Академический Документы
Профессиональный Документы
Культура Документы
Робочий зошит
до тренінгу
Київ - 2020
2
Содержание:
0. Условные обозначения 3
1. Основы IP-сетей 4
1.1. Понятие IP-сети 4
1.2. Стек протоколов TCP/IP 4
1.3. IP - адресация 5
1.4. Маршрутизация в IP-сетях 8
1.5. Протоколы динамической маршрутизации 9
2. Начальное конфигурирование и мониторинг маршрутизаторов Juniper 12
2.1. Консольное подключение 12
2.2. CLI 13
2.3. Конвейер 18
2.4. Справочная подсистема 18
2.5. Политика безопасности по умолчанию 18
2.6. Ротация конфигурационных файлов 19
2.7. Настройка удаленного управления 19
2.8. Пересброс забытого пароля 19
2.9. Обновление Junos 21
2.10. Команды мониторинга маршрутизаторов Juniper 21
2.11. Сетевые утилиты операционной системы JUNOS 21
2.12. Практическая работа 21
3. Настройка маршрутизации для маршрутизаторов Juniper 30
3.1. Особенности архитектуры маршрутизаторов Juniper SRX 30
3.2. Настройка статических маршрутов на маршрутизаторах Juniper 30
3.3. Настройка протокола маршрутизации OSPF для одной зоны 32
3.4. Просмотр таблицы маршрутизации и таблицы пересылки 34
3.5. Практическая работа. Основы маршрутизации 41
3.6. Практическая работа. Протокол OSPF.
3
0. Условные обозначения.
Маршрутизатор
Хаб
Компьютер
4
1. Основы IP-сетей.
1.1. Понятие IP-сети.
IP-сеть - это сеть, построенная на базе стека протоколов TCP/IP. Частным случаем IP-сети является
глобальная сеть Internet. Корпоративная IP-сеть, построенная с применением интернет-сервисов для
внутреннего пользования, называется Intranet.
Одним из преимуществ сети Internet является открытость архитектуры. Стандарты Internet описаны в
группе документов с общим названием RFC – Request for Comment, их можно использовать бесплатно.
При этом открытость архитектуры совершенно не подразумевает отсутствие контроля. В настоящий
момент ключевые глобальные службы Internet контролируются американскими организациями. Также
преимуществом является не зависящая от аппаратного обеспечения схема адресации. IP-адрес
назначается независимо от MAC-адреса.
К началу 90-х годов появились удобные для пользователя операционные системы с графическим
интерфейсом, также было налажено массовое производство недорогих ПК. Появление службы www и
удобных графических браузеров, понятных рядовым пользователям, привело ко взрывному росту Internet.
В дальнейшем рост был обусловлен за счет мобильных пользователей.
Дальнейший рост интернет возможен за счет т.н. интернета вещей. Интернета вещей (англ. Internet of
Things, IoT) — концепция вычислительной сети физических предметов («вещей»), оснащённых
встроенными технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей
подразумевает подключение к IP-сети бытовых устройств, при этом количество подключенных устройств
к 2030г. Может достигнуть 50млрд.
Рис.1.1.
Уровень IV – уровень сетевого доступа (network access layer) соответствует физическому и канальному
уровням модели OSI.
Уровень II - транспортный уровень (transport layer) соответствует транспортному уровню модели OSI. На
транспортном уровне находится дейтаграммный протокол UDP и протокол TCP, обеспечивающий
надёжную доставку.
5
Уровень I - прикладной уровень (application layer) выполняет функции трёх верхних уровней модели OSI.
Протоколы прикладного уровня обеспечивают работу интернет-служб, таких как www, ftp и др.
Прикладные протоколы используют TCP и UDP в качестве транспортных протоколов.
Т.о, на уровне межсетевого взаимодействия используется протокол IP. Блок данных IP-протокола
называется IP-пакетом. В настоящее время используется 2 версии IP-протокола: IPv4 и IPv6. IPv4-адреса
32-х разрядные, и позволяют адресовать около 4млрд хостов. Из-за нехватки адресного пространства
последние годы пытаются внедрить IPv6. IPv6 адреса 128-разрядные. В большинстве случаев в сети
Укртелекома используется IPv4-адресация, и дальнейший материал излагается для IPv4.
1.3. IP – адресация
IP-адрес является 32- битовым числом, уникальным для каждого компьютера в IP-сети. Не может быть 2-
х компьютеров с одинаковыми IP-адресами, хотя у одного и того же узла может быть несколько IP-
адресов.
