Smerovac protokol OSPF ZKLADY OSPF DYNAMICK SMEROVANIE Ing

Smerovací protokol OSPF ZÁKLADY OSPF DYNAMICKÉ SMEROVANIE Ing. Jaromír Tříska, SPŠE Piešťany 2020

OSPF Open Short Path First Základné vlastnosti: Je otvorený, široko používaný, definovaný štandardmi RFC Nie je Cisco proprietárny Jeho AD je 110 Verzie: OSPF v. 2 - súčasne používaný variant pre OSPF s IPv 4 OSPF v. 3 - súčasne používaný variant pre OSPF s IPv 6 Metrika: voľbu najvýhodnejšej trasy vykonáva na základe vypočítanej cost, ktorá vychádza z hodnoty bandwidth jednotlivých úsekov trasy OSPF Features: Classless, výkonný-pohotový (spúšťa na základe udalostí), rýchlo konvergovateľný, dobre škálovateľný - podporuje hierarchickú architektúru siete, bezpečný - podporuje MD 5 a SHA algoritmy, ver. 3 podporuje IP Sec Pozn. : OSPF v. 1 je dnes už prakticky nepoužívaný, dokáže pracovať iba s IPv 4 adresami v classful režime, nepodporuje subnetting

Základné princípy práce OSPF v. 2 pracuje s IPv 4 adresami v classless režime, podporuje subnetting OSPF v. 3 pracuje s IPv 6 adresami Je výkonný a efektívny Po zmene topológie siete rýchlo konverguje Je veľmi dobre škálovateľný Poskytuje viaceré možnosti zabezpečenia updates

Zasielanie informácií medzi routermi Na výmenu informácií medzi smerovačmi sa využíva multicast komunikácia (na rozdiel od RIP, ktoré využíva broadcast) MULTICAST ADRESY: IPv. 4: 224. 0. 0. 0 – 239. 255 (rozsah triedy D) IPv 6: multicast adresa sa začína „FF“ MAC: 01 -00 -5 E-00 -00 -00 až 01 -00 -5 E-7 F-FF-FF Hello paket: je zasielaný všetkým smerovačom v intervale 10 s, resp. 30 s na NBMA sieťach Dead time: je štvornásobkom Hello intervalu. Po expirovaní Dead intervalu odstráni tohto suseda zo svojej LSDB a rozpošle všetkým smerovačom informáciu o tom, že tento smerovač neodpovedá.

Data Structures OSPF creates and maintains three databases: Adjacency database - Creates the neighbor table. Obsahuje prehľad všetkých susedných routerov, s ktorými udržiava obojsmernú komunikáciu Neighbor table je unikátna pre každý router. Overenie: R#show ip ospf neighbor Link-state database (LSDB) - Creates the topology table. Obsahuje informácie o všetkých routeroch v sieti. Reprezentuje topológiu siete. Všetky smerovače v oblasti zdieľajú rovnakú LSDB Overenie: R#show ip ospf database Forwarding database - Creates the routing table. Na základe link-state database a SPF algoritmu generuje smerovaciu tabuľku. Každý smerovač má svoju jedinenčnú smerovaciu tabuľku, ktorá poskytuje informácie o najvýhodnejšej trase ku každej známej cieľovej sieti Overenie: R#show ip route

Enkapsulácia OSPF paketu obsahuje nasledovné zložky: Hlavička linkovej vrstvy - Hlavička IP paketu - Hlavička OSPF paketu – Dáta OSPF paketu Hlavička linkovej vrstvy - používa MAC adresu typu multicast, protokol linkovej vrstvy Hlavička IP protokolu - používa IP adresu typu multicast a určenie typu enkapsulovaného paketu. Pre OSPF to je ethertype= 89 Hlavička OSPF paketu - obsahuje Area ID, Router ID a určuje typ OSPF paketu: 01 Hello 02 Database Description 03 Link State Request 04 Link State Update 05 Link State Acknowledgment

Typy paketov v OSPF

Link-State Updates HELLO zisťuje susedné smerovače a buduje si s nimi režim priľahlosti DBD overuje a zabezpečuje synchronizáciu databázy medzi smerovačmi LSR vyžaduje špecifické záznamy o stave liniek medzi smerovačmi LSU zasiela vyžiadané špecifické záznamy o stave liniek medzi smerovačmi LSAck potvrdzuje prijatie paketov

