Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 3 - Chuyên Đề Firewall - FortiGate
MỤC ĐÍCH: KHÔNG khoe khoang hay phô trương gì cả - Giúp cho các bạn nào cần. Đây là bài CĂN BẢN CỦA CĂN CĂN BẢN. Nhiều bạn cứ hình dung, tưởng tượng Firewall là cái gì đó thật kinh khủng, mọi thứ kinh khủng thì đã có các kỹ sư của hãng làm hết rồi, mình chỉ bậc lên mà dùng thôi, quan trọng là sử dụng nó như thế nào thôi. Chúng tôi hay nói đùa với nhau rằng:"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". Nếu bạn đang đọc và làm theo bạn là nghệ sĩ rồi đấy.
MỤC TIÊU: Cài đặt đảm bảo các máy bên trong mạng LAN có thể truy cập được internet thông qua Firewall-FortGate của FortiNet, các máy bên ngoài internet cũng có thể kết nối vào máy tính nội bộ bên thông qua các rules/polices đã cài đặt. Chặn hay cho phép trang web, application của các thiết bị trong mạng LAN truy cập ra ngoài....
MÔ HÌNH LAB:
YÊU CẦU
1. Chuẩn bị và cấu hình căn bản và Reset FortiGate về mặc định nhà sản xuất
2. Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.
3. NAT Source
Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)
4. NAT DestinationPublic port 25, và 2525 (các bạn hay nghe là: NAT port hay Port Forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.
5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE
6. WEB FILTERING
7. WEB RATING OVERRIDES
THỰC HIỆN
1. Chuẩn bị và cấu hình căn bản
ISP Router: ISP cấu hình. Hoặc cũng có thể tìm hiểu các cấu hình ở bài Lab 1, Lab 2
Cấu hình trên Switch
Reset FortiGate về mặc định nhà sản xuất
Để đảm Firewall chưa cấu hình gì cả chúng ta nên reset về mặc định nhà sản xuất:
exec factoryreset
Nhấn Y để khởi động lại và thực hiện tiếp dòng lệnh
exec factoryreset2
Nhấn Y để khởi động lại.
Đăng nhập vào thiết bị theo thông tin có in trên thiết bị mặc định là:
- IP MGMT: 192.168.1.99
- Username: admin
- Password: không có đặt password
2. Yêu cầu: Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.
Đặt IP cho Zone LAN
Nên chọn SSH để thuận tiện cho việc cấu hình command line trong LAN
Đặt IP cho Zone WAN
Kết quả sau khi đặt IP trên port 16-LAN, và WAN1
Đặt IP cho LAN, WAN bằng CLI
Route cho vlan 101:
Với vlan 102 bạn cũng có thể clone từ vlan 101, các thông tin như hình:
Cài đặt defaut route để đảm bảo tất cả có thể truy cập được internet
Các route vừa tạo
Kiểm tra sự tồn tại của các route
Cấu hình route bằng CLI
Vì các IP private không được route trên InterNet, nên nhớ chọn Enable NAT nhé. Lúc này các PCs trong LAN sẽ lấy IP của WAN1 để giao tiếp với internet
Policies vừa tạo
Cấu hình CLI
Kiểm tra kết nối đến internet của từng vlan:
Ping đến 8.8.8.8 đã thông.
- 1. IP của default gateway
- 2. IP của firewall
- 3. IP mặt trong (LAN) của router IPS
3. NAT Source
Yêu cầu: Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)
Kiểm tra ban đầu:
Vào trang https://canyouseeme.org/ để kiểm tra IP WAN hiện tại mà các PC trong LAN sử dụng để giao tiếp bên ngoài là bao nhiêu
Định nghĩa IP WAN cần NAT theo đúng yêu cầu đề bài, trường hợp này là 125.234.102.244
Định nghĩa VLAN 101
Tạo Policies, chọn source là VLAN 101, services HTTPS và Dynamic IP Pool trỏ về Pool vừa định nghĩa ở trên.