IP-адрес состоит из 2-х частей: номер сети и номер компьютера (хоста) в этой сети. Предусмотрено
несколько классов IP-адресов (см. табл.1.2.).
Для записи IP-адреса используется точечно-десятичная нотация, согласно которой каждый байт адреса
преобразуется в десятичную форму, после чего полученные результаты записываются через точку
(табл.1.1).
Табл.1.1.
IP-адрес в двоичном виде 11001000011100100000011000110010
Побайтовое разбиение 11001000 01110010 00000110 00110010
Десятичный эквивалент 200 114 6 50
IP-адрес в точечно-десятичной нотации 200.114.6.50
Табл.1.2.
Класс адреса Первые Первый Длина номера Длина Количество
биты байт сети номера хостов в сети
хоста
A 0 1-126 8 бит 24 бита 224-2 = 16777214
B 10 128 - 191 16 бит 16 бит 216-2 = 65534
C 110 192 - 223 24 бита 8 бит 28-2 = 254
D 1110 224-239 Используется для мультикастинга.
E 1111 240-255 Зарезервирован для экспериментальных целей
Не все адреса можно использовать для адресации хостов. Часть адресов зарезервирована для
специального применения.
Адрес сети – это IP-адрес, в котором номер хоста заполнен одними нулями, например адрес 10.0.0.0.
Адреса сетей используются маршрутизаторами для составления таблиц маршрутизации.
Широковещательный адрес – это IP-адрес, в котором номер хоста заполнен одними единицами.
Например, для сети 10.0.0.0 широковещательный адрес будет 10.255.255.255. Пакеты с адресом
10.255.255.255 должны быть доставлены всем компьютерам в сети 10.0.0.0. IP-сети поддерживают
ограниченное широковещание, т.е. можно послать широковещательный пакет какой-то определённой
сети, но на всю интерсеть широковещательный пакет отправить нельзя.
Таким образом, в любой сети всегда 2 адреса зарезервированы – это адрес сети, а также
широковещательный адрес для этой сети. IP-адреса между адресом сети и широковещательным адресом
являются диапазоном адресов, которые могут назначаться хостам этой сети. Например, для сети 10.0.0.0
диапазон адресов хостов будет 10.0.0.1 - 10.255.255.254.
Сеть 0.0.0.0 зарезервирована для задания маршрутов по умолчанию. Маршрут по умолчанию – это
маршрут к сети 0.0.0.0. Поэтому сеть 0.0.0.0 нельзя использовать для адресации хостов.
6
Сеть 127.0.0.0 зарезервирована для тестирования работоспособности протокола IP. Все адреса сети
127.0.0.0 – это адреса петли обратной связи для компьютера с поддержкой IP. Когда компьютер
отправляет IP-пакет на любой адрес из сети 127.0.0.0, он отправляет пакет самому себе.
Адрес 255.255.255.255 - это широковещательный адрес для сети, в которой находится отправитель пакета.
Пакет, направленный по этому адресу, должен быть разослан всем компьютерам, находящимся в одной
сети с отправителем.
Распределение адресов.
В корпоративной сети администратор может назначать IP-адреса по своему усмотрению. Для сети Internet
существует ряд уполномоченных организаций, распределяющих IP-адреса. В Европе адреса распределяет
RIPE http://www.ripe.net. RIPE передаёт IP-адреса Internet-провайдерам во временное пользование, а те в
свою очередь распределяют IP-адреса между своими клиентами. Таким образом обеспечивается
уникальность IP-адресов в глобальном масштабе.
Для оптимизации имеющегося адресного пространства можно осуществлять деление сетей на подсети, а
также использовать частные (private) диапазоны IP-адресов для адресации в корпоративных сетях.
Эти адреса называются частыми (приватными, серыми), в отличие от остальных IP-адресов в сети Internet,
которые называются реальными (белыми) адресами. Диапазоны частных адресов предназначены для
адресации в корпоративных сетях. IP-пакеты с такими адресами не будут маршрутизироваться в Internet.
Т.е. можно в разных корпоративных сетях использовать для адресации одно и то же адресное
пространство.
Для обеспечения доступа в Internet из приватных сетей может использоваться NAT (Network Address
Translation) или также прокси-серверы.
NAT (Network Address Translation) основана на замене IP-адреса в заголовке пакета с приватного на
реальный (рис. 1.2). Предположим, в глобальной сети имеется хост 10.0.0.2. При отправке хостом 10.0.0.2
пакета в Internet этот пакет отправляется на маршрутизатор по умолчанию. Если на маршрутизаторе
включен NAT, то маршрутизатор подменяет адреса согласно таблице преобразования адресов (Address
Translation Table), в которой содержится соответствие между реальными и приватными адресами.
