LinkMeUp. Выпуск № 27. Протокол ISIS. Сравнение с OSPF

Вслед за онлайн трансляцией публикуем и саму запись подкаста.

Алексей Кротов коротко и ёмко подводит итог видеороману в четырёх частях об ISIS.
Мы поговорили о различиях с OSPF — видимых и невидимых. Об области применения, немного об истории даже.

До и после подкаста к просмотру таки рекомендуются указанные выше видео. Ссылки будут даны ниже.

Скачать файл подкаста.




Добавить RSS в подкаст-плеер.

Скачать все выпуски подкаста вы можете с помощью BT Sync (код: BYENRHD5UNKD5ZDIYFSB63WG2PEY2GIUN) или с яндекс-диска.

Презентация к рассказу Алексея:



Новости:
  1. LiteOS от Huawei для «интернета вещей» (link)
  2. Verizon покупает провайдера первого уровня AOL (link)
  3. Новый CEO Cisco (link)
  4. Общественность заговорила об истощении IPv4 пространства у ARIN (link и link)
  5. Очередной рекорд: 10Gbps по меди (link)
  6. Частичное опровержение от Nokia к прошлому выпуску (link)

Let's Lab. IS-IS routing protocol:
Часть 1.
Часть 2.
Часть 3.
Часть 4.

В подкасте речь заходила о FRR для ISIS. Вот относящаяся к теме ссылка: blog.ipspace.net/2012/01/loop-free-alternate-ospf-meets-eigrp.html
Спасибо за вопрос RuslanGaynutdinov , за ссылку SVM.

Let's Lab. IS-IS routing protocol. Часть 4

Все хорошо в меру!
Вы когда-нибудь задумывались о том, что благодаря таким вещам, как баланс и гармония, наша вселенная держится вместе?
И о том, как порой тяжело найти что-то одновременно простое, функциональное и надежное?
Когда первый раз настраиваешь динамическую маршрутизацию, тебе кажется, что ты близок к правде и пониманию того, как устроены сети. Но стоит новичку взглянуть на рабочий конфиг серьезной операторской сети, как становится ясно, что мир не заканчивается командой «network».
Взрослые дядьки то и дело выкручивают таймеры и наполняют конфиг непонятной всячиной. Но зачастую за этими непонятными буквами и цифрами стоит метод проб и ошибок. Простоями и авариями выложен путь к балансу и тюнингу маршрутизации.
Но не все так страшно! Уделите внимание литературе, спросите про шишки более мудрых комрадов, и дзен станет ближе.
Вашему вниманию я предлагаю последний выпуск про IS-IS!
В этом выпуске:
  • Ешь, пей в аду. Пиши сценарий к IS-IS.
  • Почему OSPF сильнее Супермена?
  • Что будет в OSPFv4?*
  • Overload bit и iSPF — сложнее объяснить, чем сделать.
  • BFD. Молниеносный убийца вашего CPU.
  • Почему Горден Фримен радуется, когда вы настраиваете dampening?
  • Алгоритм экспоненциального откладывания или история про жадного ребенка.
  • Сходимость и циферки!
  • Как несчастный IGP ждал LDP. Жалко я не вспомнил Хатико :(
*понятия не имею, но расскажу.



Ссылки

www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipro.. — начните здесь!

+предыдущие выпуски, если ничего не понятно:
Часть 1.
Часть 2.
Часть 3.

P.S. Гнусавость шла в комплекте с простудой!

