OSPF und OSPFv3
Sie können OSPF- und OSPFv3-Routen auf der Sophos Firewall erstellen.
Open Shortest Path First (OSPF) ist ein Link-State-Routing-Protokoll innerhalb eines autonomen Systems (AS). Es sendet Routing-Informationen an alle Router im Netzwerk, indem es anhand der von jedem Router aufgebauten Struktur den kürzesten Pfad zu jedem Router berechnet.
OSPF unterstützt IPv4. OSPFv3 unterstützt IPv6.
OSPF-Bereiche
Ein Bereich ist eine logische Unterteilung eines OSPF-Netzwerks. Jeder Bereich verwaltet eine separate Datenbank auf dem Verbindungsrouter, die Informationen zur Topologie des Bereichs enthält. Die Topologie eines Bereichs ist außerhalb dieses Bereichs nicht bekannt. Es gibt drei Arten von Bereichen:
| Gebietsname | Beschreibung |
|---|---|
| Backbone-Bereich | Der Backbone-Bereich, auch Bereich 0 genannt, verteilt Informationen zwischen den anderen Bereichen im Netzwerk. Alle anderen Bereiche im Netzwerk sind mit dem Backbone verbunden. Das Routing zwischen den Bereichen erfolgt über Router, die mit dem Backbone und den anderen Bereichen verbunden sind. |
| Stub-Bereich | Ein Stub-Bereich ist ein Bereich, der keine Routenanzeigen außerhalb des autonomen Systems (AS) empfängt. |
| NSSA | Ein Not-So-Stubby-Area (NSSA) ist eine Art Stub-Area, das keine Routenanzeigen außerhalb des AS (Typ 5) von anderen OSPF-Areas empfängt, aber die in diesem Area neu verteilten externen Routen als LSAs vom Typ 7 transportieren kann. |
Ein Area Border Router (ABR) ist ein Router, der Bereiche mit dem Backbone-Netzwerk verbindet und für jeden Bereich, mit dem er verbunden ist, separate Routing-Informationen verwaltet. Er verfügt über Schnittstellen in mehreren Bereichen, davon mindestens eine Schnittstelle im Backbone-Bereich.
Globale Konfiguration
Sie können die OSPF- und OSPFv3-Einstellungen konfigurieren.
Legen Sie die gewünschten globalen Einstellungen wie folgt fest:
-
Router-ID: Geben Sie eine ID ein, um die Firewall als den Router zu identifizieren, von dem das Paket stammt. Stellen Sie sicher, dass die ID die folgenden Bedingungen erfüllt:
- Es muss im IPv4-Adressformat vorliegen.
- Es muss keine gültige IP-Adresse in Ihrer Routing-Domäne sein.
- Es muss innerhalb Ihrer Routingdomäne eindeutig sein.
- Sie können nicht verwenden
0.0.0.0.
Wenn Sie keinen Wert eingeben, verwendet die Firewall die höchste Schnittstellenadresse.
-
Standardmetrik: Geben Sie einen Wert ein, der verwendet werden soll, wenn die Firewall verbundene, statische, RIP- und BGP-Routen über OSPF neu verteilt und Sie keine individuellen Metriken für jeden Routentyp konfiguriert haben. Niedrigere Kosten bedeuten eine höhere Präferenz.
Wenn Sie keinen Wert eingeben, verwendet die Firewall den folgenden Standardwert: 20.
-
ABR-Typ: Um die Kompatibilität sicherzustellen, wählen Sie den Area Border Router (ABR)-Typ in Ihrer Routingdomäne aus den folgenden Optionen aus:
- Standard
- Cisco
- IBM
- Abkürzung
-
Auto-Cost-Referenzbandbreite (Mbit/s): Geben Sie einen Wert ein, um die Kosten für das Routing durch die Firewall zu berechnen. Niedrigere Kosten bedeuten eine höhere Präferenz.