Предположим соответствие в таблице преобразований 10.0.0.2 <-> 195.1.1.2. При отправке пакета с
10.0.0.2 маршрутизатор осуществит замену IP-адреса отправителя с 10.0.0.2 на 195.1.1.2, т.е. с приватного
адреса на реальный. При получении пакета на адрес 195.1.1.2 маршрутизатор осуществит преобразование
адреса получателя с 195.1.1.2 на 10.0.0.2, т.е. с реального на приватный, после чего отправит пакет в
корпоративную сеть. NAT прозрачно для конечного пользователя обеспечивает доступ к глобальной сети.
7
Рис. 1.2.
Дальнейшим развитием NAT является PAT (Port Address Translation). PAT позволяет обеспечить выход в
Internet для нескольких тысяч пользователей с одного реального адреса.
Рис.1.3.
Деление сетей на подсети (subneting) позволяет разбить сеть на более мелкие части. При разбиении сетей
на подсети часть номера хоста используется для задания номера подсети, таким образом IP-адрес состоит
из трёх частей – номер сети, номер подсети, и номер хоста в этой подсети (рис.1.4).
8
Рис.1.4.
Количество подсетей определяется как 2n, где n – количество бит, отводимых для номера подсети. При
этом следует учесть, что номер хоста должен состоять как минимум из 2-х бит. Номер подсети может
состоять из одного бита. Количество хостов в подсети определяется как 2k-2, где k – количество бит,
оставшихся для номера хоста.
Маска подсети
При настройке IP - протокола необходимо задать, сколько бит отводится на номер подсети. Количество
бит, отводимых на номер сети, определяется классом IP-адреса. Но по классу IP-адреса невозможно
определить, сколько бит отводится на номер подсети. Эта задача решается при помощи маски подсети.
Маска подсети является 32-х битным числом, при помощи которого можно определить, сколько бит
отводится на подсеть. Те разряды, которые в IP-адресе отводятся на сеть и подсеть, в маске подсети
заполняются единицами. Разряды, которые в IP-адресе отводятся на номер хоста, в маске подсети
заполняются нулями (рис. 1.5).
Маска подсети записывается в точечно-десятичной нотации, или в виде количества бит, отводимых
суммарно на сеть и подсеть. Например, IP-адрес 195.1.1.66 с маской 255.255.255.240 соответствует записи
195.1.1.66/28.
Рис.1.5.
Таким образом, маска подсети длиной 28 бит в десятично-точечной нотации выглядит как 255.255.255.240
Зная класс IP-адреса и маску подсети, легко определить количество бит, отводимых на номер хоста и на
номер подсети, а также определить, разбита ли сеть на подсети. Например, 195.1.1.66/28 означает, что для
адреса класса C длина маски составляет 28 бит, т.е на сеть и подсеть суммарно отводится 28 бит.
Поскольку номер сети класса C занимает 24 бита, следовательно в рассматриваемом примере 4 бита
отводится на номер подсети.
VLSM
Использование масок подсети переменной длины (Variable Length Subnet Mask - VLSM) позволяет более
гибко разбивать адресное пространство. VLSM позволяет осуществлять дополнительное разбиение
имеющихся подсетей на подсети. Это достигается за счёт увеличения поля номера подсети.
Основные понятия.
Internet – это множество сетей, соединённых при помощи маршрутизаторов. Маршрутизатор должен
выбрать маршрут и отправить пакет по этому маршруту. Задача выбора маршрута называется
маршрутизацией.
9
Маршрутизация бывает статическая и динамическая. При статической маршрутизации таблица
маршрутизации формируется вручную администратором. В случае динамической маршрутизации
таблица маршрутизации формируется автоматически при помощи проколов маршрутизации.
Каждая запись таблицы маршрутизации как минимум содержит три поля: адрес сети получателя, адрес
маршрутизатора следующего перехода, метрика маршрута.
Адрес сети получателя – это адрес сети, в которой находится получатель.
Адрес маршрутизатора следующего перехода (next-hop router address) – IP-адрес интерфейса соседнего
маршрутизатора, на который нужно отправить пакет, чтобы этот пакет попал в сеть получателя.
Метрика маршрута используется для оценки качества маршрута. Чем короче метрика, тем лучше
маршрут. В простейшем случае в качестве метрики используется количество маршрутизаторов
транзитного перехода, которые должен пройти пакет, чтобы попасть в сеть назначения (количество
переходов – hop count). В более сложных случаях метрика вычисляется с учётом пропускной способности
маршрута, задержки и ряда других параметров.