Let's Lab. IS-IS routing protocol. Часть 3

Вы когда-нибудь пробовали стрелять из лука? Наверное, не самое популярное занятие. А как насчёт коньков и роликов? Сотни раз я видел, как люди, экипированные всевозможными защитными приспособлениями на всех частях тела, подвергаясь всемирному закону тяготения, наносят себе травмы. Тогда как опытные спортсмены месяцами катаются без единого падения.
Всему виной — отсутствие практики. Проведите за книжками хоть целый месяц, и, вероятно, вы добьётесь меньшего, чем за 2 недели с лабой на изучаемую тематику.
IS-IS легко можно назвать странным протоколом. Но такой он только в теории. На практике мы встречаемся с теми же проблемами, что караулили нас во время использования других IGP-протоколов. Основная его цель – распространение маршрутной информации и принятие решений по её добавлению в таблицу маршрутизации.
Данный выпуск оказался длиннее, чем я рассчитывал. Больше часа информации не каждый способен осилить за один раз. В силу обстоятельств, я не могу разбить видео на два выпуска.
Смотрите в этой части:
  • Базовая настройка IS-IS на Cisco IOS и IOS-XR.
  • Установление соседства между маршрутизаторами.
  • Дебаг и разбор дампа трафика при обнаружении соседа.
  • Метрика протокола и его настройка.
  • Hello и Hold таймеры и их причуды.
  • Hello-padding.
  • Линки с множественным доступом и DIS.
  • Обмен между L1 и L2 базами. Значение ATT bit.
  • Анонс префиксов из BGP в IS-IS.
  • External маршруты и их метрика.
  • Как избежать петель при импорте из L2 в L1.
  • Ассиметричная маршрутизация и Suboptimal routing.
Будь крутым, настрой роль каждого линка правильно.



Ваши лайки ускоряют выход 4ой части.

Книги к прочтению (в том числе про OSPF):
H.Gredler-The Complete IS-IS Routing Protocol-2005
Abe Martey — Cisco Press — IS-IS Network Design Solutions
Cisco Press — Routing.TCP.IP.Volume.1.2nd.Edition.Oct. 2005
Wendell Odom, Rus Healy, Denise Donohue — CCIE Routing and Switching Exam Certification Guide 4th Edition — 2009
CCIE Routing and Switching v5.0 Official Cert Guide Volume 1

Ссылки:
monsterdark.com/wp-content/uploads/BRKRST-2327.pdf — большая презентация на CiscoLive про ISIS
blog.ine.com/2009/12/31/tuning-ospf-performance/ — тюнинг OSPF, в тч ISPF и PRC
inetzero.com/isis-training-and-junos-configuratio/ — прекрасная статья про ISIS в Junos и PDU с inetzero.com
packetlife.net/captures/protocol/isis/ — Дампы трафика
citforum.ru/nets/ito/20.shtml — протоколы OSI, на русском!
www.itcertnotes.com/2012/03/is-is-protocol-data-units-pdus.html — ещё немного про PDU, ёмко и с кратинками
sites.google.com/site/amitsciscozone/home/is-is/is-is-packets — глубже в PDU с wireshark
blog.initialdraft.com/archives/844/ — примеры формирования database
rekrowten.wordpress.com/2013/09/30/learn-is-is-basic-configuration-part-1/ — большой блог по ISIS с практикой

Часть 1. youtu.be/2PFdK9Fj8Ys
Часть 2. youtu.be/FtE86LxhhRo
Видео про IOS-XR youtu.be/MT1f0ueV0nA

Let's Lab. IS-IS routing protocol. Часть 2

Концепции и правила! Они окружают нас повсюду. Что употреблять в пищу, как переходить дорогу, почему не стоит облизывать лягушек и как перекладывать пакеты, если ты маршрутизатор. Очень много всяких штук приходится держать в голове сетевому инженеру. Порой и не поймёшь, так ли тебе надо знать все типы LSA в OSPF, по какому порту строятся TCP сессии в BGP, и так ли важно каждый день узнавать что-то новое, при этом, не забывая старое.
Так или иначе, переходить к практике рано, пока нет понимания теории. В выпуске будет очень много концепций, которые я постараюсь вам объяснить. Всю воду и историю я слил в первый выпуск. А данный выпуск будет состоять из двух секций, в первой из которых я подробно расскажу о топологиях с IS-IS. Вторая секция будет посвящена данным, которыми обмениваются маршрутизаторы в IS-IS.
И вот о чём пойдёт речь:
Тяжко ли быть маршрутизатором с OSPF или IS-IS на борту?
Как OSPF и IS-IS строят топологию?
L1, L2, L1/L2 маршрутизаторы и куда их пристроить.
Что такое Partial route calculation и как работает ISPF?
Зачем нам куча Area и так ли они важны?
Нужен ли в IS-IS virtual link?
Поменять номер Area без downtime?
Почему IS-IS называют L2-протоколом?
Бабушка, а зачем тебе такое больше MTU?
Что такое PDU, и какими они бывают в IS-IS?
Почему я так люблю Overload bit?
И как запихнуть в OSI-протокол ip-префиксы и чизбургер?
В следующем выпуске больше веселья. Даёшь командную строку!