Die OSPF-Kosten werden durch die Schnittstellengeschwindigkeit geteilt. Standard: 100000 Mbit/s
Beispiel
Referenzbandbreite = 100000 Mbit/s
Schnittstellenbandbreite = 2000 Mbit/s
Kosten = 100000/20000 = 50
Notiz
Wenn Sie von einer früheren Version auf Version 19.5 oder höher migriert sind, wird der vorherige Standardwert (100) als aktueller Standardwert (100000) migriert. Wenn Sie den Standardwert in der früheren Version geändert haben, wird der Wert unverändert migriert.
-
Wählen Sie die Routenanzeigeeinstellungen aus, die Sie in Ihrem Netzwerk benötigen, geben Sie die entsprechende Metrik ein und wählen Sie den Metriktyp aus den folgenden Optionen aus:
- Externer Typ 1: Summe der internen Kosten (Kosten für das Erreichen des ASBR) und der externen Kosten zum Ziel. Die Routenkosten sind daher für jeden Router unterschiedlich. Verwenden Sie diese Option, wenn der Datenverkehr das Netzwerk am nächstgelegenen Ausgangspunkt verlassen soll.
- Externer Typ 2: Nur die externen Kosten zum Ziel. Die Routenkosten sind also für alle Router in der OSPF-Domäne gleich. Verwenden Sie diese Option, wenn der Datenverkehr das Netzwerk am nächstgelegenen Punkt zum Ziel verlassen soll.
Wählen Sie je nach Ihren Anforderungen Folgendes aus:
-
Standardinformationen stammen: Gibt die Standardroute bekannt (
0.0.0.0/0) an Nachbarn basierend auf den folgenden Optionen:- Niemals: Gibt die Standardroute nicht bekannt.
- Regulär: Gibt es bekannt, wenn es in der Routing-Tabelle vorhanden ist.
- Stets: Gibt es immer bekannt, auch wenn es nicht in der Routing-Tabelle vorhanden ist.
-
Verteilt verbundene: Verteilt Routen für verbundene Netzwerke, einschließlich SSL-VPN-Datenverkehr für den Remotezugriff, in die OSPF-Routingtabelle neu.
Notiz
Nur der Datenverkehr im Zusammenhang mit dem dynamischen Subnetz des Remote-Zugriffs-SSL-VPN wird in OSPF eingespeist. Das statische Subnetz wird nicht in das OSPF-Netzwerk eingespeist. Sie können ein OSPF-Netzwerk für das statische Subnetz konfigurieren.
Notiz
Die Firewall verteilt alle direkt angeschlossenen Netzwerke neu. Sie können keine Routen selektiv über die Webadministrationskonsole einfügen.
-
Statisches neu verteilen: Verteilt statische Routen neu in die OSPF-Routingtabelle.
- RIP neu verteilen: Verteilt RIP-Routen neu in die OSPF-Routingtabelle.
- BGP neu verteilen: Verteilt BGP-Routen neu in die OSPF-Routingtabelle.
-
Klicken Anwenden.
Notiz
Wenn Sie die Globale Konfiguration Einstellungen in der Web-Admin-Konsole, die Firewall entfernt Ihre Änderungen an der Standardeinstellung log-adjacency-changes.
Netzwerke und Bereiche
Sie können die von Ihnen konfigurierten OSPF-Netzwerke, die entsprechenden Subnetzmasken und den zugehörigen Bereich sehen. Siehe Hinzufügen eines OSPF-Netzwerks.
Sie können die OSPF-Bereiche, die Bereichs- und Authentifizierungstypen, die Bereichskosten und ggf. virtuelle Links sehen. Siehe OSPF-Bereiche hinzufügen.
Schnittstellenkonfiguration überschreiben
Sie können die Schnittstellenkonfiguration verwalten. Siehe Schnittstellenkonfiguration überschreiben.
Legen Sie die gewünschten globalen Einstellungen wie folgt fest:
-
Router-ID: Geben Sie eine ID ein, um die Firewall als den Router zu identifizieren, von dem das Paket stammt. Stellen Sie sicher, dass die ID die folgenden Bedingungen erfüllt:
- Es muss im IPv4-Adressformat vorliegen.
- Es muss keine gültige IP-Adresse in Ihrer Routing-Domäne sein.
