ISIS および OSPF のデュアルポイント双方向の導入と構成、デュアルポイント双方向の問題 (最適ではないパスとループのリスク)

2.4.0 ISIS および OSPF デュアルポイント双方向の導入と構成、デュアルポイント双方向に存在する問題

2 点双方向に関する関連概念

単一点双方向

ネットワーク内で外部ネットワークに接続されるデバイスはエグレスゲートウェイデバイスと呼ばれ、通常、小規模ネットワークにはエグレスゲートウェイデバイスは1台のみ存在します。

ネットワーク内に出口デバイスが 1 つだけあり、外部ネットワーク デバイスが相互に接続されている場合、反対側のルートが導入され、外部ネットワーク デバイスは内部ネットワークのルートを学習でき、同時に外部ネットワーク デバイスが内部ネットワークのルートを学習できます。 、内部ネットワークは外部ネットワークのルートを学習することもできます。

凡例: エクストラネットは、別の企業イントラネット、または実際のエクストラネットとして理解できます。重要なのは、このテクノロジーの役割を理解することです。

2点双方向

ネットワーク内に 2 つの出力デバイスがあり、それらは外部ネットワーク上の同じデバイスまたは 2 つのデバイスに接続されており、同時に相互にルートをインポートします。

1 点片道および 2 点片道

双方向のインポートがあるため、一方向のインポートも存在する必要があります。一方向のインポートには、管理者が解決する必要がある特定の問題があります。

注: シングル ポイントは 1 つのエクスポート デバイスを指し、ダブル ポイントはインポート操作をルーティングするための 2 つのエクスポート デバイスを指します。

下図に示すように、一方向導入に関しては、AR2 上で OSPF が一方方向で ISIS に導入されることを想定しています。

現象: ISIS 内にイントラネット OSPF ルートが存在しますが、OSPF は ISIS のルートを知らないため、現時点では ISIS から OSPF に直接アクセスできません。

解決策: AR4 を指すように AR2 上のデフォルト ルートを設定し、そのデフォルト ルートを OSPF にアドバタイズできます。イントラネット上の OSPF は、デフォルト ルートを通じて ISIS ネットワークにアクセスします。

2点双方向の問題点

1 点双方向は通信要件を満たすことができますが、ネットワークの冗長性は保証できません。つまり、1 つのエクスポート デバイスが故障すると、そのデバイスは通信できなくなります。

デュアルポイント双方向により、出口ゲートウェイ機器の冗長性が向上し、サービスの中断のない転送が保証されます。

ただし、デュアルポイント双方向には、ルートをインポートする際の優先順位の問題によって発生する最適ではないパスの問題や、ルートを前後にインポートすることによって発生する隠れたループなど、いくつかの欠点もあります。

既存の問題を証明するには、まず構成例を通じて現象を観察します。

1. IP アドレスと OSPF、ISIS プロトコルの構成

AR1

<Huawei>sys
[Huawei]sys AR1
[AR1]un in en

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.1.12.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 10.1.13.1 24
[AR1-GigabitEthernet0/0/1]int loo 0
[AR1-LoopBack0]ip add 192.168.1.254 24
[AR1-LoopBack0]q

[AR1]ospf 1 router-id 1.1.1.1
[AR1-ospf-1]a 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.12.1 0.0.0.0
[AR1-ospf-1-area-0.0.0.0]network 10.1.13.1 0.0.0.0
[AR1-ospf-1-area-0.0.0.0]q
[AR1-ospf-1]q

AR2

<Huawei>sys
[Huawei]sys AR2
[AR2]un in en

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.12.2 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.24.2 24
[AR2-GigabitEthernet0/0/1]q
[AR2]ospf 1 router-id 2.2.2.2
[AR2-ospf-1]a 0
[AR2-ospf-1-area-0.0.0.0]network 10.1.12.2 0.0.0.0
[AR2-ospf-1-area-0.0.0.0]network 10.1.24.2 0.0.0.0
[AR2-ospf-1-area-0.0.0.0]q
[AR2-ospf-1]q
[AR2]isis 1
[AR2-isis-1]network 49.0001.0000.0000.0002.00
[AR2-isis-1]q
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]isi enable

