🔍 NQ Маршруты в Fortigate

Используемое оборудование - Fortigate 40F, FortiOS 7.2.8.

#netquiz_tricky #netquiz_routing #netquiz_forti

👤 Автор квиза: @fafeka
☑️ Эксперты: -

🔍 NQ Балансировка нагрузки протоколов маршрутизации

#netquiz_medium #netquiz_routing

👤 Автор квиза: @europeiz
☑️ Эксперты: -

🔍 NQ Таблица маршрутизации

#netquiz_tricky #netquiz_routing #netquiz_cisco

👤 Автор квиза: @nurkeynw
☑️ Эксперты: no name

🔍 NQ Маршрут по умолчанию

#netquiz_easy #netquiz_routing

👤 Автор квиза: @fafeka
☑️ Эксперты: expert, @Yakimus, no name, @Masharov

🔍 NQ Работа Policy Based Routing

#netquiz_medium #netquiz_routing

👤 Автор квиза: @europeiz
☑️ Эксперты: @Yakimus, Surgeon, @Masharov, no name

🔍 NQ Пакет на 127.0.0.1

#netquiz_tricky #netquiz_routing #netquiz_linux

👤 Автор квиза: @tsalkenov
☑️ Эксперты: expert, no name

🔍 NQ Маршруты по умолчанию

#netquiz_open #netquiz_routing #netquiz_cisco

👤 Автор квиза: @fafeka
☑️ Эксперты: -

📝 Разбор квиза: NQ Маршруты по умолчанию

Часто команда "ip default-gateway" используется на оборудовании Cisco, которое не имеет функции маршрутизации: L2-коммутаторы.

Команда "ip route 0.0.0.0 0.0.0.0" используется на оборудовании с функцией маршрутизации: маршрутизаторы, L3-коммутаторы.

#netquiz_explanation #netquiz_routing #netquiz_cisco

👤 Автор разбора квиза: Surgeon

🔍 NQ Маршрут с AD 255

#netquiz_medium #netquiz_routing #netquiz_cisco

👤 Автор квиза: author
☑️ Эксперты: @CyberSecIP

🔍 NQ Ping в сети с разными MTU

• Описание квиза:

На изображении указана диаграмма сети из двух L3-коммутаторов Cisco и компьютера с ОС Windows (далее - ПК). Параметры L3 интерфейсов указаны в подписях.

С коммутатора sw1 отправляются ICMP echo-запросы на ПК, IP связность между ними есть и маршрутизация в порядке.

#netquiz_medium #netquiz_routing #netquiz_cisco

👤 Автор квиза: @prinesite_popugaya
☑️ Эксперты: @Yakimus, @CyberSecIP, @Masharov

Попытка 2: ping 172.10.200.2 size 1400

Такой пакет необходимо будет фрагментировать, чтобы передать через vlan200 на sw2, потому что MTU 1300 байт меньше, чем размер IP пакета. Sw2 получает пакет размера 1400 от sw1 и фрагментирует его.

Sw2 отправляет в сторону ПК:
🌼Фрагмент 1: 14 (ethernet заголовок) + 20 (IP заголовок) + 104 = 138 байт
🌼Фрагмент 2: 14 + 20 + 1276 = 1310 байт
Исходный пакет: 20 + 104 + 1276 = 1400 байт

В дампе мы можем видеть фрагментацию на примере пакетов 125-127.

Длина кадров под номерами 126-127 на 4 байта больше, чем выше в расчете, потому что в них присутствует тег 802.1q. Их вообще не должно быть видно на интерфейсе sw2 gi0/1, но, как выше было сказано, это особенности интерфейсов в eve-ng.

1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ⬇️⬇️ sw2 vlan200 (MTU: 1300)
6️⃣ ⬇️⬇️ sw2 Gi0/2 (MTU: 1500)
7️⃣ ⬇️⬇️✅ ПК Eth1 (MTU: 1300)

Попытка 3: ping 172.10.200.2 size 1400 df-bit

В команде указана опция df-bit, и в заголовке IP пакета бит Don't Fragment будет иметь значение 1.