Router ID Slúži ako jednoznačný identifikátor routera vo všetkých OSPF interných procesoch (pozn. : OSPF nepoužíva na identifikáciu smerovača hostname , pretože hostname slúži iba pre Cisco zariadenia, kým OSPF je multivendor, open platforma) Možnosti definovania Router ID: 1. Explicitne adminom - príkaz router-id 2. Implicitne na základe loopback - najvyššia IPv 4 adresa pridelená loopbacku na routeri 3. Implicitne na základe IPv 4 adresy rozhrania - najvyššia IPv 4 adresa pridelená rozhraniu na routeri Verifikácia: Router#show IP protocol Po zmene Router-id je potrebné reštartovať OSPF proces, aby sa zmena zaznamenala: Reštart: Router#clear ip ospf process Pozor: príkazom clear ip ospf process zrušíme všetky už zadané konfigurácie OSPF procesu, vrátane už zadefinovaných network

Základná konfigurácia OSPF Základná konfigurácia pozostáva z krokov: 1. Spustenie OSPF procesu s určením čísla procesu (Proces ID) 2. Definovanie identifikačného čísla routera (Router-ID) 3. Definovanie sietí, ktoré majú byť zahrnuté do OSPF procesu • Siete sú definované pomocou ich IP a wildcardom • Wildcard je ďalší spôsob definovania podsietí (popri maske a prefixu) • Definovanie oblastí, do ktorej jednotlivé siete patria 4. Definovanie pasívnych rozhraní (passive – interface)

Wildcard – alternatívny spôsob definovania podsietí Wildcard je inverzná hodnota ku maske 255 - maska -------- wildcard ******* príklad ***** 255 - 255. 192. 000 -------- 0. 63. 255 *** PRÍKLADY KONVERZIE ***** MASKA *****WILDCARD *** 255. 128 0. 0. 0. 127 255. 192 0. 0. 0. 63 255. 224 0. 0. 0. 31 255. 240 0. 0. 0. 15 255. 248 0. 0. 0. 7 255. 252 0. 0. 0. 3

Príklad základnej konfigurácie OSPF procesu na smerovači: R 0>enable R 0# configure terminal R 0(config)# router ospf 1 R 0(config-router)# router-id 10. 0. 1 R 0(config-router)# network 100. 0. 128 0. 0. 0. 3 area 1 R 0(config-router)# network 100. 0. 12. 132 0. 0. 0. 3 area 1 R 0(config-router)# network 187. 25. 128 0. 0. 0. 63 area 1 R 0(config-router)# network 187. 25. 12. 192 0. 0. 0. 15 area 1 R 0(config-router)# passive-interface Fa 0/1

Rozšírená konfigurácia OSPF Rozšírená konfigurácia umožňuje špeciálne konfigurovať: 1. Proces voľby DR a BDR na multiaccess sieťach (Priority) 2. Definovanie časovačov 3. Úpravu metriky • Definovanie bandwidth jednotlivých rozhraní pre výpočet cost • Redefinovanie referenčnej bandwidth • Definovanie hodnoty cost priamo, administrátorom 4. Definovanie bezpečnostných prvkov a bezpečnostnej politiky OSPF procesu

OSPF na multiaccess sieti Na multiaccess sieti (viď obrázok) vzniká veľké množstvo relácií – komunikujú všetky smerovače so všetkými, výsledkom sú záplavy paketov, ktoré pripomínajú broadcastové búrky, sieť sa zbytočne preťažuje

OSPF na multiaccess sieti Definovaním riadiaceho smerovača (DR Router) znížime počet vzájomných relácií a tým sa zníži počet preposielaných paketov. DR zhromažďuje od všetkých smerovačov dôležité updaty a je zodpovedný za ich koordinované rozposlanie všetkým smerovačom v oblasti