AR3

<Huawei>sys
[Huawei]sys AR3
[AR3]un in en

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.13.3 24
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 10.1.34.3 24
[AR3-GigabitEthernet0/0/1]q

[AR3]ospf 1 router-id 3.3.3.3
[AR3-ospf-1]a 0
[AR3-ospf-1-area-0.0.0.0]network 10.1.13.3 0.0.0.0
[AR3-ospf-1-area-0.0.0.0]network 10.1.34.3 0.0.0.0
[AR3-ospf-1-area-0.0.0.0]q
[AR3-ospf-1]q

[AR3]isis 1
[AR3-isis-1]network 49.0001.0000.0000.0003.00
[AR3-isis-1]q
[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]isi enable

AR4

<Huawei>sys
[Huawei]sys AR4
[AR4]un in en

[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]ip add 10.1.24.4 24
[AR4-GigabitEthernet0/0/0]int g0/0/1
[AR4-GigabitEthernet0/0/1]ip add 10.1.34.4 24
[AR4-GigabitEthernet0/0/1]int loo 0
[AR4-LoopBack0]ip add 192.168.4.254 24
[AR4-LoopBack0]q

[AR4]isis 1
[AR4-isis-1]network 49.0001.0000.0000.0004.00
[AR4-isis-1]q
[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]isis enable
[AR4-GigabitEthernet0/0/0]int g0/0/1
[AR4-GigabitEthernet0/0/1]isis enable

2. 設定結果を確認する

OSPF隣接関係は確立されていますか?

AR1 で、情報が 2 つあり、State が Full であれば、隣接関係が正常に確立されていることを意味します。

<AR1>display ospf peer brief 

	 OSPF Process 1 with Router ID 1.1.1.1
		  Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          GigabitEthernet0/0/0             2.2.2.2          Full        
 0.0.0.0          GigabitEthernet0/0/1             3.3.3.3          Full        
 ----------------------------------------------------------------------------

ISISとの隣接関係は確立されているのか？

AR4で見ると、情報が4つあり、StateがUpであれば、ISISの隣接関係が確立していることを意味します。

なぜ4つあるのですか？

これは、L1/2 デバイスがL1 隣接とL2 隣接という2 つの隣接関係を確立するためです。

[AR4]display isis peer

                          Peer information for ISIS(1)

  System Id     Interface          Circuit Id       State HoldTime Type     PRI
-------------------------------------------------------------------------------
0000.0000.0002  GE0/0/0            0000.0000.0002.01 Up   8s       L1(L1L2) 64 
0000.0000.0002  GE0/0/0            0000.0000.0002.01 Up   9s       L2(L1L2) 64 
0000.0000.0003  GE0/0/1            0000.0000.0004.02 Up   26s      L1(L1L2) 64 
0000.0000.0003  GE0/0/1            0000.0000.0004.02 Up   21s      L2(L1L2) 64 

Total Peer(s): 4

3. AR2 と AR3 はルート インポートを構成します

AR1、OSPF へのループバック インターフェイスの導入を担当します。

[AR1]ospf 1
[AR1-ospf-1]import-route direct

AR4、ISIS へのループバック ポートの導入を担当します。

[AR4]isis 1
[AR4-isis-1]import-route direct

思考: なぜ輸入するのでしょうか? 紹介しなくても現象がわかりますか？

導入後はループバックポートの経路が外部経路となり優先度が変わるため、最適でないパスが発生する問題が発生します。

インポートされない場合、ネットワークは通常どおりルートを公開し、優先度は変更されないため、次善のルートは存在しません。

AR2

[AR2]ospf 1
[AR2-ospf-1]import-route isis 1
[AR2-ospf-1]isis 1
[AR2-isis-1]import-route ospf 1

AR3

[AR3]ospf 1
[AR3-ospf-1]import-route isis 1
[AR3-ospf-1]isis 1
[AR3-isis-1]import-route ospf 1

4. AR1 と AR4 のルーティング テーブルを表示します。

AR1 の OSPF ルーティング テーブルでは、AR4 のルートを学習することに加えて、隠れループでもある自身が送信したループバック インターフェイス ネットワーク 192.168.1.0 も学習していることが明確にわかります。