Например, запись
191.1.1.0 190.1.1.1 7
обозначает: для того, чтобы пакет попал в сеть 191.1.1.0, он должен быть отправлен на интерфейс
соседнего маршрутизатора с адресом 190.1.1.1, метрика маршрута равна 7.
Бесклассовая маршрутизация (Classless Interdomain Routing - CIDR) используется для оптимизации
таблиц маршрутизации, что особенно актуально для магистральных маршрутизаторов. Для этого
маршрутизация осуществляется не на основе адресов сетей, а на основе сетевых префиксов.
Рассмотрим блок сетей класса C от 195.5.0.0 до 195.5.255.0. Этот блок сетей занимает диапазон от
195.5.0.0 до 195.5.255.255., т.е его можно рассматривать как некоторую виртуальную сеть 195.5.0.0/16.
Такая сеть называется агрегированной сетью, или суперсетью. Если маршрут ко всем этим сетям
одинаковый, его можно заменить одним маршрутом к сети 195.5.0.0/16 (рис.1.6). Такое объединение
маршрутов называется агрегацией маршрутов.
Сеть Internet разбита на крупные участки – автономные системы (Autonomous System, AS).
Передача данных из одной AS в другую возможна только через пограничные маршрутизаторы
(Border Gateway).
10
Протоколы маршрутизации, используемые для обмена маршрутной информацией в пределах
автономной системы, называются протоколами маршрутизации внутреннего шлюза (Interior
Gateway Protocol - IGP).
Принцип работы
Петли маршрутизации
Петля маршрутизации (routing loop) возникает в том случае, если роутеры содержат
маршрутную информацию, приводящую к циркуляции пакета по определенному маршруту. В
этом случае пакет передаётся от одного маршрутизатора к другому по петле, пока TTL (Time to
Live – время жизни) не обнулится, после чего пакет будет удалён, а отправителю пакета будет
направлено ICMP-сообщение ttl exceeded..
Существуют две версии RIP: RIPv1 и RIPv2. RIPv1 не поддерживает CIDR и VLSM, и
практически не используется. RIPv2 поддерживает CIDR и VLSM.
Единственной метрикой RIP является количество хопов (hop count). RIP не учитывает полосу
пропускания, из-за этого не всегда может выбрать правильный маршрут. Максимальное значение
метрики, при которой сеть еще достижима, равно 15. 16 для RIP это уже бесконечность, т.е. для
больших сетей RIP не подходит в качестве протокола маршрутизации.
Принцип работы
Протокол OSPF
Протокол OSPF (Open Shortest Path First) является наиболее распространённым протоколом
маршрутизации по состоянию связей. Согласно терминологии OSPF автономая система
разбивается на зоны (area). Нулевая зона (area 0) является магистральной зоной backbone area и
её наличие в обязательно. Через магистральную зону осущестлвется обмен маршрутной
11
информацией между всеми маршрутизаторами. Все зоны должны быть подключены к
магистральной зоне. Маршрутизаторы в OSPF бывают следующих типов (рис.1.7):
Рис.1.7.
1.5.4. BGP.
BGP (Border Gateway Protocol) используется для обмена маршрутной информаций между пограничными
роутерами автономных систем. Т.к. интернет большой, то протокол маршрутизации внутреннего шлюза
потребует огромных ресурсов для маршрутизации в пределах всей сети Internet. BGP рассматривает
автономную систему как единое целое, и топологию внутри автономной системы не видит. Очень
упрощенно, BGP – это продвинутый RIP, где 1 автономная система это 1 хоп. Такой подход дает
возможность вместить все маршруты Internet в пределах нескольких сотен тысяч записей. Т.к. топологию
внутри автономной системы BGP не видит, то в пределах автономной системы маршрутизация должна
обеспечиваться при помощи одного из протоколов маршрутизации внутреннего шлюза, или статически.
12
2. Начальное конфигурирование и мониторинг маршрутизаторов Juniper.
2.1. Консольное подключение
Консольный порт.
Удаленное управление
При наличии консольного кабеля от Cisco или Huawei его можно использовать для
конфигурирования устройств Juniper.
Однако есть особенности. Устройства Juniper комплектуются переходниками DB9/RJ45. Внешне
такой переходник не отличается от переходника, который ранее поставлялся с
маршрутизаторами Cisco. Но в переходник DB9/RJ45 фирмы Juniper включается обычный
прямой кабель Ethernet (straight-through), в то время как в переходник DB9/RJ45 фирмы Cisco
вставляется ролловерный кабель.