Sw2, получив такой пакет, не сможет его фрагментировать и передать через интерфейс vlan200 и отправит источнику сообщение ICMP Destination Unreachable - fragmentation needed and DF set. Внутри этого сообщения есть указание Next hop MTU, которое используется в Path MTU Discovery (RFC1191). На скриншоте выше в дампе как раз видно, что Next hop MTU = 1300.

Когда Cisco получает такое ICMP-сообщение в ответ на ping, в выводе появляется буква M - она указывает на проблему с MTU (Could not fragment).

1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ❌ sw2 vlan200 (MTU: 1300)
6️⃣ sw2 Gi0/2 (MTU: 1500)
7️⃣ ПК Eth1 (MTU: 1300)

Некоторые моменты:

▫️ Речь идёт только об IPv4;

▫️ MTU - Maximum Transmission Unit - максимальный размер payload фрейма в байтах. Payload не включает в себя заголовки L2 (в данном примере это Ethernet, 802.1q)

▫️ Cisco при указании size в команде ping формирует IP-пакет указанного размера. То есть, если указали 64, то (IP заголовок + ICMP заголовок + данные) = 64 байта. Немного сравнения с поведением других ОС здесь.

▫️ Почему отправлено 5 пингов, но получено всего 3 сообщения ICMP Unreachable?

Для ICMP Unreachable есть rate-limit, который по умолчанию на Cisco равен 500 мс. Его можно проверить командой show ip icmp rate-limit.

#netquiz_explanation #netquiz_routing #netquiz_cisco

👤 Автор разбора квиза: @prinesite_popugaya

🔍 NQ Выбор маршрута

• Таблица маршрутизации:

  0.0.0.0/0 via 10.3.20.21
  172.16.0.0/12 via 10.3.20.22
  172.20.0.0/16 via 10.3.20.23
  172.20.25.0/25 via 10.3.20.25
  172.20.130.0/24 via 10.3.20.24

Данная таблица является образной. Представим, что стоимость у всех маршрутов одинаковая.

#netquiz_tricky #netquiz_routing

👤 Автор квиза: @nurkeynw
☑️ Эксперты: expert, @Yakimus

🔍 NQ Два маршрута

• Описание квиза:

На L3-оборудовании находятся 2 маршрута:

1. 192.168.1.0/24 c AD 1
2. 192.168.1.0/25 с AD 200

Шлюз (GW) не важен. AD - это административное расстояние.

#netquiz_tricky #netquiz_routing

👤 Автор квиза: @blessed_bogdan
☑️ Эксперты: expert, no name

🔍 NQ Статический маршрут

• Варианты ответов:

1️⃣
R1: ip route 2.2.2.2 255.255.255.255 10.10.10.2
R2: ip route 1.1.1.1 255.255.255.255 10.10.10.1

2️⃣ 
R1: ip route 2.0.0.0 255.0.0.0 10.10.10.2
R2: ip route 1.0.0.0 255.0.0.0 10.10.10.1

3️⃣
R1: ip route 10.10.10.0 255.0.0.0 10.10.10.2
R2: ip route 10.10.10.0 255.0.0.0 10.10.10.1

4️⃣
R1: ip route 2.2.2.0 255.0.0.0 10.10.10.2
R2: ip route 1.1.1.0 255.0.0.0 10.10.10.1

5️⃣
R1: ip route 2.2.2.2 255.255.255.0 10.10.10.2
R2: ip route 1.1.1.0 255.255.255.0 10.10.10.1

#netquiz_easy #netquiz_routing #netquiz_cisco

👤 Автор квиза: author
☑️ Эксперты: -

🔍 NQ Статический маршрут

• Варианты ответов:

1️⃣
R1: ip route 20.20.20.0 255.255.255.0 10.10.10.2
R3: ip route 10.10.10.0 255.255.255.0 20.20.20.2

2️⃣
R1: ip route 20.20.20.3 255.255.255.0 10.10.10.2
R3: ip route 10.10.10.1 255.255.255.0 20.20.20.2