Книги к прочтению (в том числе про OSPF):
H.Gredler-The Complete IS-IS Routing Protocol-2005
Abe Martey — Cisco Press — IS-IS Network Design Solutions
Cisco Press — Routing.TCP.IP.Volume.1.2nd.Edition.Oct. 2005
Wendell Odom, Rus Healy, Denise Donohue — CCIE Routing and Switching Exam Certification Guide 4th Edition — 2009
CCIE Routing and Switching v5.0 Official Cert Guide Volume 1
Ссылки:
monsterdark.com/wp-content/uploads/BRKRST-2327.pdf — большая презентация на CiscoLive про ISIS
blog.ine.com/2009/12/31/tuning-ospf-performance/ — тюнинг OSPF, в тч ISPF и PRC
inetzero.com/isis-training-and-junos-configuratio/ — прекрасная статья про ISIS в Junos и PDU с inetzero.com
packetlife.net/captures/protocol/isis/ — Дампы трафика
citforum.ru/nets/ito/20.shtml — протоколы OSI, на русском!
www.itcertnotes.com/2012/03/is-is-protocol-data-units-pdus.html — ещё немного про PDU, ёмко и с кратинками
sites.google.com/site/amitsciscozone/home/is-is/is-is-packets — глубже в PDU с wireshark
blog.initialdraft.com/archives/844/ — примеры формирования database
rekrowten.wordpress.com/2013/09/30/learn-is-is-basic-configuration-part-1/ — большой блог по ISIS с практикой

Сети для самых маленьких. Часть десятая. Базовый MPLS

Все выпуски


Сеть нашей воображаемой компании linkmeup растёт. У неё есть уже магистральные линии в различных городах, клиентская база и отличный штат инженеров, выросших на цикле СДСМ.
Но всё им мало. Услуги ШПД — это хорошо и нужно, но есть ещё огромный потенциальный рынок корпоративных клиентов, которым нужен VPN.
Думали ребята над этим, ломали голову и пришли к выводу, что никак тут не обойтись без MPLS.

Если мультикаст был первой темой, которая требовала некоторого перестроения понимания IP-сетей, то, изучая MPLS, вам точно придётся забыть почти всё, что вы знали раньше — это особенный мир со своими правилами.



Сегодня в выпуске:

А начнём мы с вопроса: «Что не так с IP?»


Читать дальше →

Типы VPN соединений. Масштабирование VPN

Коллеги, здравствуйте, меня зовут Семенов Вадим и совместно с проектом network-class.net хочу представить статью, посвященную вопросу масштабируемости VPN-ов, причем тех VPN-ов, которые доступны для настройки в обычной корпоративной сети предприятия, а не со стороны провайдера. Надеюсь, что данная статья станет справочным материалом, который может потребоваться при дизайне сети, либо при её апгрейде, либо для того, чтобы освежить в памяти принцип работы того или иного VPN-на. 


В начале статьи описаны основные моменты стека протоколов IPSec, так как использование данного стандарта далее будет весьма часто встречаться. В конце параграфа об IPSec были включены самые частые причины неработоспособности IPSec канала, а также основные шаги по их устранению.



