OSPF 概要

OSPF 概要

■OSPFの特徴は次の通りです。■

SPFツリーによりルーティングループが起こりにくい(バーチャルリンクの場合は除く)
・トリガアップデートによる高速なコンバージェンス
・メトリックとして帯域幅を基本としたコストを使う
・Helloを使ったネイバーの生存確認による障害の高速な検出
・認証機能を持つ
・エリアを使った階層ルーティングによる効率化
・エリア境界ルータ(ABR)やAS境界ルータ(ASBR)上で、手動で経路集約を行える。
・通知する経路情報にサブネットマスクを含められるクラスレスルーティングプロトコル
マルチキャストでルートの伝搬を行う。

 

■DR BDR
OSPFのルータをマルチアクセスタイプ)のネットワークで接続した際には、DR(Designated Router)とBDR(Backup Designated Router)を選出することでLSAのネイバー数を減らし、ルータの負荷軽減を図ります。DRとBDRに選出されなかったルータはDROTHERになります。DR/BDRを選出しない構成の場合ネイバー数が多くなります。

 

■OSPFで使われるパケット■
・Hello ・・・ ネイバーと隣接関係を結ぶために使う。また生存確認にも使う
・DBD(Database Description) ・・・ データベースのやり取りに使う
・LSR(LinkState Request) ・・・ アドバタイズの送信要求に使う
・LSU(LinkState Update) ・・・ LSAをまとめたもの。リンクステート情報を渡す
・LSAck(LinkState Acknowledgement) ・・・ LSUやDBDを受け取ったことを示す

 

■OSPFネットワークタイプ■

broadcast ・・・ イーサネットLANのようにセグメント上に2台以上のルータが接続できるため、DR/BDRの選出が行われます。隣接関係は自動で行われます。

NBMA ・・・ ブロードキャストの使えないマルチアクセスネットワーク。隣接関係は手動で行う必要があります。

ポイントツーポイント ・・・ 1対1接続。DR BDRの選出なし

 

■OSPFエリアタイプ■

OSPFは大規模なネットワークで使用できます。ですが,あまりルータやネットワーク数が多くなりすぎると,トポロジデータベースが増大し,SPFツリーの計算時間がかかるようになってしまいます。そのため,OSPFではネットワークを分割する「エリア」という概念を使用します。エリアが1つの場合を「シングルエリアOSPF」と呼ばれます。複数のエリアを使う場合は「マルチエリアOSPF」と呼ばれます。
 マルチエリアOSPFでは,ネットワークを複数のエリアに分割します。エリア内はそれぞれシングルエリアOSPFで動作し,ネットワークの情報をアドバタイズします。ただし,エリアをまたぐ情報のアドバタイズは,エリアの境界にあるルータ(ABR)が集約してアドバタイズします。

 

■エリアの種類■
バックボーンエリア

 複数のエリアでOSPFを動かす場合、必ずバックボーンエリアが必要です。ほかのエリアはバックボーンエリアに物理的に接続している必要があります。エリア間のトラフィックは必ずバックボーンエリアを通過します。バックボーンエリアのエリア番号は0と決まっています。LSAタイプ1~5が転送されます。

 

●標準エリア

 バックボーンエリアではない通常のエリアです。LSAタイプ1~5が転送されます。

 

●スタブエリア

 標準エリアをスタブエリアとして構成できます。スタブエリアは、非OSPFドメインのネットワークアドレス情報を伝えるLSAタイプ5が転送されません。非OSPFドメインのネットワークアドレス情報はABRによりLSAタイプ3で、デフォルトルートが伝えられます。ASBRは配置することはできません。LSAタイプ1、2、3が転送されます。

 

●トータリースタブエリア

 スタブエリアよりも、さらにエリア内に転送されるLSAを減少できます。LSAタイプ5が転送されないのに加えて、ほかのエリアのネットワークアドレス情報を伝えるLSAタイプ3は個別に転送されず、ABRによりデフォルトルートが伝えられます。デフォルトルートはLSAタイプ3で転送されます。ASBRは配置することはできません。LSAタイプ1~3が転送されます。

 

●NSSA(Not-So-Stubbyエリア)

 NSSAはASBRを配置できるスタブエリアです。非OSPFドメインのネットワークアドレス情報はABRによりLSAタイプ3で、デフォルトルートが伝えられます。NSSA内のASBRは、非OSPFドメインのネットワークアドレス情報をタイプ7LSAでNSSA内にフラッディングします。タイプ7LSAはNSSA内だけにフラッディングされるので、NSSA内のABRは、タイプ7LSAをタイプ5LSAに変換して、バックボーンエリアに転送します。

 ただし、デフォルトルートは自動的にアドバタイズされないので、明示的に設定する必要があります。LSAタイプ1~3、7が転送されます。

 