OSPF na multiaccess sieti DR smerovač (Designated Router) je hlavný smerovač v topológii, ktorého úlohou je koordinovať výmenu informácií medzi všetkými routermi v oblasti. Má význam najmä v multiaccess sieťach (viacero smerovačov prepojených prostredníctvom switchov) BDR smerovač (Backup Designated Router) je záložný smerovač v topológii, ktorého úlohou je koordinovať výmenu informácií medzi všetkými routermi v oblasti ak vypadne DR. Má význam najmä v multiaccess sieťach (viacero smerovačov prepojených prostredníctvom switchov). Ostatné smerovače preberajú od DR, resp. BDR dôležité informácie o topológii siete a o smerovaní. Tieto smerovače sa nazývajú OTHER. V point-to-point sieťach sa problematika DR a BDR nerieši Komunikácia medzi smerovačmi využíva dve multicast adresy: Medzi DR a BDR smerovačom beží na adresách: IPv 4 224. 0. 0. 6 ; IPv 6 FF 02: : 6; MAC 01 00 5 E 00 00 06 Medzi všetkými smerovačmi beží na adresách : IPv 4 224. 0. 0. 5 ; IPv 6 FF 02: : 5; MAC 01 00 5 E 00 00 05

Priorita: Priorita určuje, ktorý smerovač bude slúžiť ako DR a ktorý ako BDR smerovač. ip ospf priority 255 (router má najvyššiu prioritu, pri voľbe DR bude uprednostnený) ip ospf priority 0 (router má najnižšiu prioritu – nebude používaný ako DR ani BDR) Defaultná hodnota priority je 1 Ak majú smerovače rovnakú hodnotu priority, určuje sa priorita na základe hodnoty Router ID Prioritu je možné priamo zadefinovať, a to na niektorom rozhraní smerovača: R 1(config)#int S 0/0 R 1(config-if)# ip ospf priority 5

Časovače: Časovač HELLO Určuje interval medzi pravideľnou výmenou Hello paketov Pre point-to-point a multiaccess siete je defaultná hodnota 10 sekúnd Pre NBMA siete je defaultná hodnota 10 sekúnd Časovač DEAD Určuje čas od prijatia posledného HELLO paketu, po ktorý sa príslušný router považuje za funkčný. Po expirovaní DEAD intervalu (HELLO paket nepríde do vypršaní času) sa router považuje za nefunkčný (DEAD). Časovač DEAD sa vždy volí ako štvornásobok HELLO intervalu. Časovače sa konfigurujú vždy na rozhraní: R 1(config-if)#ip ospf hello-interval (čas) R 1(config-if)# ip ospf dead-interval (čas) Hodnota sa musí konfigurovať zhodne na obidvoch stranách linky! Štandardné pravidlo – časovače majú byť rovnaké v celej oblasti

Metrika udáva základnú informáciu o výhodnosti danej trasy, ktorou sa riadi algoritmus smerovača. Pre jednotlivé rozhrania (resp. linky) sa určuje ako: cost = reference bandwidth / interface bandwidth kde reference bandwidth = 1*10^8 = 100 000 Interface bandwidth je udávaná hodnota bandwidth rozhrania v bitoch za sekundu (bps, b/s) takže napríklad pre 64 kbps linku sa do vzorca dosadzuje hodnota interface bandwidth 64 000 Pre rozhrania 10 Gbps, 100 Mbps vychádza cost = 1 (1 je najnižšia použiteľná hodnota, hodnoty ako 0, 1; 0, 01 a pod. sa zaokrúhlia na 1) Pozn. : kap 8. 2. 3. 1 Orientačné hodnoty: BW 10 Mbps 1, 544 Mbps 128 kbps 64 kbps COST 10 64 781 1562

Metrika – výpočet COST Výpočet hodnoty cost od zdroja ku cieľu: hodnoty sa sčítajú (vrátane cost od "posledného" smerovača do cieľovej siete)

Hľadanie trasy s najvýhodnejšou hodnotou COST Topológia 1 Scenar 1 Za akú cenu COST sa dostaneme z jednotlivých smerovačov na PC 1 v sieti 10. 6. 0. 0 ? z R 1 - cez R 3 za COST = 7 (cez R 4 by to bolo za 32 cez R 2 - R 5 - R 4 - R 3 za 52) z R 2 - cez R 1 a R 3 za COST = 27 (cez R 5 - R 4 - R 3 za 32) z R 4 – cez R 3 za COST = 12 z R 5 cez R 4 a R 3 za COST = 22 (iné trasy už na prvý pohľad ani nemá zmysel uvažovať)