Cấu hình CLI
Đã đúng yêu cầu đặt ra là IP 125.234.102.244.
Các bạn nhớ là chỉ có https mới dùng IP 125.234.102.244 thôi nhé, các servicies/port khác vẫn dùng IP đấu nối của firewall.
Giải thích thêm:
Các bạn có thể định nghĩa 1 IP cụ thể nào đó thay vì nguyên cả VLAN như trong bài này. Với chúng tôi hay dùng NAT Source trong trường hợp là với 1 thiết bị khi gửi mail ra ngoài với port 25 thì dùng IP khác, các port còn lại dùng IP mặc định trên cổng đấu nối. Làm vậy sẽ giúp cho IP mail server của bạn it bị black list hơn (mail blacklist cả một chuyên đề lớn nếu có thời gian viết sẽ viết).
4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay port forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.
Định nghĩa Virtual IPs cho IP WAN 125.234.102.243 và port 25 map vào port 25 của IP 172.16.101.1
Chúng ta cũng có thể clone Virtual IPs vừa tạo và chỉnh sửa thông tin theo yêu cầu
Để hạn chế sai xót chúng ta nên gôm các địa chỉ Virtual IPs thành 1 Group Virtual IPs
Tạo Policies cho phép bên ngoài có thể truy cập vào, cài đặt như hình
Nên tắt NAT đi để khi phân tích log chúng ta biết được đúng IP bên ngoài nào đã truy cập vào, nếu không trong log sẽ hiển thị IP vùng LAN của firewall thôi như vậy rất khó phân tích.
Cấu hình CLI
- Các port trên máy 172.16.101.1 phải được mở
- Firewall trên server phải cho phép
NAT-DES: Thông thường dùng để mở port cho Camera, mail server, web server, SQL, MySQL,... nếu muốn truy cập từ internet. Trong phần policies các bạn cũng có thể cho phép 1 vài IP public nào đó nhằm đảm bảo security hơn, lab này chúng tôi cho phép tất cả các IP từ internet có thể truy cập được.
5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE
Định nghĩa VLAN 102 tương tự như đã làm ở yêu cầu 2 nhé.
Thêm các application có liên quan đến Youtube vào phần Application Overrides và action là block.
Tạo policies và cho vlan 102 và trong phần Application Control trỏ đến profile vừa tạo và đưa lên trên tất cả các policies như hình
Kiểm tra thấy VLAN 102 sẽ không truy cập được youtube
Trong FortiWiew thấy vlan 102 đang bị áp bởi policies có ID là 4
Trong phần Log & Reports -> Application Control -> Filter -> Source -> nhập IP cần kiểm tra
Thấy IP 172.16.102.1 của vlan 102 truy cập vào youtube đã bị block.
6. WEB FILTERING
Đảm bảo tính năng Web Filtering và Multiple Security Profiles đã được bật
Định nghĩa profile
Cách làm tương tự như chặn application, định nghĩa địa chỉ cần áp dụng cho policies, tạo polices phần web filtering cho profile vừa tạo vào. OK tới.
Chú ý: Các profile security là độc lập nhau (đã được phân theo từng nhóm sẵn như: nhóm web filtering, antivirus, application control), nên bạn có thể chọn nhiều nhóm Security Profiles cho 1 polices sẽ không có vấn đề gì, Fortigate sẽ hành xử theo từng nhóm ấy.
Các bạn cũng có thể lập lịch (thiết lập thời gian) để áp đặt policies tùy biến nhé.
Nhận xét: Với cách lọc không linh động lắm vì lệ thuộc vào Categories của hãng, nên khi triển khai nên kết hợp với phần Web Rating Overrides
7. WEB RATING OVERRIDES
Tự định nghĩa Categories cho riêng mình, ở đây chúng tôi tạo 2 categories đó là Block và Permit, các bạn có thể tạo tùy theo yêu cầu thực tế.