Типы VPN соединений


Ниже систематизированы VPN-ы, которые доступны для настройки в корпоративной сети. Технологии VPN распределены по уровню предоставляемых клиенту каналов по модели OSI (рис 1):


 



 


Схема VPN-ов относительно возможности пропуска мультикаста и работы протоколов маршрутизации (рис. 2):


 



Дополнительно приводится структурированная схема VPN-ов (рис.3), которые могут предоставляться провайдером, но в данной статье подробно они не рассматриваются:


 



 


Итогом работы по систематизации VPN-ов и исследованию их масштабируемости послужила итоговая таблица, в которую заносилась общая информация по типу протокола VPN-а, его особенности, и самое важное, что необходимо сделать, если к существующим VPN-ам подключить еще один.


В таблице представлены результаты настроек, исследование полученного формата пакета, настройка протокола маршрутизации (OSPF) через VPN-ы, а также рассмотрены вопросы масштабируемости протокола.



Таблица VPN


Тип VPN

Настройка HUB

Настройка Spoke

Настройка HUB при добавлении нового Spoke

Настройка Spoke при добавлении другого нового Spoke

Использование протоколов динамической маршрутизации OSPF, EIGRP

Особенности

Regular IPSec
(crypto map)

isakmp

Crypto-map

isakmp

Crypto-map

Да:

isakmp,

crypto-map:

set peer,

transform-set,

crypto ACL

Да:

Для обеспечения связности между Spoke-ми необходимо добавить маршруты нового Spoke-a в crypto ACL всех существующих Spoke-ах

Нет

Удобен в случае кол-ва Spoke <5-10. Для обеспечения связности между Spokе-ми через HUB требуется добавление в crypto ACL Nсетей на N spoke-ах

Крайне немасштабируемый.

Regular IPSec (Profile)

isakmp profile,

IPSec Profile,

сrypto-map

isakmp profile,

IPSec Profile,

сrypto-map

Да:

crypto-map:

set peer,

crypto ACL

Да:

Добавление новых маршрутов в crypto ACL

Нет

Крайне не  масштабируемый.

Меньше конфигурации засчет объединения типовых настроек в profile.

Regular IPSec (Profile, Static VTI)

isakmp profile,

IPSec Profile,

VTI (Virtual Tunnel Interface)

isakmp,

IPSec Profile,

VTI (Virtual Tunnel Interface)

Да:

isakmp,

новый VTI (Virtual Tunnel Interface)

Да

static route до сетей уд. офиса

Да

В конфигурации SVTI без IGP – крайне не масштабируемый.

На каждый Spoke по SVTI.

N spokeN VTI и своя подсеть.

На Spoke требуется добавление маршрутов до удаленных Spoke-в. Пропускает multicast!

По умолчанию на каждый SVTI только одна SA IPSec c traffic selector “IP any any.” Нет команды crypto ACL. В туннель заворачиваются те сети, которые определены через static route на SVTI.

Regular IPSec (Profile, Static VTI and IGP)

isakmp,

IPSec Profile,

VTI (Virtual Tunnel Interface)

isakmp,

IPSec Profile,

VTI (Virtual Tunnel Interface)

Да:

isakmp,

новый VTI (Virtual Tunnel Interface)

Нет

Да

Не масштабируемый.

На каждый Spoke по SVTI.

N spoke – N VTI и своя подсеть. Маршруты от IGP попадают в туннель.

IPSec with dynamic IP (Dynamic VTI and Static VTI and IGP)

keyring,

isakmp policy,

isakmp profile,

ipsec profile,

loopback for unnumbered interface (обязательно),

Virtual-Template type tunnel

keyring,

isakmp policy,

isakmp profile,

ipsec profile,

loopback for unnumbered interface,

Static VTI

Нет

Нет

Да

Очень масштабируемый. Все spoke и hub находятся в одной сети! Dynamic VTI (DVTIs) также point-to-point интерфейс. В режиме point-to-multipoint соседство OSPF не устанавливается.