Hľadanie trasy s najvýhodnejšou hodnotou COST Topológia 2 Scenar 2 Za akú cenu COST sa dostaneme z jednotlivých smerovačov na PC 1 v sieti 10. 6. 0. 0 ? z R 1 - cez R 4 a R 3 za COST = 17 (cez R 3 priamo by to bolo za 22, cez R 2 - R 5 - R 4 - R 3 za 52) z R 2 - cez R 5, R 4 a R 3 za COST = 32 (cez R 1, R 4 a R 3 za 37, cez R 1 a R 3 za 42 - pritom táto trasa sa môže zdať na prvý pohľad ako najvýhodnejšia ) z R 4 – cez R 3 za COST = 12 z R 5 cez R 4 a R 3 za COST = 22 (cez R 4 - R 1 a R 3 to je za 37, cez R 2 - R 1 - R 3 za 52)

Hľadanie trasy s najvýhodnejšou hodnotou COST Topológia 3 Scenar 3 Za akú cenu COST sa dostaneme z jednotlivých smerovačov na PC 1 v sieti 10. 6. 0. 0 ? z R 1 - cez R 3 za COST = 7 (cez R 4 by to bolo za 32 cez R 2 - R 5 - R 4 - R 3 takisto za 32) z R 2 - cez R 1 a R 3 za COST = 12 (cez R 5 - R 4 - R 3 za 27) z R 4 – cez R 3 za COST = 12 z R 5 cez R 1, R 2 a R 3 za COST = 17 (cez R 4 a R 3 za 22 - pritom sa táto trasa môže zdať na prvý pohľad ako najvýhodnejšia)

Hľadanie trasy s najvýhodnejšou hodnotou COST Zhrnutie: v LSA algoritmus OSPF vyhľadáva najvýhodnejšiu trasu ku cieľovému uzlu ako COST, čo je najvýhodnejší súčet „cien“ jednotlivých liniek medzi zdrojovým smerovačom a cieľom v Trasa vyhľadaná LSA algoritmom sa často líši od trasy, ktorá má najmenší počet skokov ku cieľu (a ktorú intuitívne často považujeme za najvýhodnejšiu). Počet skokov do cieľa vyhodnocuje algoritmus DVA, ktorým sa riadi napríklad protokol RIP. v V príklade sme pre jednoduchosť výpočtov použili jednoduché fiktívne hodnoty COST ( napr. 2, 5, 10, 20). Skutočné hodnoty COST sa vypočítavajú z hodnoty BANDWIDTH príslušnej linky (ako bolo uvedené v úvode tejto časti prezentácie, ktorá je venovaná metrike) v Ladenie parametrov bandwidth a cost pre jednotlivé rozhrania, ktoré je nevyhnutné pri používaní sériových liniek a liniek s vyšším skutočným bandwidth ako 100 Mbps, si vyžaduje pomerne značné vedomosti a sústredenosť administrátora pri konfigurácii príslušných parametrov v Každý smerovač si LSA algoritmom vytvára matematický model topológie celej oblasti a sám si vypočíta hodnoty COST pre jednotlivé cieľové siete. To kladie pomerne vysoké nároky na výpočtový výkon smerovača.

Problematika rozdielov medzi skutočnou a deklarovanou hodnotou BW na rozhraní: Seriové linky OSPF má defaultne pre serial linky preddefinovanú hodnotu bandwidth 1544 kbps (čo je štandard pre E 1 linku). OSPF proces si nezisťuje skutočný bandwidth na základe clockrate, resp. skutočnej hodnoty speed na linkách typu Ethernet! Preto musíme hodnoty upraviť tak, aby zodpovedali realite: R 1(config)# interface (interface) R 1(config-if)# bandwidth (hodnota v kbps) R 1(config-if)# end Príklad pre linku Serial 0/0, kde je clockrate nastavený na 128000: R 1(config)#int Se 0/0 R 1(config-if)#bandwidth 128 R 1(config-if)#end Pozor! Rovnakú úpravu musíme vykonať aj na opačnej strane spoja, teda na protiľahlom rozhraní! Verifikácia: Príkazom R 1#show int Se 0/0 si overíme, že bandwidth linky je upravený na hodnotu BW 128 kb/s a príkazom R 1#show ip ospf interface Se 0/0 si overíme, že hodnota cost sa zmenila na 781 (za predpokladu, že referenčný bandwidth máme nastavený na defaultnú hodnotu, teda na 100)