●トータリーNSSA

 ASBRを配置できるトータリースタブエリアです。ほかのエリアのネットワークアドレス情報は個別に伝えられず、ABRによりデフォルトルートが伝えられます。デフォルトルートは自動的にアドバタイズされます。

 NSSAと同様、タイプ7LSAが転送されます。NSSA内のABRは、タイプ7LSAをタイプ5LSAに変換して、バックボーンエリアに転送します。LSAタイプ1~3、7が転送されます。

 

■ルータの種類■
内部ルータ ・・・ 全てのインターフェースを同じエリアに接続しているルータ。

ABR ・・・ 複数のエリアを接続させるルータ。複数のエリアの情報を持ち,ルートの集約などを行う。


ASBR ・・・ OSPF以外のルーティングプロトコルのネットワークとの境界にあるルータ

バックボーンルータ ・・・ バックボーンエリアに存在するルータ

 

■LSAの種類

 


その他の機能
■パッシブインターフェイス

OSPFでは、OSPFを有効にしたインターフェイスの情報がLSAで送信されます。またそのインターフェイスからHelloパケットが定期的に送信されます。
しかしネイバーやアジャセンシーの関係を築くルータが存在しないインターフェイスからHelloパケットを送信する意味はありません。
かといってOSPFを有効にしなければ、LSAでそのインターフェイスの情報がアドバタイズされません。そこで、OSPFは有効にするがHelloパケットを送信しないようにすることができます。それがパッシブインターフェイスです。パッシブインターフェイスの設定を行うと、Helloパケットを送信しなくなります。また受信したHelloパケットも無視するようになります。結果、ネイバーとして認識されなくなります。ネイバー関係を築くルータが接続していないインターフェイスに設定することで、無駄なHelloパケットの送信を止め、ルータの負荷を下げることができます。

 

■MTUのサイズ■

MTU(Maximum Transmission Unit)とは1回の通信で送信することのできるパケットの最大サイズのことです。
OSPFでネイバーとやり取りする際に、ネイバーのインターフェイスのMTUと自身のインターフェイスのMTUのサイズが異なると、
アジャセンシーを築くことができません。自身のMTUのサイズよりも大きいDBDのパケットを受け取った場合、そのDBDを無視してしまうからです。
その結果、ネイバーとの状態がExstartもしくはExchange ステートから先に進まなくなります。

この問題を解決するには、対向のルータとMTUのサイズを合わせる、もしくはMTUの不一致を検出する機能を無効にします。


■OSPFの認証機能■
OSPFのみならずEIGRPやBGPにもある機能ですが、認証の設定(パスワードの設定)を行うことで、
パスワードが一致したルータ間でのみネイバー関係を築くことができます。
認証の設定を行うことで想定しないルータがネイバー関係になることを防ぎ、ネットワークを保護することができます。

 

 

ネットワーク移行計画

ネットワーク移行計画

1 一括移行
ある時点で現行システムを休止し,新システムへ一斉に切り替える方式です。週末や連休などを利用して新旧システムの機材の入れ替えを行います。

・ 適するシーン:長時間のシステム停止が可能で、コストを抑えたい場合に適した方法です。

・ メリット:一度に全て移行するため、コストが抑えられるだけでなく、時間と手間も少なくて済みます。また、現行システムはそのまま残るので、失敗した場合にすぐに元のシステムで業務を再開できます。

・ デメリット:一度に全てを移行するため、移行作業のためにシステムの停止時間が十分に必要です。場合によっては移行に長時間を要します。また、移行後にトラブルが発生するリスクが高く、旧システムへ戻さざるを得ない場合のコストも大きくなります。

 

2 段階的移行
現行システムから部分的に新システムに移行していく方法です。業務や機能、拠点などで分割し、その単位ごとに現行システムを休止し、順次新システムに切り替えます。機能単位で移行する場合、現行システムで稼働する機能と、新システムで稼働する機能が混在するため,移行過程では両システムの連携が必須となります。

 

・ 適するシーン:長期間システムを停止させることができない場合や、移行するデータの量や種類が多く一括での移行が難しい場合、大規模システムの移行で一括移行方式のリスクを避けたい場合などに適しています。システム移行のリスクとコストのバランスを取りたい企業に選ばれる方式と言えます。

 

・ メリット:一括移行よりも切り替えの単位が小さいため、数時間から1日程度の短いシステム停止を繰り返せば移行でき、コストとエラーが発生するリスクを抑えることができます。

 

・ デメリット:現在使用しているシステムから新しいシステムへ、複数回に分けて部分的に切り替えるため、一括移行に比べると移行のコストが比較的高くなるほか、手間と時間もかかります。また失敗した場合の回復が難しいというリスクがあります。

 

3. 並行運用
新システムをスタートさせたあとも、しばらく現行システムと新システムを同時並行で稼働させながら,新システムに問題がないとわかった時点で現行システムを停止する方式です。