Использование Unnumbered IP в качестве адреса DVTI обязательно

Easy VPN

ААА – для авторизации клиентов

Isakmp,

isakmp policy,

isakmp profile,

ipsec profile,

interface,

Virtual-Template type tunnel

DHCP для клиентов

Minimum

IPsec client конфигурация, с указанием VPN-сервера, VPN группы, пользователя для ааа,

Указание внутренних и внешний интерфейсов.

Нет

Нет

Да

Масштабируемый.

Если ранее был настроен NAT/PAT, то перед внедрением EASY VPN должна быть эта конфигурация удалена. Есть особенности в настройке transform-set.

 

GRE

Interface Tunnel,

Static route

Interface Tunnel,

Static route

Да

Int tunnel,

Static route

Да

Static route

Да

Не масштабируемый. Образует P2P линк, на каждый туннель – своя подсеть. Прекрасно подходит для туннелирования IGP протоколов.

IGP over GRE

Interface Tunnel,

Static route

Interface Tunnel,

Static route

Да

Int tunnel

Нет

Да

Не масштабируемый.

На каждый туннель – своя подсеть. IGP протоколы работают через туннель при настройках по умолчанию.

DMVPN (проприетарный)

DMVPN phase 1 – кон-ция только mGRE

DMVPN phase 2 – настройка ipsec profile для защиты трафика

Minimum:

DMVPN phase 1 – кон-ция только mGRE

DMVPN phase 2 – настройка ipsec profile для защиты трафика

Нет

Нет:

при добавлении нового spoke – туннель до него строится автоматически

Да:

EIGRP на HUB выключаем расщепление горизонта  и сохранения себя в качестве next-hop в анонсах маршрута

Наиболее масштабируемый протокол. GRE multipoint. Туннели между удаленными офисами создаются динамически.

PPTP

Vpdn-group,

interface Virtual-Template,

IP local pool,

username/password для авториз-и, static route до сетей уд.офиса

service internal (для включения настроек pptp клиента),

vpdn-group, interface Dialer, dialer-list,

static route до сетей центр., удал. офиса

Да

Static route для внутренних сетей за PPTP клиентом

Да

Static route для новых внутренних сетей за новым PPTP клиентом

Да

Масштабируемый с ограничениями.

Морально устаревший протокол, уязвимости в криптографии в протоколе авторизации MSCHAPv2. Чаще всего используется для создания удаленного доступа. Поддерживается множеством популярных версий ОС Windows. Исп только один протокол для шифрования -MPPE (RC4 со 128-битным ключом). Поддерживает мультикаст, т.к. PPP инкапсулируются в GRE.

IGP over PPTP

Vpdn-group,

interface Virtual-Template,

IP local pool,

username/password для авториз-и, IGP protocol (router ospf process)

service internal (для включения настроек pptp клиента),

vpdn-group, interface Dialer, dialer-list,

IGP protocol (router ospf process)

Нет

Нет

Да

Масштабируемый с ограничениями.

Поддерживает мультикаст, т.к. PPP инкапсулируются в GRE.

Морально устаревший протокол  -> альтернатива L2TP over IPSec

L2TPv3
xconnect

pseudowire-class

xconnect

pseudowire-class

xconnect

Да

xconnect

Нет

Да

Не масштабируемый.

Отлично подходит для разнесения «native» L2 vlan-а через IP сеть. Но, необходимо наличие резервного шлюза по умолчанию. Создавая xconnect на интерфейсе маршрутизатора мы должны удалить IP адрес с его интерфейса, тем самым удалив маршрут по умолчанию для всех устройств внутри этой сети.

L2TPv2/v3

aaa new-model,

username для авторизации L2TP пира,

VPDN-group,

interface Virtual-Template,

static route до сетей уд. офиса

username для авторизации L2TP HUBa,

interface virtual-ppp,

pseudowire class,

static route до сетей центр., удал. офиса

Да:

static route до внутренних сетей удаленного офиса

Да:

static route до внутренних сетей удаленного офиса

Да

Масштабируемый.