Kết quả sau khi định nghĩa categories
Thêm các trang web vào Categories vừa định nghĩa
Đến đây mới chỉ định nghĩa web site theo từng nhóm thôi nhé, chưa hành xử gì cả, Muốn hành xử thế nào thì chúng ta phải chỉnh lại profile trong phần Web Filter.
Ở đây chúng tôi chọn Action là Block cho Categories Block, và Allow cho categories Permit. Có nghĩa là các web trong categories Block sẽ bị chặn (ở ví dụ này là trang tuoitre.vn), và các trang trong categories Permit sẽ được allow (ở ví dụ này là news.zing.vn).
Để thêm các trang cho phép truy cập hay bị chặn thì chúng ta chỉ cần thêm vào phần Web Rating Overrides là được.
Trong bài này chúng tôi giới thiệu FortiGate nó có thể làm được các tính năng như đã nêu trên và thực tế FortiGate còn làm được nhiều hơn thế nữa. Chúng tôi không khuyến khích làm rập khuôn như bài lab này. Làm policies thế nào là chuyện của các "Nghệ Sĩ" nhé.
"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". hihihi
Kết luận: Đến đây chúng tôi huy vọng rằng sẽ xóa được mù chữ về cấu hình ForitGate, bạn đã có được tí tí gì đấy để làm cơ sở tìm hiểu kỹ hơn và thuần hóa được thiết bị này thông qua tài liệu chính thức của hãng.
P/s: Bài LAB được thực hiện trên FG100E-6.0.2
Xong!LAB Troubleshooting OSPF - Bài 2
Mục tiêu: Hiện tại R1 và R2 chưa thiết lập được neighbor. Chúng ta phải giải quyết vấn đề sao cho khi sử dụng lệnh show ip ospf neighbor thì các router láng giềng phải hiển thị với trạng thái FULL như ví dụ dưới:
Lý do: Vấn đề liên quan đến gửi và nhận gói tin hello trong OSPF. Tham khảo tóm tắt lý thuyết OSPF and Key ở đây
Ticket 1:
Cấu hình ban đầu:
Kiểm tra:
R1R1#show ip ospf neighbor
R1#
R1#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 1.1.1.1, Interface address 192.168.12.1
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
No Hellos (Passive interface)
Supports Link-local Signaling (LLS)
{...}
R2R2#show ip ospf neighbor
R2#
R2#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.2/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 2.2.2.2, Interface address 192.168.12.2
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:08
Supports Link-local Signaling (LLS)
{...}
Nhận xét:
Ta thấy OSPF trên hai router đã được enable, lớp mạng đã quảng bá đúng, tuy nhiên khi show ip ospf interface et0/0 trên R1 thấy có dòng No Hellos (Passive interface). Nếu chúng ta cấu hình passive interface thì network trên interface vẫn quảng bá tuy nhiên sẽ không gửi gói tin hello của OSPF, gói tin hello rất quang trọng trong việc thiết lập neighbor trong OSPF.
R1R1#show run | section ospf
router ospf 1
router-id 1.1.1.1
passive-interface Ethernet0/0
network 192.168.12.0 0.0.0.255 area 0
Giải pháp:
Phải xóa bỏ passive-interface Ethernet0/0 trong phần cấu hình OSPF của R1
R1
router ospf 1
no passive-interface Ethernet0/0
Kết quả:
R1R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:37 192.168.12.2 Ethernet0/0
R2R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:34 192.168.12.1 Ethernet0/0
Ticket 2:
Cấu hình ban đầu:
Kiểm tra:
R1R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 INIT/DROTHER 00:00:38 192.168.12.2 Ethernet0/0
R2R2#show ip ospf neighbor
R2#
Trạng thái trên R1 là INIT, R2 là không có gì cả
R1R1#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
{...}
R2R2#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.2/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
{...}
Interface của cả 2 router đều cấu hình đúng.