- Es muss innerhalb Ihrer Routingdomäne eindeutig sein.
- Sie können nicht verwenden
0.0.0.0.
Wenn Sie keinen Wert eingeben, verwendet die Firewall die höchste Schnittstellenadresse.
-
Standardmetrik: Wird verwendet, um die beste Route unter den in OSPFv3 neu verteilten Routen zu bestimmen.
Derzeit können Sie diesen Wert nicht ändern, und der Wert
0wird angezeigt, aber die Firewall verwendet den folgenden Standardwert: 20. -
ABR-Typ: Der Area Border Router (ABR)-Typ ist eingestellt auf Standard, das RFC 2328 entspricht. Sie können es nicht ändern.
-
Auto-Cost-Referenzbandbreite (Mbit/s): Geben Sie einen Wert ein, um die Kosten für das Routing durch die Firewall zu berechnen. Niedrigere Kosten bedeuten eine höhere Präferenz.
Die OSPFv3-Kosten werden durch die Schnittstellengeschwindigkeit geteilt. Standard: 100000 Mbit/s
Beispiel
Referenzbandbreite = 100000 Mbit/s
Schnittstellenbandbreite = 2000 Mbit/s
Kosten = 100000/20000 = 50
-
Wählen Sie die Routenanzeigeeinstellungen aus, die Sie in Ihrem Netzwerk benötigen, geben Sie die entsprechende Metrik ein und wählen Sie den Metriktyp aus den folgenden Optionen aus:
- Externer Typ 1: Summe der internen Kosten (Kosten für das Erreichen des ASBR) und der externen Kosten zum Ziel. Die Routenkosten sind daher für jeden Router unterschiedlich. Verwenden Sie diese Option, wenn der Datenverkehr das Netzwerk am nächstgelegenen Ausgangspunkt verlassen soll.
- Externer Typ 2: Nur die externen Kosten zum Ziel. Die Routenkosten sind also für alle Router in der OSPF-Domäne gleich. Verwenden Sie diese Option, wenn der Datenverkehr das Netzwerk am nächstgelegenen Punkt zum Ziel verlassen soll.
Wählen Sie je nach Bedarf die folgenden Einstellungen:
-
Standardinformationen stammen: Gibt die Standardroute bekannt (
0.0.0.0/0) an Nachbarn basierend auf den folgenden Optionen:- Niemals: Gibt die Standardroute nicht bekannt.
- Regulär: Gibt es bekannt, wenn es in der Routing-Tabelle vorhanden ist.
- Stets: Gibt es immer bekannt, auch wenn es nicht in der Routing-Tabelle vorhanden ist.
-
Verteilt verbundene: Verteilt Routen für verbundene Netzwerke, einschließlich SSL-VPN-Datenverkehr für den Remotezugriff, in die OSPFv3-Routingtabelle neu.
Notiz
Nur der Datenverkehr im Zusammenhang mit dem dynamischen Subnetz des Remote-Zugriffs-SSL-VPN wird in OSPFv3 eingespeist. Das statische Subnetz wird nicht eingespeist. Sie können ein OSPF-Netzwerk für das statische Subnetz konfigurieren.
Notiz
Die Firewall verteilt alle direkt angeschlossenen Netzwerke neu. Sie können keine Routen selektiv über die Webadministrationskonsole einfügen.
-
BGP neu verteilen: Verteilt BGP-IPv6-Routen neu in die OSPFv3-Routingtabelle.
-
Klicken Anwenden.
Notiz
Wenn Sie die Globale Konfiguration Einstellungen in der Web-Admin-Konsole, die Firewall entfernt Ihre Änderungen an der Standardeinstellung log-adjacency-changes.
Schnittstellen und Bereiche
Sie können die Schnittstellen sehen, die Sie für OSPFv3 konfiguriert haben, und den Bereich, zu dem die Schnittstelle gehört. Siehe Hinzufügen einer OSPFv3-Schnittstelle.
Sie können die OSPF-Bereiche sehen, die Sie auf der Firewall konfiguriert haben, sowie den Bereichstyp. Siehe Hinzufügen eines OSPFv3-Bereichs.