जुनिपर: जब मैं ओएसबीएफ इंटरफेस पर एफबीएफ को सक्षम करता हूं तो ओएसपीएफ आसन्न क्यों टूट जाता है?

मैंने एक परीक्षण प्रयोगशाला बनाई है जहाँ मैं फ़िल्टर आधारित अग्रेषण (FBF), उर्फ नीति आधारित रूटिंग का परीक्षण कर रहा हूँ। प्रश्न नीचे दिया जाएगा, लेकिन पहले, विवरण:

नीचे टोपोलॉजी आरेख है:

यहाँ छवि विवरण दर्ज करें

उद्देश्य: साइट 1 से स्टेजिंग के लिए नियत कोई भी ट्रैफ़िक लिंक 2 के माध्यम से WAN में और लिंक 1 के माध्यम से नहीं होना चाहिए। क्योंकि लिंक 1 को दो डेटा केंद्रों के बीच प्रतिकृति ट्रैफ़िक से संतृप्त किया जाएगा।

SW-1 और SW-2 जुनिपर EX4200 स्विच हैं
RTR-1 और RTR-2 जुनिपर J4350 हैं
PE-1 और PE-2 सिस्को 1841 राउटर ISIS और MPLS वीपीएन चला रहे हैं जो प्रदाता वैन बैकबोन का अनुकरण करते हैं

SW-1, SW-2, RTR-1 और RTR-2 सभी एरिया 0. में OSPF पड़ोसी हैं। RTR-1 और RTR-2 दोनों ही ASBR हैं और BGP सीखे हुए मार्गों को OSPF में इंजेक्ट करते हैं। प्रत्येक राउटर अपनी संबंधित साइट (साथ ही अतिरेक के लिए अन्य साइट के लिए पूर्व-पेंडिंग मार्ग) के लिए WAN में विज्ञापन मार्ग है।

साइट 1 से स्टेजिंग के लिए साइट 2 पर रूटिंग ट्रैफ़िक को आसानी से एक उच्च मीट्रिक के साथ ओएसपीएफ में एसडब्ल्यू -2 पर स्टेजिंग के स्थैतिक मार्ग का पुनर्वितरण करके आसानी से पूरा किया जाता है। चूँकि वह मार्ग WTR में RTR-2 द्वारा विज्ञापित हो जाता है, RTR-1 उस मार्ग को सीख लेगा और OSPF में इसे फिर से वितरित करेगा। SW-2 से सीखे गए OSPF मार्ग का SW-2 से उच्चतर मीट्रिक होगा, इस प्रकार मार्ग वान पर पसंद किया जाएगा।

साइट 2 से वापसी ट्रैफ़िक को भी इस तरह से प्रवाहित करने की आवश्यकता है ताकि हम असममित मार्ग से बचें। FBF SW-2 में प्रवेश करते हुए इनबाउंड इंटरफ़ेस (लिंक 4) पर लागू होता है। यह फ़िल्टर स्टेजिंग (10.100.190 / 24) से सभी ट्रैफ़िक को ले जाएगा और अगले-हॉप आरटीआर -2 को बनाएगा। एफबीएफ का यह हिस्सा काम कर रहा है, जैसा कि मैंने लैब में परीक्षण किया है।

चूंकि RTR-2 का पसंदीदा मार्ग साइट 1 पर वापस लिंक 1 के माध्यम से है, इसलिए हमें RTR-2 (SW-2 का सामना करते हुए) के इनबाउंड LAN इंटरफ़ेस पर एक बार फिर FBF लागू करने की आवश्यकता है।

यहां समस्या है ... जब एफबीएफ को उस राउटर पर लागू किया जाता है, तो एसडब्ल्यू -2 ब्रेक के साथ ओएसपीएफ आसन्न।

प्रश्न: RTR-2 और SW-2 के बीच OSPF आसन्न ब्रेकिंग क्यों है ??

RTR-2 और SW-2 के लिए कॉन्फ़िगरेशन संलग्न हैं:

आरटीआर -2 कन्फ्यूज

root@RTR-2> show configuration interfaces | display set    
set interfaces ge-0/0/0 unit 0 family inet filter input FBF-TEST
deactivate interfaces ge-0/0/0 unit 0 family inet filter
set interfaces ge-0/0/0 unit 0 family inet address 10.100.254.2/24
set interfaces ge-0/0/3 description "Uplink to WAN"
set interfaces ge-0/0/3 unit 0 family inet address 200.200.200.2/30
set interfaces lo0 unit 0 family inet address 10.100.199.4/32

root@RTR-2> show configuration routing-options | display set 
set routing-options interface-routes rib-group inet STAGING-RIB
set routing-options rib-groups STAGING-RIB import-rib inet.0
set routing-options rib-groups STAGING-RIB import-rib PATH-1.inet.0
set routing-options rib-groups STAGING-RIB import-rib PATH-2.inet.0
set routing-options router-id 200.200.200.2
set routing-options autonomous-system 1

root@RTR-2> show configuration routing-instances | display set  
set routing-instances PATH-1 instance-type forwarding
set routing-instances PATH-1 routing-options static route 10.100.30.0/24 next-hop 200.200.200.1
set routing-instances PATH-1 routing-options static route 10.100.30.0/24 qualified-next-hop 10.100.254.1 preference 100
set routing-instances PATH-2 instance-type forwarding
set routing-instances PATH-2 routing-options static route 10.100.30.0/24 next-hop 10.100.254.1
set routing-instances PATH-2 routing-options static route 10.100.30.0/24 qualified-next-hop 200.200.200.1 preference 100

root@RTR-2> show configuration firewall | display set             
set firewall family inet filter FBF-TEST term TERM-1 from source-address 10.100.190.0/24
set firewall family inet filter FBF-TEST term TERM-1 from source-address 10.100.191.0/24
set firewall family inet filter FBF-TEST term TERM-1 then routing-instance PATH-1
set firewall family inet filter FBF-TEST term DEFAULT then routing-instance PATH-2

root@RTR-2> show configuration protocols | display set 
set protocols bgp path-selection cisco-non-deterministic
set protocols bgp log-updown
set protocols bgp group TEST type external
set protocols bgp group TEST local-address 200.200.200.2
set protocols bgp group TEST import REJECT
set protocols bgp group TEST export ADVERTISED
set protocols bgp group TEST peer-as 65000
set protocols bgp group TEST neighbor 200.200.200.1 preference 20
set protocols ospf rib-group STAGING-RIB
set protocols ospf export BGP-to-OSPF
set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 priority 150
set protocols ospf area 0.0.0.0 interface lo0.0 passive

एसडब्लू -2 कन्फर्म करता है

root@SW-2> show configuration interfaces | display set 
set interfaces ge-0/0/0 unit 0 family inet address 10.10.10.2/30
set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members VLAN-254
set interfaces ge-0/0/11 description "Uplink to STAGING"
set interfaces ge-0/0/11 unit 0 family inet filter input FBF-TEST
set interfaces ge-0/0/11 unit 0 family inet address 10.100.100.1/30
set interfaces lo0 unit 0 family inet address 10.100.199.2/32
set interfaces vlan unit 2 family inet address 10.100.2.1/24
set interfaces vlan unit 251 family inet address 10.100.251.1/24
set interfaces vlan unit 254 family inet address 10.100.254.1/24

root@SW-2> show configuration routing-options | display set 
set routing-options nonstop-routing
set routing-options interface-routes rib-group inet STAGING-RIB
set routing-options static route 172.22.128.0/21 next-hop 10.22.76.1
set routing-options static route 10.22.20.0/24 next-hop 10.22.76.1
set routing-options static route 10.100.190.0/24 next-hop 10.100.100.2
set routing-options static route 10.100.191.0/24 next-hop 10.100.100.2
set routing-options rib-groups STAGING-RIB import-rib inet.0
set routing-options rib-groups STAGING-RIB import-rib PATH-1.inet.0
set routing-options rib-groups STAGING-RIB import-rib PATH-2.inet.0
set routing-options router-id 10.100.254.1

root@SW-2> show configuration routing-instances | display set  
set routing-instances PATH-1 instance-type forwarding
set routing-instances PATH-1 routing-options static route 10.100.30.0/24 next-hop 10.100.254.2
set routing-instances PATH-1 routing-options static route 10.100.30.0/24 qualified-next-hop 10.10.10.1 preference 100
set routing-instances PATH-2 instance-type forwarding
set routing-instances PATH-2 routing-options static route 10.100.30.0/24 next-hop 10.10.10.1
set routing-instances PATH-2 routing-options static route 10.100.30.0/24 qualified-next-hop 10.100.254.2 preference 100

root@SW-2> show configuration firewall | display set             
set firewall family inet filter FBF-TEST term TERM-1 from source-address 10.100.190.0/24
set firewall family inet filter FBF-TEST term TERM-1 from source-address 10.100.191.0/24
set firewall family inet filter FBF-TEST term TERM-1 then routing-instance PATH-1
set firewall family inet filter FBF-TEST term DEFAULT then routing-instance PATH-2

root@SW-2> show configuration protocols | display set   
set protocols ospf export ADVERTISED
set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 interface-type p2p
set protocols ospf area 0.0.0.0 interface vlan.2 passive
set protocols ospf area 0.0.0.0 interface vlan.251 passive
set protocols ospf area 0.0.0.0 interface vlan.254 priority 250

ospf juniper pbr

— NetEng76
स्रोत

क्या आप एफबीएफ-परीक्षण एसीएल को शामिल कर सकते हैं, मेरा अनुमान है कि आप SW2 के आईपी पते को शामिल नहीं कर रहे हैं या आप राउटर के आंतरिक रूप से उत्पन्न ट्रैफ़िक को शामिल कर रहे हैं