 

・ 適するシーン::システムを止められない場合は並行移行方式が適しています。移行作業を確実に行い、本番稼働を成功させるためには、現行システムと新システムを同時に運用する並行稼働期間として数ヶ月の期間を取るのが理想的と言われており、リソースに余裕があってリスクを最小限に抑えたい場合におススメの方法です。

 

・ メリット:並行運用により、新システムで問題が発生しても旧システムは稼働し続けるため、業務への影響を最小限に抑えることができます。一括移行や段階的移行と比較して、最もリスクの少ない移行方法と言えるでしょう。

 

・ デメリット:失敗した場合の回復が難しいというリスクもあります。
 
 
 移行の方針や方式から
移行計画書に記述すべき項目としては六つを挙げられます。「1 移行概要」「2 移行対象」「3 移行中の影響」「4 移行テスト」「5 移行スケジュール」「6 移行体制」


1 移行概要

 移行の前提となる制約条件を要件として洗い出し,移行の全体的な方針や方式,業務への影響などを記述します。

2 移行対象

 現行システムから新システムに移行する対象物を明記します。対象物ごとの移行方法も,できるだけ具体的に記述します

3 移行中の影響

 移行期間中にシステムや業務にどんな影響があり,それをどう吸収・調整するのかを具体的に記述します。

4 移行テスト

 移行テストの方法,実施範囲,実施環境などを明確に記載します。

5 移行スケジュール

 WBSを洗い出し,作業期間を見積もって記述します。作業を前倒ししたり,作業が遅延したりした場合の影響を見極めやすくするため,タスクの開始条件やタスク間の依存関係も明記しておく必要があります。

6 移行体制

役割分担を記述する。

 誰が見ても理解できる記述に
 移行計画書を作るうえで留意したいのは,できるだけ分かりやすく記述することです。業務担当者でも移行の流れを理解でき,当事者意識を持って移行に協力してもらえるよう記述を心がけます。

 

例えば「1.4 移行フェーズごとのシステム状態」の記述では,概要構成図を使って移行全体の流れをビジュアルに示します。


移行計画書のチェックリスト(必要なものだけ抜粋)

■移行概要■
移行日と移行要件は明確か?
移行要件に適した移行方式(一括移行・段階移行・並行運用)が選択されているか?
移行の流れが分かりやすく記されているか?
移行失敗による影響範囲は明らかか?
移行失敗に伴う切り戻しの方針は記されているか?

 

■移行対象■
移行する対象(データ・ネットワーク・クライアント・施設)は明らかか?
現行システムと新システムの対応関係・は明確か?

 

■移行中(前後処理を含む)の影響■
移行中のシステム形態・運用への影響は明確か?
移行中に対外システムへ与える影響は記述されているか?

 

■移行スケジュール■
移行手順書の作成期間は見込んであるか?
分かる範囲で移行の詳細手順が明記されているか?
分かる範囲で移行の作業時間が見積もられているか?

■移行体制■
役割分担は明確で,指揮系統など統制のルールまで固めてあるか?
正常時だけでなく,トラブル時の体制を含んでいるか?

 

■その他■
最初の移行計画書は詳細設計前に作成したか?
新システムの設計の進展に伴い移行計画書を詳細化したか?
移行計画書を構成管理の対象にしているか?
業務担当者が読んでも理解できる記述レベルか?
現行システムと新システムの両仕様に詳しい人のレビューを受けたか?

 

冗長化 概要

ループ構成



 

推奨構成 

L3  HSRP L2  RSTP

L3  STACK L2  LAG  (今回は割愛)

 

STP無効(4台構成) 渡りがVLANの場合はループし、渡りがルーテッドの場合は

ループしません。

 

 

 

 

 

 ■PCやルータが接続されるポートにPortfastを設定することで、即座にフォワーディングになります→spanning-tree portfast default

 

◾️トランクの場合、spanning tree portfast trunk

 

◾️パスコストが小さい方がルートポートになり、パスコストが1番大きいインターフェイスブロッキングになる。パスコストの大小を逆転することでポートの役割も変更できます。

 

◾️portfastの設定は、端末と接続されるポートのみ行います。

 

◾️STPのトポロジーが変わってしまうことを防ぐ機能→ルートガード

 

◾️BPPUガードの有効化

想定外のポートでBPDUを受信した際にポートを強制的にシャットダウン→BPDUガード。

spanning tree bpduguard

 

◾️BPDUフィルタリング

不要なBPDUの送信を止められる機能 BPDUフィルタリング spanning tree bpdufilter

 

◾️ループガードの有効化

ブロッキングとなっているポートが設定ミスや障害でフォワーディングとなった場合に発生する可能性のあるループを防ぐ機能→ループガード。

 