<AR1>display ip routing-table protocol ospf
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.24.0/24  OSPF    10   2           D   10.1.12.2       GigabitEthernet0/0/0
      10.1.34.0/24  OSPF    10   2           D   10.1.13.3       GigabitEthernet0/0/1
    192.168.4.0/24  O_ASE   150  1           D   10.1.12.2       GigabitEthernet0/0/0
                    O_ASE   150  1           D   10.1.13.3       GigabitEthernet0/0/1

OSPF routing table status : <Inactive>
         Destinations : 1        Routes : 2
         
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
    192.168.1.0/24  O_ASE   150  1               10.1.13.3       GigabitEthernet0/0/1
    192.168.1.0/24  O_ASE   150  1               10.1.12.2       GigabitEthernet0/0/0

AR4 の ISIS ルーティング テーブル、ここで問題が発生します。

AR4 から AR1 へのループバック ネットワークは AR2 のみを通過でき、AR3 は通過できません。

<AR4>display ip routing-table protocol  isis
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.12.0/24  ISIS-L2 15   74          D   10.1.24.2       GigabitEthernet0/0/0
                    ISIS-L2 15   74          D   10.1.34.3       GigabitEthernet0/0/1
      10.1.13.0/24  ISIS-L2 15   74          D   10.1.24.2       GigabitEthernet0/0/0
                    ISIS-L2 15   74          D   10.1.34.3       GigabitEthernet0/0/1
    192.168.1.0/24  ISIS-L2 15   74          D   10.1.24.2       GigabitEthernet0/0/0

AR2 と AR3 のルーティング テーブルを見てみましょう。

AR2 ルーティング テーブル、OSPF および ISIS の一部のルートのみをインターセプトします。

AR2 のルーティング テーブルは正常です。つまり、ターゲット ネットワークへのネクスト ホップは正しいです。

<AR2>dis ip routing-table 
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

	10.1.13.0/24  OSPF    10   2           D   10.1.12.1       GigabitEthernet0/0/0
	10.1.34.0/24  OSPF    10   3           D   10.1.12.1       GigabitEthernet0/0/0
  	192.168.1.0/24  O_ASE   150  1           D   10.1.12.1       GigabitEthernet0/0/0
    192.168.4.0/24  ISIS-L2 15   74          D   10.1.24.4       GigabitEthernet0/0/1

AR3 ルーティング テーブル、OSPF および ISIS の一部のルートのみをインターセプトします。

AR1 へのループバック ネットワークと AR4 へのループバック ネットワークの両方が ISIS ネットワークを経由していることがはっきりとわかります。これは次善のルーティング現象です。

<AR3>display ip routing-table 
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

	10.1.12.0/24  OSPF    10   2           D   10.1.13.1       GigabitEthernet0/0/0
	10.1.24.0/24  OSPF    10   3           D   10.1.13.1       GigabitEthernet0/0/0
	192.168.1.0/24  ISIS-L2 15   84          D   10.1.34.4       GigabitEthernet0/0/1
    192.168.4.0/24  ISIS-L2 15   74          D   10.1.34.4       GigabitEthernet0/0/1

最適ではないパスの生成

最適ではないルーティングの根本原因は、ルーティングの優先順位です。

OSPF ルートの優先度は 10 で、OSPF 外部ルートの優先度は 150 です。

ISIS ルートの優先度は 15 ですが、ISIS によってインポートされた外部ルートの優先度は引き続き 15 です。

注: ルーティングの優先順位では、優先順位の値が小さいほど優れています。

次の図とルーティングの優先順位を組み合わせてルーティングの伝播を理解すると、次善のルーティングが存在する理由を知ることができます。

なぜ AR2 が次善のパスを選択しないのか疑問に思われるかもしれません。

AR2 は最初に双方向インポートで構成されているため、AR3 は ISIS から AR1 ループバック ネットワークを学習し、AR1 ループバック ネットワークに接続するために AR4 の使用のみを選択します。

AR3 の後に双方向インポートが設定されており、最適なルートが AR1 ループバック ネットワーク ルートであるため、ISIS の AR1 ループバック ネットワークを ISIS ネットワークにインポートできません。したがって、AR4 は、AR2 から送信された AR1 ループバック ネットワークのみを認識できます。

