.100.129 remote-as 11
 neighbor 203.172.100.129 update-source Loopback0
 network 205.172.100.128 mask 255.255.255.240


2-2. Area 10

A10A

router bgp 12
 bgp router-id 204.172.100.161
 network 204.172.100.160 mask 255.255.255.240
 neighbor 11.11.11.13 remote-as 20


2-3. Area 20

A20A

router bgp 13
 bgp router-id 206.172.100.161
 network 206.172.100.160 mask 255.255.255.240
 neighbor 13.13.13.13 remote-as 40



P.S : 혹시라도 이 내용대로 직접 해보시는 분이 있을지 몰라 첨언.
지금처럼 네트워크 선언을 루프백만 한 경우, ping 명령어를 평소처럼 Destination IP만 입력하면 정상적인 핑이 돌아오지 않는다. 아래와 같이 할 필요가 있다.

ping [Destination IP] source [Source 'IP or Interface']

여기서 말하는 Source IP or Interface는 BGP를 통해 선언되서 상대쪽에서도 이미 알고 있는 네트워크를 말한다. (상대가 모르는 네트워크면 응답을 할 수가 없으니까.)

2013년 12월 19일 목요일

AD(Administrative Distance)값?

메모리 상에 존재하는 경로중, 어떤걸 실제로 라우팅 태이블에 올리는가 결정하기 위한 값.
숫자가 낮을 수록 우선권을 가지며, 실제로 연결된 장비의 경우 0으로 되어 있다.

즉 동일한 경로에 대해서 AD값이 90인 EIGRP와 110인 OSPF의 경로값이 각각 존재할 경우, AD값이 낮은 EIGRP가 라우팅 태이블에 올라간다. 같은 이유로 동일 경로에 대해 Static route값이 있다면 그게 올라가고.

각 조건별 AD값의 기본값은 아래 표와 같다.

Route Source
Default Distance Values
Connected interface
0
Static route
1
EIGRP summary route
5
eBGP
20
Internal EIGRP
90
IGRP
100
OSPF
110
IS-IS(Intermediate System-to-Intermediate System)
115
RIP
120
Exterior Gateway Protocol (EGP)
140
On Demand Routing (ODR)
160
External EIGRP
170
iBGP
200
Unknown*
255

주요 Routing Protcol별 값 수정은 다음과 같이 할 수 있다.

1. Static Routing

보통 아래와 같이 Static Routing을 설정할때, 마지막에 [AD]값을 숫자(1~255)로 입력하면 된다. 입력하지 않으면 기본값(1)으로 설정됨.

Router(config)# ip route [Destination IP] [Destination mask] [next-hop] [AD]


2. RIP

RIP설정중 아래와 같이 진행하면 된다. 역시 AD값은 1~255사이.

Router(config)# router rip
Router(config-router)# distance [AD]


3. OSPF

RIP과 거의 동일하지만 몇가지 옵션을 더 제공한다.

Router(config)# router ospf [process-id]
Router(config-router)# distance [AD] - ospf 전체
or
Router(config-router)# distance [AD] [Source IP] [Wild mask] (ACL) - ospf 해당 소스
or
Router(config-router)# distance ospf external [AD]  - ospf external에 대해서 AD조정
or
Router(config-router)# distance ospf inter-area [AD]  - ospf inter-area에 대해서 AD조정
or
Router(config-router)# distance ospf intra-area [AD]  - ospf intra-area에 대해서 AD조정



4. EIGRP

역시 크게 다르지 않다.

Router(config)# router eigrp [process-id]
Router(config-router)# distance [AD] [Source IP] [Wild mask] (ACL) - eigrp 해당 소스
or
Router(config-router)# distance eigrp [internal-AD] [external-AD] - internal 및 external 각각의 값으로 조정.



5. BGP

역시 옵션만 조금 다르고 마찬가지다.

Router(config)# router bgp [as-id]
Router(config-router)# distance [AD] [Source IP] [Wild mask] (ACL) - BGP해당 소스
or
Router(config-router)# distance bgp [eBGP-AD] [iBGP-AD] [Local-AD] - 각각의 조건에 대해서 AD조정
or
Router(config-router)# distance mbgp [eBGP-AD] [iBGP-AD] [Local-AD] - 각각의 조건에 대해서 MBGP(Multiprotocol-BGP)의 AD조정



PS : 해당 명령어는 GNS3에서 c3660 모델 이미지로 직접 확인한 명령어라 타 모델과는 조금 다를 수 있음.