Nhận xét:
Với trạng thái INIT trên R1 là do R1 không thể nhận được thông tin trao đổi OSPF từ R2, R2 không nhận được bất kỳ thông tin về OSPF từ R1. OSPF sử dụng gói tin hello để trao đổi với nhau và thiết lập quan hệ láng giềng (neighbor), chúng sử dụng địa chỉ multicast 224.0.0.5
R1R1#ping 224.0.0.5
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 224.0.0.5, timeout is 2 seconds:
Reply to request 0 from 192.168.12.2, 1 ms
R2R2#ping 224.0.0.5
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 224.0.0.5, timeout is 2 seconds:
Reply to request 0 from 192.168.12.2, 1 ms
Khi ping địa chỉ multicast 224.0.0.5 mà OSPF sử dụng để trao đổi thông tin thông qua gói tin hello thì cả 2 vẫn nhận thông tin phản hồi của nhau.
R1R1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/5 ms
R2R2#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Tuy nhiên chúng ta có thể ping đến được IP đấu nối của nhau. Vậy vấn đề có thể là liên quan đến traffic của OSPF multicast giữa 2 router.
R1R1#show ip interface et0/0 | include access list
Outgoing access list is not set
Inbound access list is not set
R2R2#show ip interface et0/0 | include access list
Outgoing access list is not set
Inbound access list is Permit-Rule
R2#show access-lists Permit-Rule
Extended IP access list Permit-Rule
10 permit tcp any any
20 permit udp any any
30 permit icmp any any (27 matches)
Có access-list Permit-Rule đã gán theo chiều in của interface Et0/0 của R2, và access list này chỉ cho phép tcp, udp và icmp mọi traffic còn lại sẽ bị chặn mặt định ở dòng cuối cùng của access list và dòng này bị ẩn chúng ta không thể thấy.
để thấy rỏ hơn chúng ta có thể debug access và xem có phải địa chỉ multicast có bị chặn hay không ta làm:
R2
access-list 101 permit ip 192.168.12.0 0.0.0.255 host 224.0.0.5
exit
debug ip packet 101 detail
R2R2#debug ip packet 101 detail
IP packet debugging is on (detailed) for access list 101
R2#
*Feb 6 05:55:06.071: IP: s=192.168.12.1 (Ethernet0/0), d=224.0.0.5, len 80, access denied, proto=89
Giải pháp:
Sửa lại access list Permit-Rule và chèn dòng permit ospf any any lên trên cùng của access list trên R2
R2
ip access-list extended Permit-Rule
5 permit ospf any any
end
write
Access-list sau khi điều chỉnh trên R2R2#show access-lists Permit-Rule
Extended IP access list Permit-Rule
5 permit ospf any any (19 matches)
10 permit tcp any any
20 permit udp any any
30 permit icmp any any (27 matches)
Kết quả:
R1R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:35 192.168.12.2 Ethernet0/0
R2R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:36 192.168.12.1 Ethernet0/0
Ticket 3:
Cấu hình ban đầu:
Kiểm tra:
R1R1#debug ip ospf hello
OSPF hello debugging is on
R1#
*Feb 6 06:12:27.942: OSPF-1 HELLO Et0/0: Rcv hello from 2.2.2.2 area 0 192.168.12.2
*Feb 6 06:12:27.942: OSPF-1 HELLO Et0/0: Mismatched hello parameters from 192.168.12.2
*Feb 6 06:12:27.942: OSPF-1 HELLO Et0/0: Dead R 50 C 40, Hello R 11 C 10 Mask R 255.255.255.0 C 255.255.255.0
Nhận xét:
Thấy R1 nhận từ R2 là: Hello intervel là 11 và Dead time là 50
Giải pháp:
Có thể vào interface Et0/0 của R2 bỏ cấu hình dead time và hello interval của OSPF đi, lúc này OSPF sẽ dùng thời gian mặt đinh là 10/40, hoặc vào Et0/0 của R1 cấu hình thêm hello/dead timer là 11/50
R1
interface Ethernet0/0
ip ospf dead-interval 50
ip ospf hello-interval 11
end
write
Kết quả:
R1R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:35 192.168.12.2 Ethernet0/0
R2R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:36 192.168.12.1 Ethernet0/0
Kết luận: Các câu lệnh sử dụng trong bài này là:
show ip ospf neighbor
show ip interface <interface>
show ip ospf interface <interface>
show run | section ospf
show ip interface <interface> | include access list
debug ip packet <acl-number> detail
show access-lists
debug ip ospf hello
Xong!
