現在世の中に存在しているIGPはOSPF,IS-IS,EIGRP,RIPです。
EIGRPはCiscoが作ったので、CCIEもEIGRPがメインなのでは?と思われる方もいるかもしれません。
私の感覚では、OSPFの方が若干重みが多い印象です。殆どの研修でも同じ事を言っていると思われますし、利用シーンも現時点ではOSPFの方が分があるでしょう。
その意味で、OSPFの使用をしっかり理解しておく事はCCIE合格に不可欠なのです。
では、今日もOSPFのトラシュー対策、行ってみましょう。
今回はvirtual-link関係です。今までは1記事につき3つの問題を書いていましたが、今回はこの一つでかなりのボリュームになるので、1つのみとなります。
10. virtual-linkの認証が設定されていない
非常にありがちです。いつも通り、INEのトポロジーをベースに説明します。
トポロジーの説明&事前準備
R4-R5-R8-R10の間でOSPFを組む事にします。
- R4-R5がArea0です
- R5-R8がArea4です
- R8-R10がArea3です
以下、主要コンフィグです。
R4:
router ospf 1 network 150.1.0.0 0.0.0.255 area 0 network 150.1.0.0 0.0.255.255 area 0 network 155.1.45.0 0.0.0.255 area 0
R5:
router ospf 1 network 155.1.45.0 0.0.0.255 area 0 network 155.1.58.0 0.0.0.255 area 4
R8:
router ospf 1 network 155.1.58.0 0.0.0.255 area 4 network 155.1.108.0 0.0.0.255 area 3
R10:
router ospf 1 network 150.1.10.0 0.0.0.255 area 3 network 155.1.0.0 0.0.255.255 area 3
R4はあえて150.1.4.4をAdvertiseしています。
R8は150.1.4.4のプレフィックスを受信できますが、R10はできません。
R10が属しているArea3はArea0に直接繋がっていないからですね。
なので、R8とR5の間でvirtual-linkを張ります。
R5:
R5(config-router)#area 4 virtual-link 150.1.8.8 R5(config-router)# %OSPF-5-ADJCHG: Process 1, Nbr 150.1.8.8 on OSPF_VL2 from LOADING to FULL, Loading Done R5(config-router)#
R8:
R8(config-router)#area 4 virtual-link 150.1.5.5 R8(config-router)# %OSPF-5-ADJCHG: Process 1, Nbr 150.1.5.5 on OSPF_VL3 from LOADING to FULL, Loading Done R8(config-router)#
これで、無事R10にもR4のループバックのプレフィックスを送信する事が出来ました。
R10:
R10(config-router)#do sh ip route 150.1.4.4
Routing entry for 150.1.4.4/32
Known via "ospf 1", distance 110, metric 4, type inter area
Last update from 155.1.108.8 on GigabitEthernet1/0.108, 00:00:03 ago
Routing Descriptor Blocks:
* 155.1.108.8, from 150.1.8.8, 00:00:03 ago, via GigabitEthernet1/0.108
Route metric is 4, traffic share count is 1
R10(config-router)#do ping 150.1.4.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 150.1.4.4, timeout is 2 seconds:
..!!!
Success rate is 60 percent (3/5), round-trip min/avg/max = 8/36/56 msArea0の認証設定を行う
ここで、area0の認証設定を行う必要性が出てきたとします。タイトルでネタバレしているのですが、一先ずarea0に繋がっているのはR4とR5という事にして、認証設定をやっていきます。
R4:
R4(config-subif)#router ospf 1 R4(config-router)#area 0 authentication message-digest R4(config-router)#int g1/0.45 R4(config-subif)#ip o message-digest-key 1 md5 cisco
R5:
R5(config-router)#area 0 authentication message-digest R5(config-router)#int g1/0.45 R5(config-subif)#ip o message-digest-key 1 md5 cisco R5(config-subif)#do sh ip o int g1/0.45 | inc key|Message Message digest authentication enabled Youngest key id is 1 %OSPF-5-ADJCHG: Process 1, Nbr 150.1.8.8 on OSPF_VL2 from FULL to DOWN, Neighbor Down: Dead timer expired
virtual-linkも認証が必要です
既にネタバレしているのですが、やはり忘れがちです。virtual-linkもarea0なので、area0に認証が追加された場合は、認証設定が必要です。
トラシューの場合は、virtual-linkだけ認証設定を行っていないため、virtual-link設定はなされているはずなのにプレフィックスが受信出来ていない、等でしょうか。
まぁ、どちらにせよ「sh ip o nei」でvirtual-linkのネイバーが張られていないから、その時点で気づくべきですね。
直します。
R5:
R5(config-router)#area 4 virtual-link 150.1.8.8 authentication message-digest R5(config-router)#$50.1.8.8 authentication message-digest-key 1 md5 cisco
R8:
R8(config-router)#$tual-link 150.1.5.5 authentication message-digest
R8(config-router)#$50.1.5.5 authentication message-digest-key 1 md5 cisco
R8(config-router)#do sh ip o virtual | inc Message|Youngest
Message digest authentication enabled
Youngest key id is 1
R8(config-router)#do sh ip o nei
Neighbor ID Pri State Dead Time Address Interface
150.1.5.5 0 FULL/ - - 155.1.58.5 OSPF_VL3
150.1.10.10 1 FULL/DR 00:00:30 155.1.108.10 GigabitEthernet1/0.108
150.1.5.5 1 FULL/BDR 00:00:38 155.1.58.5 GigabitEthernet1/0.58無事virtual-linkを張り直す事が出来ました。
このコーナー、気づけばかなり続けましたね。。
この記事の内容がすんなり理解出来なかった方は、INEのWorkbookをマスター出来ていない可能性が高いです。
INEのOSPFセクションを何度も繰り返してください。私はINEのOSPFセクションを全て1時間程度で終わらせれます。
また、以下のOfficial Guide Vol1のOSPFセクションを読み直してください。まだ購入していない方、小手先の勉強でCCIE合格は無理です。必要な書籍は購入して、しっかり体系だった勉強をしましょう。勉強に重要な書籍をケチって回り道をしても、ラボ試験にFailしたら結局時間と費用を無駄にします。
必要な書籍は、買いましょう。
コメント