◾️ 切り替わり時間

RSTP 高速。数秒で切り替わります

STP 50秒かかる

HSRP Hello 3秒 hold time 10秒

 

◾️ フェイルオーバーとは、稼働中のシステムで問題が生じてシステムやサーバーが停止してしまった際に、自動的に待機システムに切り替える仕組みをいいます。 HA機能ともいわれ、システムの可用性を高めるための冗長化の一つです。手動でシステムを切り替え→スイッチオーバー。

ロードバランサー 概要 

LB

仕事でL2やL3の設計構築をやる機会が多かったですが、L4やL7の設計構築もやるようになったので、備忘録として残します。

 

LBには、F5 BIG IP   A10 Thunderなどがあり、大規模なNWで扱われています。

 

LBは負荷分散装置であり、負荷を分散する装置になります。

 

BIG IPにはLTM WAFなどのライセンスがありますが、ネットワークエンジニアとしてはLTMライセンスを使うことが多いかと思います。

 

1 負荷分散方式

 静的

ラウンドロビン→順番に割り振る

比率重みづけ→より比率の高いサーバーに割り振る

アクティブスタンバイ→アクティブのサーバに割り振る

 

動的

リーストコネクション→コネクションが少ないサーバーに割り振る

最短応答時間→最も遠く応答サーバに割り振る

最小負荷→最も負荷が小さいサーバーに割り振る

 

主流としてはラウンドロビン・リーストコネクション・比率重みづけになります。

 

2 ヘルスチェック

LBの背後にいる各サーバーがユーザーからのリクエストに応答できる状態かを常に把握します。障害などによってサーバーが利用できない場合、LBはそのサーバーをリクエストの分散対象から外します。

ヘルスチェックにはL3チェック・L4チェック・L7チェックなどがあります。

L3チェックはIPアドレスの状態を把握

L4チェックはポート番号を監視

L7チェックはアプリケーションの状態を把握します

 

3パーシステンス

 

パーシステンスはアプリケーションの同じセッションを同じサーバーに割り振る機能です。パーシステンスを使用すると、その処理が終わるまで同じサーバーに割り振り続けてくれるため、処理の整合性がとれます。

CookieはHTTPサーバとの通信で特定の情報をクライアントに保持させる仕組み、また保持したファイルです。

 

4 SSLアクセラレーション

SSLアクセラレーションは、SSL通信に必要となる暗号化と復号の処理を高速化することです。

 

SSLはインターネット上で通信を暗号化 復号する機能です。インターネット上では

住所や電話番号、クレジットカード番号やパスワードなど重要な個人情報がたくさんやりとりされており、これらが狙われています。これらを守るためにSSLがあります。

SSLはブラウザ,サーバー,認証局から成り立っています。

 

メリット

サーバーの負荷軽減 証明書の一元管理 導入のしやすさ パーシステンスの柔軟性です。

 

5 物理構成

物理構成にはツーアーム構成 ワンアーム構成があり、

ツーアーム構成は ネットワークにLBを差し込む構成パターンで、クライアントとサーバーにLBを配置するため、通信を制御しやすく、シンプルな構成です。世の中で最も採用されている構成です。




ワンアーム構成は ネットワークに負荷分散装置を足す方式でパターンです。

スイッチと負荷分散装置の間はLAGにより複数の物理接続を束ねて、一本の論理的な接続にして帯域と冗長性を保つのが一般的です。

 

L2構成

負荷分散装置をL2SWとして使う構成です。


L3構成 負荷分散装置をL3SWとして使う構成です

 

NAT構成

負荷分散装置をルーターとして使用する構成

 

DSR クライアントへの戻りパケットを負荷分散装置を経由せず、

直接クライアントに返す構成。

 

 



6 BIG-IPで負荷分散するときのコンポーネントは 

Node Pool Virtual Sever です。

 

NodeはシンプルにサーバーのIPアドレスです。

負荷分散するには、負荷分散装置がサーバーを知らなければなりません、そのために

NodeとしてサーバーのIPアドレスを設定します。

 

ヘルスモニター

BIG IPのサーバー監視機能のことです。

 

Pool

負荷分散するサーバーのグループの事です。

 

Node にポート番号を合わせて、Poolという負荷分散装置のグループにいれることで、

何のサーバーか、そして負荷分散していいか伝えます。

 

Poolでも最も重要なのはヘルスモニターです。

 

Virtual Server

 

Virtual ServerはクライアントからのトラフィックをこのVirtual Serverが受けつけ、

関連付けられたPoolのmemberに対して、受け渡します。

Virtual Serverはクライアントからのいろんなアプリケーショントラフィックをうけつけ、理解し処理する必要があるため、たくさんのオプションがあります。

 

そのオプションの集まりをiRuleやProfileという形で管理します

 

7 SNAT

BIG-IPでのNATです。