Problematika rozdielov medzi skutočnou a deklarovanou hodnotou BW na rozhraní: Seriové linky Pozor! Úprava hodnoty bandwidth na rozhraní v skutočnosti nemení reálny (fyzický) BW rozhrania, ale iba udáva smerovacím protokolom, akú hodnotu BW majú použiť na výpočet cost. Príklad: na Se 0/0 nastavme clockrate 64000 a bandwidth ponechajme bez úpravy. Defaultná hodnota BW pre seriové linky je 1544 Hodnota cost bude vypočítaná z hodnoty 1544 kbps, teda 100 000 / 1 544 000 = 64, 77 -> COST = 64 aj keď reálna hodnota by mala byť 100 000 / 64 000 = 1562, 50 -> COST = 1562 Manipuláciou s hodnotou bandwidth teda môže administrátor do istej miery „ovplyvňovať" OSPF algoritmus a môže takto uprednostniť trasu, ktorá je v skutočnosti pomalšia a mala by mať nižšiu hodnotu cost (a opačne môže znížením udávanej bandwidth niektorú rýchlu trasu vo výpočte cost znevýhodniť). Na takéto úpravy je však treba mať dobrý dôvod a je vhodná iba pre skúsenejších adminov. Zobrazenie clock-rate: R 1#show controllers (interface) R 1#show running-config Zobrazenie bandwidth: R 1#show interfaces (interface)

Problematika rozdielov medzi skutočnou a deklarovanou hodnotou BW na rozhraní: Ethernetové linky OSPF má defaultne pre linky typu Ethernet preddefinované hodnoty, ktoré zodpovedajú konštrukcii daného rozhrania. Ľahko si overíme, že pre rozhranie Gigabit. Ethernet 0/0/0 Je definovaný bandwidth BW 1 000 Kbit (overíme príkazom Router#sh int gi 0/0/0 ) Ak však pripojíme toto rozhranie ku Fast. Ethernetovému portu 100 Mbps na opačnej strane linky a na rozhraní Gi 0/0/0 je aktivovaná funkcia autonegotiation, gigabitové rozhranie sa prispôsobí a reálna komunikačná rýchlosť sa zmení na 100 Mbps. Verifikácia: Príkazom R 1#show int Gi 0/0/0 si overíme, že bandwidth linky je deklarovaný na hodnotu BW 1000000 Kbit a príkazom R 1#show ip ospf interface Gi 0/0/0 si overíme, že hodnota cost je 1 (za predpokladu, že referenčný bandwidth Ani v tomto prípade si OSPF proces nezisťuje si skutočný bandwidth na linke na základe aktuálnej reálnej konfigurácie portu! Ohlasovaný bandwidth ostane máme nastavený na defaultnú hodnotu, teda na 100) na pôvodnej hodnote BW 1 000 Kbit = 1 Gbps.

Problematika rozdielov medzi skutočnou a deklarovanou hodnotou BW na rozhraní: Ethernetové linky Teraz si overme situáciu pre manuálnu konfiguráciu Gigabit. Ethernetového portu na komunikačnú rýchlosť 10 Mbps: Router(config)#int Gi 0/0/0 Router(config-if)#speed 10 Router#show int Gi 0/0/0 Po verifikácii parametrov vidíme, že v konfigurácii rozhrania Gi 0/0/0 je stále deklarovaná defaultná hodnota bandwidth, teda BW 1000000 Kbit a že OSPF proces opäť používa pre výpočet COST defaultnú hodnotu BW, a nie skutočne konfigurovanú hodnotu bandwidth Gi 0/0/0 rozhrania Preto musíme hodnoty upraviť tak, aby zodpovedali realite: R 1(config)# interface (interface) R 1(config-if)# bandwidth (hodnota v kbps) R 1(config-if)# end Verifikácia: Príkazom R 1#show int Gi 0/0/0 si overíme, že bandwidth linky je deklarovaný na hodnotu BW 1000000 Kbit a príkazom R 1#show ip ospf interface Gi 0/0/0 si overíme, že hodnota cost je 1 (za predpokladu, že referenčný bandwidth máme nastavený na defaultnú hodnotu, teda na 100)