LAB Troubleshooting OSPF - Bài 2
Mục tiêu: Hiện tại R1 và R2 chưa thiết lập được neighbor. Chúng ta phải giải quyết vấn đề sao cho khi sử dụng lệnh show ip ospf neighbor thì các router láng giềng phải hiển thị với trạng thái FULL như ví dụ dưới:
Lý do: Vấn đề liên quan đến gửi và nhận gói tin hello trong OSPF. Tham khảo tóm tắt lý thuyết OSPF and Key ở đây
Ticket 1:
Cấu hình ban đầu:
Kiểm tra:
R1
R1#show ip ospf neighbor
R1#
R1#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 1.1.1.1, Interface address 192.168.12.1
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
No Hellos (Passive interface)
Supports Link-local Signaling (LLS)
{...}
R2
R2#show ip ospf neighbor
R2#
R2#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.2/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 2.2.2.2, Interface address 192.168.12.2
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:08
Supports Link-local Signaling (LLS)
{...}
Nhận xét:
Ta thấy OSPF trên hai router đã được enable, lớp mạng đã quảng bá đúng, tuy nhiên khi show ip ospf interface et0/0 trên R1 thấy có dòng No Hellos (Passive interface). Nếu chúng ta cấu hình passive interface thì network trên interface vẫn quảng bá tuy nhiên sẽ không gửi gói tin hello của OSPF, gói tin hello rất quang trọng trong việc thiết lập neighbor trong OSPF.
R1
R1#show run | section ospf
router ospf 1
router-id 1.1.1.1
passive-interface Ethernet0/0
network 192.168.12.0 0.0.0.255 area 0
Giải pháp:
Phải xóa bỏ passive-interface Ethernet0/0 trong phần cấu hình OSPF của R1
R1
router ospf 1
no passive-interface Ethernet0/0
Kết quả:
R1
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:37 192.168.12.2 Ethernet0/0
R2
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:34 192.168.12.1 Ethernet0/0
Ticket 2:
Cấu hình ban đầu:
Kiểm tra:
R1
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 INIT/DROTHER 00:00:38 192.168.12.2 Ethernet0/0
R2
R2#show ip ospf neighbor
R2#
Trạng thái trên R1 là INIT, R2 là không có gì cả
R1
R1#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
{...}
R2
R2#show ip ospf interface et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.12.2/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
{...}
Interface của cả 2 router đều cấu hình đúng.
Nhận xét:
Với trạng thái INIT trên R1 là do R1 không thể nhận được thông tin trao đổi OSPF từ R2, R2 không nhận được bất kỳ thông tin về OSPF từ R1. OSPF sử dụng gói tin hello để trao đổi với nhau và thiết lập quan hệ láng giềng (neighbor), chúng sử dụng địa chỉ multicast 224.0.0.5
R1
R1#ping 224.0.0.5
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 224.0.0.5, timeout is 2 seconds:
Reply to request 0 from 192.168.12.2, 1 ms
R2
R2#ping 224.0.0.5
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 224.0.0.5, timeout is 2 seconds:
Reply to request 0 from 192.168.12.2, 1 ms
Khi ping địa chỉ multicast 224.0.0.5 mà OSPF sử dụng để trao đổi thông tin thông qua gói tin hello thì cả 2 vẫn nhận thông tin phản hồi của nhau.