При начальном подключении к устройству Juniper с заводской конфигурацией вход на
устройство осуществляется с такими параметрами:
login:root
пароль: без пароля
После этого попадаете в командную строку unix, т.к. JunOS создана на основе FreeBSD. Для
перехода в командный интерпретатор Junos нужно ввести команду cli (Рис.4.1.)
13
Рис.4.1.
2.2. CLI
Работа с командной строкой в JUNOS разделяется на 2 режима:
Operational Mode (приглашение командной строки ">") - тут нам доступны show команды и команды
для мониторинга и траблшутинга сети (monitor, ping, test, traceroute);
Configuration Mode (приглашение командной строки "#") - режим, в котором происходит настройка
устройства. В этот режим можно попасть, набрав команду "Configure" или "Edit" в Operational Mode.
Структура команд operational mode:
Рис.4.2.
root>?
Possible completions:
clear Clear information in the system
configure Manipulate software configuration information
file Perform file operations
help Provide help information
monitor Show real-time debugging information
mtrace Trace multicast path from source to receiver
op Invoke an operation script
ping Ping remote target
quit Exit the management session
request Make system-level requests
restart Restart software process
set Set CLI properties, date/time, craft interface message
show Show system information
14
Configuration Mode
В JUNOS используется 2 конфигурации:
root> configure
Entering configuration mode
[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:
[edit]
root# commit
commit complete
[edit]
root# exit
Exiting configuration mode
root>
root> configure
Entering configuration mode
[edit]
root# edit ?
Possible completions:
> access Network access configuration
> access-profile Access profile for this instance
> accounting-options Accounting data configuration
> applications Define applications by protocol characteristics
> chassis Chassis configuration
> class-of-service Class-of-service configuration
> diameter Diameter protocol layer
> event-options Event processing configuration
> firewall Define a firewall configuration
> forwarding-options Configure options to control packet forwarding
> groups Configuration groups
> interfaces Interface configuration
> jsrc JSRC partition configuration
> jsrc-partition JSRC partition configuration
> logical-systems Logical systems
> multi-chassis
> policy-options Policy option configuration
> protocols Routing protocol configuration
> routing-instances Routing instance configuration
> routing-options Protocol-independent routing option configuration
> security Security configuration
> services Service PIC applications settings
> snmp Simple Network Management Protocol configuration
> system System parameters
> virtual-chassis Virtual chassis configuration
[edit]
Настройка интерфейсов
Для того, чтобы настроить интерфейс нужно перейти в контекст "Interfaces":
root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#
Рис.4.4.
L3 настройки интерфейса
Важный момент - все L3 параметры интерфейса настраиваются в контексте "UNIT". UNIT - это аналог
сабинтерфейсов в Cisco.
[edit interfaces]
root# set em0 unit 0 family inet address 100.0.0.1/30
Em0 - Это наш физический интерфейс. Family inet - параметры какого протокола мы хотим настроить.
Доступны следующие значения:
Можно сразу из Configuration Mode посмотреть, что мы настроили набрав команду "show":
[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]
root# commit
commit complete
17
Проверим доступность IP на другой стороне канала:
2.3. Конвейер
В Junos CLI доступен ковейер. Например, подсчет количества строк в конфигурационном файле:
user@host> show configuration | count
Count: 269 lines
Рис.4.6.
2.5. Политика безопасности по умолчанию
По умолчанию используется политика безопасности deny-all
Рис.4.7.
19
2.6. Ротация конфигурационных файлов.
Рис.4.8.
[edit]
system {
services {
ssh;
telnet;
}
}
Когда появится сообщение “Press SPACE to abort autoboot in 1 seconds”, нужно нажать на пробел.
20
Как только увидим приглашение вида => даем команду boot и опять жмем пробел:
=> boot
ELF file is 32 bit
Loading .text @ 0x8f000078 (244960 bytes)
Loading .rodata @ 0x8f03bd58 (13940 bytes)
Loading .rodata.str1.4 @ 0x8f03f3cc (16648 bytes)
Loading set_Xcommand_set @ 0x8f0434d4 (100 bytes)
Loading .rodata.cst4 @ 0x8f043538 (20 bytes)
Loading .data @ 0x8f044000 (5608 bytes)
Loading .data.rel.ro @ 0x8f0455e8 (120 bytes)
Loading .data.rel @ 0x8f045660 (136 bytes)
Clearing .bss @ 0x8f0456e8 (11656 bytes)
## Starting application at 0x8f000078 ...
Consoles: U-Boot console
Found compatible API, ver. 2.0
Type '?' for a list of commands, 'help' for more detailed help.