Problematika rozdielov medzi skutočnou a deklarovanou hodnotou BW na rozhraní: Ethernetové linky Preto musíme hodnoty upraviť tak, aby zodpovedali realite: R 1(config)# interface (interface) R 1(config-if)# bandwidth (hodnota v kbps) R 1(config-if)# end Príklad pre linku Giga. Ethernet 0/0/0, kde je hodnota speed nastavená na hodnotu 10 (tzn. 10 Mbps) R 1(config)#int Gi 0/0/0 R 1(config-if)#bandwidth 10000 R 1(config-if)#end Pozor! Rovnakú úpravu musíme vykonať aj na opačnej strane spoja, teda na protiľahlom rozhraní! Verifikácia: Príkazom R 1#show int Gi 0/0/0 si overíme, že bandwidth linky je deklarovaný na hodnotu BW 10000 Kbit a príkazom R 1#show ip ospf interface Gi 0/0/0 si overíme, že hodnota cost je 10 (za predpokladu, že referenčný bandwidth máme nastavený na defaultnú hodnotu, teda na 100)

Niekoľko príkladov na vzťahy medzi clock-rate, bandwidth a cost v protokole OSPF Príklad 1 Na interface Serial 0/0 je nastavený clock-rate 7200. Akú hodnotu *bandwidth* použije OSPF pre výpočet cost pre rozhranie Serial 0/0 pri defaultnom nastavení všetkých parametrov? Akú cost systém vypočíta pre dané rozhranie? Riešenie: hodnota clock-rate nemá výpočet metriky vplyv Systém automaticky definuje pre všetky seriové linky hodnotu bandwidth defaultne na 1544 kb/s, a to bez ohľadu na skutočnú hodnotu bandwidth linky, bez ohľadu na clock-rate. Hodnota bandwidth teda bude 1544 kb/s a táto hodnota sa použije na výpočet cost Hodnota cost pri defaultnej referenčnej hodnote (reference - bandwidth) je 100 000 /1 544 000 = 64 Cost je 64

Niekoľko príkladov na vzťahy medzi clock-rate, bandwidth a cost v protokole OSPF Príklad 2 Na interface Serial 0/0 je nastavený clock-rate 128 000. Administrátor potrebuje nakonfigurovať bandwidth na danom rozhraní tak, aby hodnota bandwidth zohľadňovala skutočnú hodnotu priepustnosti rozhrania. Aký príkaz musí administrátor použiť? Riešenie: Administrátor musí zadať príkaz R 1(config-if)#bandwidth 128 (nie 128 000 !!!) Príklad 3 Na interface Serial 0/0 je nastavený clock-rate 128 000. Administrátor použil na tomto rozhraní príkaz R 1(config-if)#bandwidth 512. Ako sa zmení reálne priepustnosť rozhrania Serial 0/0? Riešenie: Priepustnosť linky sa nezmení, príkaz bandwidth nemá na skutočnú zmenu priepustnosti ani na parameter clock-rate žiadny vplyv.

Niekoľko príkladov na vzťahy medzi clock-rate, bandwidth a cost v protokole OSPF Príklad 4 Na interface Serial 0/0 je nastavený clock-rate 128 000. Administrátor aplikoval na rozhranie Se 0/0 príkaz R 1(config-if)# bandwidth 128. Hodnota auto-cost reference-bandwidth je defaultná. Akú hodnotu *cost* použije OSPF pri tomto nastavení parametrov clock-rate, auto-cost referencebandwidth a bandwidth? Riešenie: Hodnota clock-rate nemá výpočet metriky vplyv Príkaz R 1(config-if)# bandwidth 128 upravuje bandwidth na danom rozhraní na 128 000 b/s, t. j. 128 kbps. Hodnota cost pri defaultnej referenčnej hodnote (reference - bandwidth) je 100 000 /128 000 = 781 Cost je 781

Niekoľko príkladov na vzťahy medzi clock-rate, bandwidth a cost v protokole OSPF Príklad 5 Admin zadal na rozhranie Gi 0/0 príkaz R 1(config-if)# bandwidth 128 000. Aká bude skutočná priepustnosť linky na rozhraní Gi 0/0? Akú hodnotu bandwidth bude teraz systém používať na výpočet cost na rozhraní Gi 0/0? Aká bude hodnota cost pre toto rozhranie? Riešenie: Skutočná priepustnosť linky bude nezmenená, t. j. 1 Gbps Týmto príkazom Admin definoval pre dané rozhranie priepustnosť 128 Mbps (nie 128 kbps!) Vypočítaná cost pre dané rozhranie bude 100 000 / 128 000 = 0, 78 => cost = 1