R1
R1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/5 ms
R2
R2#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Tuy nhiên chúng ta có thể ping đến được IP đấu nối của nhau. Vậy vấn đề có thể là liên quan đến traffic của OSPF multicast giữa 2 router.
R1
R1#show ip interface et0/0 | include access list
Outgoing access list is not set
Inbound access list is not set
R2
R2#show ip interface et0/0 | include access list
Outgoing access list is not set
Inbound access list is Permit-Rule
R2#show access-lists Permit-Rule
Extended IP access list Permit-Rule
10 permit tcp any any
20 permit udp any any
30 permit icmp any any (27 matches)
Có access-list Permit-Rule đã gán theo chiều in của interface Et0/0 của R2, và access list này chỉ cho phép tcp, udp và icmp mọi traffic còn lại sẽ bị chặn mặt định ở dòng cuối cùng của access list và dòng này bị ẩn chúng ta không thể thấy.
để thấy rỏ hơn chúng ta có thể debug access và xem có phải địa chỉ multicast có bị chặn hay không ta làm:
R2
access-list 101 permit ip 192.168.12.0 0.0.0.255 host 224.0.0.5
exit
debug ip packet 101 detail
R2
R2#debug ip packet 101 detail
IP packet debugging is on (detailed) for access list 101
R2#
*Feb 6 05:55:06.071: IP: s=192.168.12.1 (Ethernet0/0), d=224.0.0.5, len 80, access denied, proto=89
Giải pháp:
Sửa lại access list Permit-Rule và chèn dòng permit ospf any any lên trên cùng của access list trên R2
R2
ip access-list extended Permit-Rule
5 permit ospf any any
end
write
Access-list sau khi điều chỉnh trên R2
R2#show access-lists Permit-Rule
Extended IP access list Permit-Rule
5 permit ospf any any (19 matches)
10 permit tcp any any
20 permit udp any any
30 permit icmp any any (27 matches)
Kết quả:
R1
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:35 192.168.12.2 Ethernet0/0
R2
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:36 192.168.12.1 Ethernet0/0
Ticket 3:
Cấu hình ban đầu:
Kiểm tra:
R1
R1#debug ip ospf hello
OSPF hello debugging is on
R1#
*Feb 6 06:12:27.942: OSPF-1 HELLO Et0/0: Rcv hello from 2.2.2.2 area 0 192.168.12.2
*Feb 6 06:12:27.942: OSPF-1 HELLO Et0/0: Mismatched hello parameters from 192.168.12.2
*Feb 6 06:12:27.942: OSPF-1 HELLO Et0/0: Dead R 50 C 40, Hello R 11 C 10 Mask R 255.255.255.0 C 255.255.255.0
Nhận xét:
Thấy R1 nhận từ R2 là: Hello intervel là 11 và Dead time là 50
Giải pháp:
Có thể vào interface Et0/0 của R2 bỏ cấu hình dead time và hello interval của OSPF đi, lúc này OSPF sẽ dùng thời gian mặt đinh là 10/40, hoặc vào Et0/0 của R1 cấu hình thêm hello/dead timer là 11/50
R1
interface Ethernet0/0
ip ospf dead-interval 50
ip ospf hello-interval 11
end
write
Kết quả:
R1
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:35 192.168.12.2 Ethernet0/0
R2
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:36 192.168.12.1 Ethernet0/0
Kết luận: Các câu lệnh sử dụng trong bài này là:
show ip ospf neighbor
show ip interface <interface>
show ip ospf interface <interface>
show run | section ospf
show ip interface <interface> | include access list
debug ip packet <acl-number> detail
show access-lists
debug ip ospf hello
Xong!
Subscribe to:
Posts (Atom)