loader>
loader> boot -s
после этого начнется загрузка однопользовательского режима и после того как он загрузится выполняем
recovery:
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh
: recovery
после этого мы попадем в привычную нам консоль от суперпользователя, где и сможем сменить пароль:
[edit]
root@srx# set system root-authentication plain-text-password
New password:
Retype new password:
Завдання 1
Примітка. У разі необхідності текст у вікні програми PuTTY може бути збережений у буфері з
використанням контекстного меню заголовка вікна.
Завдання 2
Перевірити роботу деяких команд інтерфейсу командного рядка в операційному режимі.
Команди наведені нижче. Пояснити отриманий результат.
Завдання 3
Зупинка ОС , виключення маршрутизатора
Зупинення Junos (без виключення живлення) виконується командою
Завдання 4
Завантажити заводську конфігурацію маршрутизатора
1. Переходимо в конфігураційний режим
4. Активуємо конфігурацію
Завдання 5
Перевірити роботу деяких команд інтерфейсу командного рядка в режимі конфігурування
Привести отриманий результат і пояснити його. Команди наведені нижче
Завдання 6
Перейти на зазначені рівні ієрархії настройки, використовуючи команди «edit», «up», «top» и «exit»:
Завдання 7
Виконати початкове конфігурування маршрутизатора, а саме:
встановити ім’я маршрутизатора,
встановити системний час
1. Встановити ім'я маршрутизатора «J1» або ... «J6»
Завдання 8
Ознайомлення зі способом зберігання інформації про конфігурацію пристрою.
В ОС Junos конфігурація пристрою зберігається у вигляді текстового файлу, у якому для полегшення
сприйняття людиною змісту використовуються фігурні дужки, переходи на новий рядок і прогалини для
створення відступів початку рядка (наявність цих знаків не впливає на роботу пристрою). Див. приклад
нижче.
Активну конфігурацію можна переглянути за допомогою команди
Може бути переглянута окрема гілка конфігурації; наприклад, про конфігурацію інтерфейсів
Засоби безпеки визначаються в розділі конфігурації «security». Вони включають визначення роботи
екрану (підрозділ «screen»), політики передачі інформації між зонами (підрозділ «policies») і
приналежність портів (інтерфейсів) до зон безпеки (підрозділ «zones»), а саме до «security-zone trust» і
«security -zone untrust».
1. Ознайомитися з конфігурацією пристрою за допомогою команди:
Завдання 10
Підготовка та збереження конфігурації для виконання наступних лабораторних робіт
У заводській конфігурації SRX300 інтерфейс ge-0/0/0 працює в режимі маршрутизатора і знаходиться
в небезпечній зоні. Решта сім портів налаштовані як порти Ethernet комутатора і не віднесені до
жодної з зон (рис. 2).
При виконанні наступних лабораторних робіт будуть використовуватися три перших порту
пристрою. Для виконання робіт необхідно, щоб ці порти працювали в режимі маршрутизатора і
знаходилися в довірчій зоні (рис. 3).
28
1. Перенести інтерфейс ge-0/0/0 в довірчу зону командами
5. Активувати конфігурацію
6. Передивитися і перевірити отриману активну конфігурацію, а самі гілки «security zones» та
«interfaces».
7. Зберегти конфігурацію у файлі Ukrtelecom командою
root@JN# save /config/ ukrtelecom
Перевірити наявність збереженого файла за допомогою команди
Завдання 11
Перевірка працездатності зв’язків між сусідніми маршрутизаторами
Маршрутизатори у лабораторії з’єднані за такою схемою (рис. 4).
Для перевірки між сусідніми маршрутизаторами необхідно присвоїти IP адреси портам, що показані
на схемі.
1. Групам, що виконують лабораторну роботу, домовитися про IP адреси для портів
Примітка. IP адреси з’єднаних портів повинні належати до однієї мережі. Адреси портів
маршрутизатора повинні належати до різних мереж.
Присвоїти IP адреси портам, які з’єднані з іншими маршрутизаторами, командами вигляду:
root@JN# set interfaces ge-0/0/0.0 family inet address 195.1.2.2/24
2. Перевірити наявність зв’язку з сусідніми маршрутизаторами командами типу
30
Рис.5.1.