참고링크

What Is Administrative Distance?
OSPF Design Guide

GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 2. 주요 인터페이스 IP설정 및 각 Area별 OSPF설정

각 장비별 주요 인터페이스 및 기본적인 OSPF 설정값.
(각 영역별 Core부분만. Access Layer부분은 생략. Distribute Layer는 GNS 한계상 제외)




A00A

interface Loopback0 - BGP 광고용 대표 IP 배정
 ip address 203.172.100.129 255.255.255.240

interface FastEthernet0/0 - A00C와 연결
 ip address 192.168.101.129 255.255.255.252

interface FastEthernet0/1 - A00D와 연결
 ip address 192.168.101.133 255.255.255.252

interface Serial1/0 - ISP_A와 연결
 ip address 10.10.10.6 255.255.255.252

interface FastEthernet2/0 - A00B와 연결
 ip address 192.168.101.137 255.255.255.252

router ospf 5730
 router-id 203.172.100.129
 passive-interface Serial1/0
 network 10.10.10.4 0.0.0.3 area 0
 network 192.168.101.128 0.0.0.3 area 0
 network 192.168.101.132 0.0.0.3 area 0
 network 192.168.101.136 0.0.0.3 area 0
 network 203.172.100.128 0.0.0.15 area 0

A00B

interface Loopback0 - BGP 광고용.
 ip address 205.172.100.129 255.255.255.240

interface FastEthernet0/0 - A00D와 연결
 ip address 192.168.101.145 255.255.255.252

interface FastEthernet0/1 - A00C와 연결
 ip address 192.168.101.149 255.255.255.252

interface Serial1/0 - ISP C와 연결
 ip address 12.12.12.6 255.255.255.252

interface FastEthernet2/0 -A00A와 연결
 ip address 192.168.101.138 255.255.255.252

router ospf 5730
 router-id 205.172.100.129
 passive-interface Serial1/0
 network 12.12.12.4 0.0.0.3 area 0
 network 192.168.101.136 0.0.0.3 area 0
 network 192.168.101.144 0.0.0.3 area 0
 network 192.168.101.148 0.0.0.3 area 0
 network 205.172.100.128 0.0.0.15 area 0


A10A

interface Loopback0 - BGP 광고용
 ip address 204.172.100.161 255.255.255.240

interface FastEthernet0/0 - A10B와 연결
 ip address 192.168.111.129 255.255.255.252

interface Serial1/1 - ISP B와 연결
 ip address 11.11.11.14 255.255.255.252

router ospf 5730
 router-id 204.172.100.161
 passive-interface Serial1/1
 network 11.11.11.12 0.0.0.3 area 10
 network 192.168.111.128 0.0.0.3 area 10
 network 192.168.111.132 0.0.0.3 area 10
 network 204.172.100.160 0.0.0.15 area 10


A20A

interface Loopback0 - BGP 광고용
 ip address 206.172.100.161 255.255.255.240

interface FastEthernet0/0 - A20B와 연결
 ip address 192.168.121.129 255.255.255.252

interface Serial1/1 - ISP D와 연결
 ip address 13.13.13.14 255.255.255.252

router ospf 5730
 router-id 206.172.100.161
 passive-interface Serial1/1
 network 13.13.13.12 0.0.0.3 area 20
 network 192.168.121.128 0.0.0.3 area 20
 network 192.168.121.132 0.0.0.3 area 20
 network 206.172.100.160 0.0.0.15 area 20


P.S : 당연하다면 당연하지만, 실제로 입력한 건 저렇게 명령다 치고 입력하지 않습니다~
그리고 저것 만 하진 않아요. 다 생략하고 마지막에 불필요한것 다 컷한 결과물. show running-config에서 필요한 부분만 잘라온겁니다~

2013년 12월 16일 월요일

GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 1. 개요

1. 개요

Routing Protocol을 공부하다보면, RIP/OSPF/EIGRP/BGP 이 네가지는 배우게 된다.
물론 BGP는 CCNA까지에서는 그냥 그런게 있다 정도나 배우거나 아예 듣지도 못하지만...

그중 OSPF는 다소 큰 구조의 네트워크 구성에 주로 사용되며, 구역별로 Area를 나눠서 Routing 정보를 전달하는 구조를 가지고 있다. 다만, 하나의 Area로만 구성된 경우에는 상관이 없지만, 둘 이상의 Area로 구성된 경우는 제한사항이 하나 있는데, 모든 Area 는 Area 0과 논리적으로 직접 연결되야만 한다는 점이다. 따라서 Area 1 - Area 0 - Area 2는 가능하지만, Area 0 - Area 1 - Area 2는 불가능하다. 당연히 Area 0 - 별도 네트워크 - 그외 Area 식의 환경도 연계가 안된다.

이런 상황을 해결하는 방법은 몇가지가 있지만, 여기서는 Tunnel 을 사용한 방법으로 분리된 네트워크 환경에서 하나의 OSPF 구성으로 만드는 방법을 알아보려고 한다.

시뮬레이션은 GNS3를 사용했으며, 실제 작업과정에서 걸리는 부하가 커서 상당히 간략화 한 구조를 사용하기로 한다.


2. 기본 설정



기본설정은 아래와 같다.

Area 0 : 가상의 회사 - 본사

Area 10/20 : 가상의 회사 - 지사

ISP A~D : 가상의 계약한 ISP 업체들

ISP간 연결 및 ISP-회사간 연결에는 BGP를 사용한다.

각 본사 및 지사 내부적으로는 OSPF를 사용한다.

각 본사 및 지사간 GRE Tunnel(with VPN)을 구성해서 연결한다.




3. 구성

-1. ip 설정 및 연결.

일단 OSPF 영역의

Point-to-Point 부분은 C Class급 사설네트워크로
192.168.100.0 - Area 0
192.168.110.0 - Area 10
192.168.120.0 - Area 20
내에서 분할함.

ISP 영역은 적당히~(중요하지 않으니까)

해서 실제 설정값은 다음게시물로