Problém s default definovanou metrikou: Defaultná metrika predpokladá, že 100 Mbps linka je najrýchlejšia dosiahnuteľná (je to pozostatok zo začiatkov technológií, kedy sa 100 Mbps považovalo za „vrchol techniky“ : -) V súčasnosti tento predpoklad neplatí, preto, ak používame v oblasti 1 Gbps a rýchlejšie linky, treba metriku upravovať: Referenčná hodnota sa upravuje rovnako pre celú oblasť na hodnotu najrýchlejšej použitej linky príkaz: R 1(config-router)#auto-cost reference-bandwidth (nova-ref-hodnota) kde za parameter nova-ref-hodnota zadáme hodnotu najvyššieho bandwidth, s akým v oblasti počítame. Overenie, aká je aktuálna hodnota referenčnej bandwidth: show run

Niekoľko príkladov na vzťahy medzi clock-rate, bandwidth a cost v protokole OSPF Príklad 6 Predpokladajme, že na smerovači R 1 máme niekoľko rozhraní s rôznymi hodnotami clock-rate aj bandwidth. Na interface Serial 0/0 je nastavený clock-rate 128 000 a príkazom bandwidth 128 je hodnota bandwidth prispôsobená skutočnej priepustnosti rozhrania. Ďalej sú na smerovači rozhrania Eth 0/0 (10 Mbps), Fa 0/0 (100 Mbps) a Gi 0/0 a Gi 0/1 (1 Gbps). Takisto v celej oblasti OSPF Area 1 sa vyskytujú linky s takýmito komunikačnými rýchlosťami. Administrátor potrebuje nakonfigurovať výpočet cost na základe bandwidth v oblasti tak, vypočítané hodnoty cost zodpovedali realite. Aké úpravy konfigurácie musí administrátor použiť?

Niekoľko príkladov na vzťahy medzi clock-rate, bandwidth a cost v protokole OSPF Príklad 6 - pokračovanie Riešenie: Keďže defaultná referenčná hodnota auto-cost reference-bandwidth 100 000 dáva rovnaké hodnoty cost = 1 pre 100 Mbps aj 1 Gbps linky, museli by sme buď na každej linke upraviť manuálne bandwidth na hodnotu 0, 1 z reálnej hodnoty, alebo na každom rozhraní ručne upraviť cost. To by bolo veľmi zdĺhavé. Výhodnejšie je aplikovať príkaz pre zmenu referenčnej hodnoty bandwidth, a to pre celú oblasť (tzn. na každom smerovači v danej area): R(config-router)#auto-cost reference-bandwidth 1000 Touto úpravou definujeme referenčnú komunikačnú rýchlosť na hodnotu 1 000 000 b/s. Pre 1 Gbps linku potom vyjde cost 1, pre 100 Mbps linku bude cost 10 atď. Pre sériové linky treba hodnoty bandwidth upraviť manuálne tak, aby zodpovedali reálnym priepustnostiam rozhraní, inak všetky sériové linky budú disponovať hodnotou COST = 647 (viď tabuľka „úprava metriky)

Úprava metriky zmenou referenčnej bandwidth na hodnotu 1000, tzn. optimalizácia pre 1 Gbps max. Ak napríklad uvažujeme použitie 1 Gbps linky, použijeme príkaz: R 1(config-router)#auto-cost reference-bandwidth 1000 Aktuálne hodnoty cost sa potom zmenia nasledovne: BW COST 1 Gbps 1 100 Mbps 10 10 Mbps 100 1, 544 Mbps 647 128 kbps 7812 64 kbps 15625 Ak sa chceme vrátiť ku pôvodnej hodnote referenčného bandwidth, použijeme príkaz: R 1(config-router)#auto-cost reference-bandwidth 100 Verifikácia: R 1#show interface (interface) R 1#show ip ospf interface (interface) R 1#show running-config Router(config-router)#auto-cost reference-bandwidth 1000 % OSPF: Reference bandwidth is changed. Please ensure reference bandwidth is consistent across all routers.