RE (Routing Engine) выполняется на процессоре архитектуры x86 или PowerPC. PFE (Packet Forwarding
Engine) выполняется на специальных микросхемах ASIC (Application-Specific Integrated Circuit). Это
сделано для увеличения производительности - транзитные пакеты передаются без вмешательства RE
(соответственно и процессора). RE используется для построения RT (Routing Table) и FT (Forwarding
Table). FT после ее построения записывается в память PFE и выполняется на ASIC. FT представляет собой
таблицу, содержащую сеть назначения, интерфейс, через который может быть достигнута эта сеть, IP
адрес next-hop'a и mac адрес next-hop'a. Так же на PFE для увеличения производительности и скорости
обработки транзитных пакетов выполняется QoS, Policer (Shaping) и Stateless Firewall Filter(ACLs).
Рис.5.2.
Другим доступным значением next-hop может быть битоприемник (bit bucket). Другими словами, это
означает отбрасывание пакетов. Для этого существует две опции -reject или discard. Обе означают
отбрасывание пакетов. Разница между ними в том, что с опцией reject источнику IP пакета будет
отправлено ICMP сообщение (network unreachable). Если задать в качестве next-hop discard, то
оповещения источника не будет.
Статические маршруты хранятся в таблице маршрутизации до тех пор, пока не станут неактивным или не
будут удалены из конфигурации. Одной из причин, по которой статический маршрут становится
неактивным может быть недоступность IP-адреса next-hop.
По умолчанию IP-адрес next-hop статического маршрута должен быть доступен через direct маршрут. В
отличии от других вендоров, Junos OS не поддерживает рекурсивный просмотр next-hop по умолчанию.
Это дефолтное поведение можно изменить с помощью опции resolve.
Опция qualified-next-hop позволяет изменять приоритетность для статических маршрутов к одному и
тому же адресату.
Рис.5.3.
[edit routing-options]
user@R1# show
static {
route 0.0.0.0/0 {
next-hop 172.30.25.1;
qualified-next-hop 172.30.25.5 {
preference 7;
}
}
}
В примере next-hop 172.30.25.1 предполагает дефолтный для статического маршрута приоритет 5, в то
время как next-hop 172.30.25.5 использует определенный ему приоритет 7. Весь трафик по этому
статическому маршруту использует next-hop 172.30.25.1 до тех пор, пока он станет недоступен. Как
только next-hop 172.30.25.1 станет недоступен, дефолтный маршрут по умолчанию будет использовать
172.30.25.5 в качестве next-hop. Cisco определяет такое исполнение как плавающий статический
маршрут.
32
Пример конфигурации статической маршрутизации
Рис.5.4.
На рисунке представлен пример синтаксиса базовой конфигурации IPv4 и IPv6 статических маршрутов.
Также освещена опция no-readvertise, которая предотвращает распространение маршрута через политику
маршрутизации в динамические протоколы маршрутизации, такие как OSPF. Строго рекомендуется
использовать эту опцию для статических маршрутов, которые перенаправляют трафик из интерфейса
управления Ethernet и через сеть управления.
В иерархии [edit routing-options static] секция defaults содержит опции для статических маршрутов. Любая
опция, настроенная в этой секции, применяется для всех статических маршрутов на устройстве. На
рисунке видно, что мы изменили значение приоритета на 250. Программное обеспечение применит этот
приоритет для всех IPv4 статических маршрутов, для которых не определено более специфичное
значение. Дополнительные опции, которые можно применить к статическим маршрутам включают:
as-path: Используется в случае, если маршрут распространяется в BGP и необходимо вручную
определить AS path атрибут.
community Используется в случае, если маршрут распространяется в BGP и вы хотите добавить
значение community к маршруту для использования в вашей AS.
metric: Если несколько маршрутов имеют одинаковое значение preference, маршрут с лучшей
метрикой станет активным в таблице маршрутизации. Использование этой опции позволяет делать
один маршрут предпочтительней другого.
preference: Дефолтный приоритет для статических маршрутов 5. Это значение делает их более
предпочтительными по сравнению с OSPF, IS-IS или BGP маршрутами. Использование этой
опции позволяет увеличить значение приоритета для статических маршрутов для предпочтения
других источников маршрутной информации.
Рис.5.5.
Посмотреть маршруты, полученные по протоколу OSPF можно командой "show route protocol ospf":
Receive errors:
None
Важный момент в работе OSPF в JUNOS - обновление всех LSA происходит не раз в 30 минут как в Cisco
IOS, а раз в 50 минут.
Рис.5.6.
Forwarding Table
Forwarding Table - таблица для быстрой пересылки пакетов. Строится на основе таблицы маршрутизации.