準最適なルーティング生成の概要

OSPF インポートされたルートが外部ルートになると、ルートの優先順位が変更されます。

ルートをインポートするときに、低優先度ルート(OSPF 外部ルート優先度 150) が高優先度ルート(ISIS 優先度 15) になると、最適ではないルートが表示されることがあります。

2 点双方向における次善のルーティング ソリューションについては、ルーティング戦略とその他の関連知識を紹介した後で紹介します。

ループに潜む危険性

AR1 ルーティング テーブルの前回の表示を振り返ると、次のようになります。

1. AR1 が AR3 から返信された 192.168.1.0 ルートを学習していることがわかります。

前述したように、AR2 が最初にルートをインポートするため、AR3 は ISIS の 192.168.1.0 ルートを学習します。

その後、AR3 はルートをインポートし、誤って学習した ISIS192.168.1.0 を OSPF にインポートします。

2. 直接ルートが最適であるため、通常はこのルートは有効になりません。

<AR1>display ip routing-table protocol ospf
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.24.0/24  OSPF    10   2           D   10.1.12.2       GigabitEthernet0/0/0
      10.1.34.0/24  OSPF    10   2           D   10.1.13.3       GigabitEthernet0/0/1
    192.168.4.0/24  O_ASE   150  1           D   10.1.12.2       GigabitEthernet0/0/0
                    O_ASE   150  1           D   10.1.13.3       GigabitEthernet0/0/1

OSPF routing table status : <Inactive>
         Destinations : 1        Routes : 2
         
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
    192.168.1.0/24  O_ASE   150  1               10.1.13.3       GigabitEthernet0/0/1

ループ発生条件：AR1のループバックポートネットワークが切断された場合。

ループの生成について簡単に説明します。

1. AR1 のループバック ポートが切断された後、LSU アップデート（192.168.1.0 のルートを削除）を送信し、同時に AR3 からの外部ルートを使用します。

2. AR3 を使用するルートも LSU アップデートを送信します (192.168.1.0 のネクスト ホップで私を見つけるように AR2 に通知します)。

3. AR2 は最初の LSU を受信し、削除する前に外部ルートを削除します。2 番目の LSU を受信した後も、ネクスト ホップは引き続き AR1 (変更なし) になります。

4. このとき、AR1 からは 192.168.1.0 へのパスが見えます: AR1》AR3》AR4》AR2》AR1…ループが形成されます。

実験を操作する 現象を観察する

1. AR1 のループバック ネットワークを削除し、OSPF ルーティング テーブルを確認すると、192.168.1.0 ネットワークへのアクセスが AR3 よりも優先されていることがわかります。

[AR1]int lo 0
[AR1-LoopBack0]undo ip add
[AR1-LoopBack0]q

[AR1]display ip routing-table protocol ospf 
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

    192.168.1.0/24  O_ASE   150  1           D   10.1.13.3       GigabitEthernet0/0/1

2. ネクストホップの方向に従って、AR3 がどのように動くかを見てみましょう。

3. 最適ではないルーティングの問題により、AR3 が AR4 を最初に取得することがわかります。

<AR3>display ip routing-table 
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
    192.168.1.0/24  ISIS-L2 15   84          D   10.1.34.4       GigabitEthernet0/0/1

4. AR4 のルーティング テーブルを確認します。パスが最適ではないため、ネクスト ホップが AR2 であるエントリのみが AR4 に表示されます。

<AR4>display ip routing-table protocol isis
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

    192.168.1.0/24  ISIS-L2 15   74          D   10.1.24.2       GigabitEthernet0/0/0

5. 最後は AR2 のルーティング テーブルで、次のホップは AR1 であるため、ループが形成されます。

<AR2>display ip routing-table 
------------------------------------------------------------------------------
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

    192.168.1.0/24  O_ASE   150  1           D   10.1.12.1       GigabitEthernet0/0/0

ループリスクの概要

ループが発生した後、AR1 のループバック ネットワークを復元するか、ルーティング ポリシーを適用してルートをフィルタリングしてループを防止します。

2 点双方向におけるループリスクの解決策については、ルーティング戦略やその他の関連知識を紹介した後、後で紹介します。