— fredpbaker

एसीएल शामिल है। "कॉन्फ़िगरेशन फ़ायरवॉल दिखाएं" पंक्ति देखें।

— NetEng76

क्या आप इंटरफ़ेस कॉन्फ़िगरेशन शामिल कर सकते हैं?

— user2697

मैंने उपर्युक्त मूल पोस्ट में इंटरफ़ेस को जोड़ा।

— NetEng76

क्या आपके फ़िल्टर में प्रत्येक अवधि के अंत में "तब स्वीकार करें" पंक्ति नहीं होनी चाहिए? अन्यथा यह किसी भी बेजोड़ यातायात को नहीं गिराएगा?

— SpacemanSpiff

इसलिए, कल JTAC के साथ काम करने के बाद, "I", जैसा कि मुझे वास्तव में JTAC की आवश्यकता नहीं थी क्योंकि मैंने अपने दम पर इस मुद्दे का पता लगाया था .. एहसास हुआ कि मेरा फ़ायरवॉल फ़िल्टर थोड़ा बेमानी था और "परमिट एनी" कथन का अभाव था ।

OSPF आसन्नता टूट रही थी क्योंकि फ़ायरवॉल फ़िल्टर "और" ट्रैफ़िक (DEFAULT) शब्द ले रहा था और इसे रूटिंग-उदाहरण PATH-2 में भेज रहा था, जो किसी भी तरह से मदद नहीं करता था क्योंकि यह SW-2 के लिए ट्रैफ़िक वापस भेज रहा था, कुछ एक "तब स्वीकार करें" कथन आसानी से हो जाता

इसलिए, इस मुद्दे को सुधारने के लिए ।।

नया SW-2 और RTR-2 सही कॉन्फ़िगरेशन:

delete routing-instances PATH-2
delete firewall family inet filter FBF-TEST term DEFAULT
set firewall family inet filter FBF-TEST term PERMIT-ANY then accept

SW-2 के लिए नया कॉन्फिगरेशन स्निप:

routing-options {
    nonstop-routing;
    interface-routes {
        rib-group inet STAGING-RIB;
    }
    static {
        route 10.100.190.0/24 next-hop 10.100.100.2;
        route 10.100.191.0/24 next-hop 10.100.100.2;
    }
    rib-groups {
        STAGING-RIB {
            import-rib [ inet.0 PATH-1.inet.0 ];
        }
    }
    router-id 10.100.254.1;
}
firewall {
    family inet {
        filter FBF-TEST {
            term TERM-1 {
                from {
                    source-address {
                        10.100.190.0/24;
                        10.100.191.0/24;
                    }
                }
                then {
                    routing-instance PATH-1;
                }
            }
            term PERMIT-ANY {
                then accept;
            }
        }
    }
}
routing-instances {
    PATH-1 {
        instance-type forwarding;
        routing-options {
            static {
                route 10.100.30.0/24 {
                    next-hop 10.100.254.2;
                    qualified-next-hop 10.10.10.1 {
                        preference 100;
                    }
                }
            }
        }
    }
}

RTR-2 के लिए नया कॉन्फिगरेशन स्निप:

routing-options {
    interface-routes {
        rib-group inet STAGING-RIB;
    }
    rib-groups {
        STAGING-RIB {
            import-rib [ inet.0 PATH-1.inet.0 ];
        }
    }
    router-id 200.200.200.2;
    autonomous-system 1;
}
firewall {
    family inet {
        filter FBF-TEST {
            term TERM-1 {
                from {
                    source-address {
                        10.100.190.0/24;
                        10.100.191.0/24;
                    }
                }
                then {
                    routing-instance PATH-1;
                }
            }
            term PERMIT-ANY {
                then accept;
            }
        }
    }
}
routing-instances {
    PATH-1 {
        instance-type forwarding;
        routing-options {
            static {
                route 10.100.30.0/24 {
                    next-hop 200.200.200.1;
                    qualified-next-hop 10.100.254.1 {
                        preference 100;
                    }
                }
            }
        }
    }
}

— NetEng76
स्रोत