Очень похожа на технологию CEF в Cisco.
Рис.5.7.
Route Preference
Route Preference - это аналог Administrative Distance (AD) в Cisco IOS.
Протокол Приоритет по умолчанию
Directly connected network 0
Local 0
Static Route 5
OSPF internal route 10
RIP 100
OSPF AS external routes 150
eBGP и iBGP 170
та активувати конфігурацію.
6. Перевірити наявність зв’язку з сусідніми маршрутизаторами за допомогою команд типу
Завдання 2
3. Перевірити наявність зв’язку з усіма маршрутизаторами (не сусідами) за допомогою команд типу
Завдання 3
Налаштувати зв’язок між усіма складовими мережі з використанням маршрутів по замовчуванню.
При налаштуванні маршрутизаторів широко використовується так званий маршрут по замовчуванню
(default route). Маршрутизатор використовує маршрут по замовчуванню, коли адреса призначення пакета
не відповідає жодному іншому маршруту у таблиці маршрутизації. Маршрут по замовчування задається
як статичний маршрут з адресою мережі призначення 0.0.0.0/0. Тут запис 0.0.0.0/0 означає мережу, до якої
відноситься будь яка IP адреса.
Наприклад, для маршрутизатора J1 можна спростити таблицю маршрутизації - замість трьох вказати один
статичний маршрут на адресу 195.1.0.2
1. У маршрутизаторі J1 (та аналогічно у J1, J5,J6) видалити наявні статичні маршрути і вказати
маршрут по замовчуванню
Для конфігурування на мережі процесу маршрутизації за протоколом OSPF необхідно на усіх інтерфейсах
маршрутизаторів включити дію протоколу командою
(точніше на тих, через які буде повинна відбуватися взаємодія маршрутизаторів за протоколом). Оператор
«metric» з параметром вказує на «ціну» каналу (чим менша ціна, тим краще канал при виборі маршруту);
його використання необов’язкове.
Перевірити наявність взаємодії за протоколом з сусідніми маршрутизаторами можна командою
Відповідь може мати такий вигляд. Значення стану «Full» показує, що сусіди можуть обмінюватися
інформацією про маршрути
Результат роботи протоколу, тобто маршрути, доданіза допомогою протоколу, можна визначити
командою
38
Завдання 1
7. Отримати у викладача номер маршрутизатора, на якому буде виконуватися робота
8. Підключитися до інтерфейсу командного рядка маршрутизатора так, як описано у Завданні 1
лабораторної роботи №1.
9. Увійти в інтерфейс командного рядка і завантажити конфігурацію під ім’ям «ukrtelecom1», яка
була збережена при виконанні завдання 8 лабораторної роботи № 1:
root@JN# load override /config/ ukrtelecom1
10. Перевірити розділи завантаженої конфігурації:
«security zones» конфігурації; інтерфейси ge-0/0/0, ge-0/0/1, ge-0/0/2 повинні знаходитися у зоні
«trust»;
«interfaces», згадані інтерфейси повинні бути налагоджені як належні до «family inet». Після
перевірки активувати конфігурацію.
11. Присвоїти IP адреси портам «свого» маршрутизатора відповідно до схеми рис. 3 командами типу
(якщо вони відсутні, або перевірити правильність відповідно схемі):
та активувати конфігурацію.
14. Перевірити наявність зв’язку з сусідніми маршрутизаторами за допомогою команд типу
Завдання 2
Налаштувати зв’язок між усіма складовими мережі з використанням динамічної маршрутизації за
протоколом OSPF.
Для забезпечення у мережі маршрутизації за протоколом OSPF необхідно включити дію протоколу на
портах маршрутизаторів. Оскільки кількість вузлів у учбовій мережі невелика доцільно усі вузли віднести
до магістральної області мережі, тобто до «area 0».
1. Включити дію протоколу OSPF на інтерфейсах маршрутизатора у тому числі і на кільцевому
інтерфейсі командами типу:
Завдання 3
Перевірити дію динамічної маршрутизації при пошкодженні каналу зв’язку між двома вузлами
Вимкнути дію каналу зв’язку між двома маршрутизаторами мережі та перевірити наявність зв’язку між
вузлами мережі.
1. У маршрутизаторі J3 (або J4) перевести інтерфейс ge-0/0/2 у стан вимкнено
та активувати зміну.
2. Перевірити стан інтерфейсу
та активувати зміну.
6. Подивитися таблицю маршрутизації. Порівняти з початковим станом таблиці.