3️⃣
R1: ip route 20.20.20.3 255.255.0.0 10.10.10.2
R3: ip route 10.10.10.1 255.255.0.0 20.20.20.2

4️⃣
R1: ip route 20.20.20.3 255.255.255.255 10.10.10.1
R3: ip route 10.10.10.1 255.255.255.255 20.20.20.3

5️⃣
R1: ip route 20.20.0.0 255.255.255.255 10.10.10.1
R3: ip route 10.10.0.1 255.255.255.255 20.20.20.3

#netquiz_easy #netquiz_routing #netquiz_cisco

👤 Автор квиза: author
☑️ Эксперты: -

🔍 NQ Next-hop

• Описание квиза: 

Используемые оборудования на схеме - Cisco Nexus 9000, Cisco ASA и vASA

#netquiz_hard #netquiz_routing #netquiz_cisco

👤 Автор квиза: @ikiliikkuja
☑️ Эксперты: -

📝 Разбор квиза: NQ Next-hop

Казалось бы, в качестве next-hop на коммутаторах SW1/2 в vrf RED в сторону подсети 192.168.0.0/24 должен быть выбран маршрут eBGP, т.к. его AD ниже, чем у OSPF на оборудовании Cisco (20>110).

Но сравнение AD идет после того, как в пределах RIB каждого протокола будет выбран лучший маршрут.

В таблице BGP лучшим выбирается локальный, полученный редистрибьюцией из OSPF. Его LP=100 и ему назначен Weight 32768. AD локального BGP выше OSPF (200>110).

SW2# sh ip route 192.168.0.0 vrf RED
IP Route Table for VRF "RED"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%string' in via output denotes VRF 'string'

192.168.0.0/24, ubest/mbest: 1/0
    *via 10.0.0.4, Vlan10, [110/90], 6d14h, ospf-1, intra
    
SW2# sh ip bgp 192.168.0.0/24 longer-prefixes vrf RED
BGP routing table information for VRF RED, address family IPv4 Unicast
BGP table version is 295, Local Router ID is 10.0.0.2
Status: s-suppressed, x-deleted, S-stale, d-dampened, h-history, *-valid, >-best
Path type: i-internal, e-external, c-confed, l-local, a-aggregate, r-redist, I-injected
Origin codes: i - IGP, e - EGP, ? - incomplete, | - multipath, & - backup, 2 - best2

   Network            Next Hop            Metric     LocPrf     Weight Path
*>r192.168.0.0/24  0.0.0.0                 90        100      32768 ?

SW2# sh ip bgp 192.168.0.0/24 vrf RED
BGP routing table information for VRF RED, address family IPv4 Unicast
BGP routing table entry for 192.168.0.0/24, version 292
Paths: (1 available, best #1)
Flags: (0x80c0002) (high32 0x000020) on xmit-list, is not in urib, exported
  vpn: version 194855, (0x00000000100002) on xmit-list

  Advertised path-id 1, VPN AF advertised path-id 1
  Path type: redist, path is valid, is best path, no labeled nexthop, is extd
  AS-Path: NONE, path locally originated
    0.0.0.0 (metric 0) from 0.0.0.0 (10.0.0.2)
      Origin incomplete, MED 90, localpref 100, weight 32768

#netquiz_explanation #netquiz_routing #netquiz_cisco

👤 Автор разбора квиза: @ikiliikkuja

🔍 NQ Маршруты в OSPF

#netquiz_medium #netquiz_routing

👤 Автор квиза: @CyberSecIP
☑️ Эксперты: @Yakimus

🔍 NQ Пинг из консоли

#netquiz_tricky #netquiz_routing #netquiz_cisco

👤 Автор квиза: @rm_chik
☑️ Эксперты: no name, expert, @Yakimus, Surgeon

🔍 NQ Разница между метрикой и AD

#netquiz_medium #netquiz_routing

👤 Автор квиза: @CyberSecIP
☑️ Эксперты: expert, no name, @Yakimus