L2TPv3 дает большие преимущества, позволяя инкапсулировать не только PPP трафик, как L2TPv2, но и передавать метку VLANа и, а также инкапсулировать HDLC, Frame Relay.

IGP over L2TPv2/v3

aaa new-model,

username для авторизации L2TP пира,

VPDN-group,

interface Virtual-Template,

IGP (router ospf process)

username для авторизации L2TP HUBa,

interface virtual-ppp,

pseudowire class,

IGP (router ospf process)

Нет

Нет

Да

Очень масштабируемый. Позволяет настраивать протоколы маршрутизации «по умолчанию», связь удаленных офисов осуществляется через L2TPv2/v3 HUB (в центральном офисе).



Читать дальше →

Сети для самых маленьких. Часть седьмая. VPN

Все выпуски


Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.

Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.

В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.




Читать дальше →

Сети для самых маленьких. Часть шестая. Динамическая маршрутизация

Все выпуски


Сеть “Лифт ми Ап” вместе со своим штатом разрастается вдоль и поперёк. Обслуживание ИТ-инфраструктуры вынесли в отдельную специально созданную организацию “Линк ми Ап”.
Буквально на днях были куплены ещё четыре филиала в различных городах и инвесторы открыли для себя новые измерения движения лифтов. А сеть выросла с четырёх маршрутизаторов сразу до десяти. При этом количество подсетей теперь увеличилось с 9 до 20, не считая линков точка-точка между маршрутизаторами. И тут во весь рост встаёт вопрос управления всем этим хозяйством. Согласитесь, добавлять на каждом из узлов маршруты во все сети вручную — мало удовольствия.
Ситуация усложняется тем, что сеть в Калининграде уже имеет свою адресацию, и на ней запущен протокол динамической маршрутизации EIGRP.
Итак, сегодня:

  • Разбираемся с теорией протоколов динамической маршрутизации.
  • Внедряем в сеть “Лифт ми Ап” протокол OSPF
  • Настраиваем передачу (редистрибуцию) маршрутов между OSPF и EIGRP
  • В этом выпуске мы добавляем раздел “Задачи”. Идентифицировать по ходу статьи их будут такие пиктограммы:

Уровень сложности будет разный. Ко всем задачам будут ответы, которые можно посмотреть на сайте цикла. В некоторых из них вам понадобится подумать, в других почитать документацию, в третьих разобраться в топологии и, может, даже смотреть отладочную информацию. Если задача нереализуема в РТ, мы сделаем специальную пометку об этом.



Читать дальше →

Задача №6.7

На последнем совещании Лифт ми Ап было решено, что сеть Калининграда необходимо также переводить на OSPF.
Переход должен быть совершен без разрывов связи. Было решено, что лучшим вариантом будет параллельно с EIGRP поднять OSPF на трёх маршрутизаторах Калининграда и после того, как будет проверено, что вся информация о маршрутах Калининграда распространилась по остальной сети и наоборот, отключить EIGRP.
Но, так как сеть Калининграда достаточно большая, с большим количеством сетей, было решено, что необходимо отделить её от остальной сети так, чтобы изменения в сети Калининграда не приводили к запуску алгоритма SPF на других маршрутизаторах сети.
Ответ не торопитесь открывать.

Ответ к задаче №6.7

Задача 6.7
На klgr-balt-gw1:
klgr-balt-gw1(config)# router ospf 1
klgr-balt-gw1(config-router)# network 172.16.2.32 0.0.0.3 area 0
klgr-balt-gw1(config-router)# network 172.16.255.64 0.0.0.0 area 0
klgr-balt-gw1(config-router)# network 172.16.2.36 0.0.0.3 area 1
klgr-balt-gw1(config-router)# network 172.16.2.40 0.0.0.3 area 1
klgr-balt-gw1(config-router)# network 10.0.0.0 0.255.255.255 area 1