Úprava metriky zmenou referenčnej bandwidth na hodnotu 10000, tzn. optimalizácia pre 10 Gbps max. Ak napríklad uvažujeme použitie 10 Gbps linky, použijeme príkaz: R 1(config-router)#auto-cost reference-bandwidth 10000 Aktuálne hodnoty cost sa potom zmenia nasledovne: BW COST 1 Gbps 10 100 Mbps 100 10 Mbps 1000 1, 544 Mbps 6477 128 kbps 78125 64 kbps 156250 Ak sa chceme vrátiť ku pôvodnej hodnote referenčného bandwidth, použijeme príkaz: R 1(config-router)#auto-cost reference-bandwidth 100 Verifikácia: R 1#show interface (interface) R 1#show ip ospf interface (interface) Dupľovanie takmer rovnakej tabuľky sa javí ako redundandné, ale presvedčil som sa, že stačí drobná nepozornosť, kilo sem mega tam, nula sa pridá ku nule a vznikne nezmysel. V predošlej verzii prezentácie som mal tabuľky s množstvom chýb

Úprava metriky príkazom COST Úprava metriky priamym príkazom Lepšia možnosť, ako umelo rekonfigurovať alebo dokonca skreslovať hodnotu bandwidth, je použiť príkaz, ktorým priamo zadáme hodnotu cost pre dané rozhranie: Príklad: R 1(config)#interface s 0/0 R 1(config-if)#ip ospf cost 700

Úprava metriky príkazom COST Takto zadaná hodnota cost je uprednostnená pred hodnotou vypočítanou na základe bandwidth. Tento spôsob úpravy cost je výhodnejší, rýchlejší, šetrí výkon procesora (nemusí cost rátať z hodnoty BW - rovno zadanú hodnotu uloží do tabuľky) a nespôsobí zmätky v definovaní hodnoty BW a prípadného nesúladu s hodnotou clock-rate. Všetky úpravy hodnoty cost sa dajú vrátiť na defaultné hodnoty príkazmi: R 1(config)#interface s 0/0 R 1(config-if)#no ip ospf cost R 1(config-if)#no bandwidth

Redistribúcia statických trás Príkaz na redistribúciu defaultnej trasy: R 1(config)#router ospf 1 R 1(config-router)#default-information originate Príkaz na redistribúciu ľubovoľnej statickej trasy (iba pre classful siete) R 1(config-router)#redistribute static Príkaz na redistribúciu ľubovoľnej statickej trasy (pre classless režim) R 1(config-router)#redistribute static subnet Pozn. : Všetky príkazy overené – fungujú aj v PT ver 7. 1. 1

Redistribúcia statických trás Ak potrebujeme redistribuovať v OSPF-ku defaultú trasu , teda 0. 0 [next. hop], funguje to iba príkazom default-information originate. O*E 2 0. 0/0 [110/1] via 10. 4. 1, 00: 54, Serial 0/1 Súčasne, je na routeri konfigurovaná aj iná statika, napríklad 100. 20. 0. 0 255. 0 [next. hop] príkaz default-information originate túto trasu neprenesie! Treba na routeri aplikovať redistribute static subnet, potom túto trasu OSPF proces okamžite redistribuuje aj na ostatné routery ako O E 2 trasu: O E 2 100. 110. 0. 0 [110/20] via 10. 4. 1, 00: 03, Serial 0/1 Ak na routeri R 1 nie je aktivované default-information originate, ale ja aktívne redistribute static subnet, OSPF proces prenesie na ostatné routery statiku 100. 20. 0. 0 255. 0 [next. hop], ale neprenesie defaultnú statickú trasu, teda 0. 0 [next. hop] Ak chcem redistribuovať aj default route, aj ďalšie iné statiky, musím na R 1 aktivovať obidva príkazy - default-information originate. aj redistribute static subnet: Pozn. : Všetky príkazy overené – fungujú aj v PT ver 7. 1. 1

Zmena Administrative Distance Hodnota AD udáva „dôverhodnosť“ záznamu pre smerovací algoritmus routera. Ak má na výber medzi dvoma rôznymi oznamovanými trasami do rovnakého cieľa, berie primárne „do úvahy“ záznamy ktoré pochádzajú od zdroja s nižšou AD Defaultná AD pre OSPF v Cisco zariadeniach je 110 Zmena AD: Príkaz vyžaduje definovať AD samostatne pre interné trasy (vnútri area), trasy medzi oblasťami a pre externé trasy. R 1(config)#router ospf 1 R 1(config-router)#distance ospf intra-area 100 inter-area 115 external 125

Zabezpečenie: základné princípy Slúži na zabezpečenie updates zasielaných medzi smerovačmi Pri zapnutej autentifikácii smerovač overuje zdroj od ktorého dostáva update. Autentifikáciou sa bráni takému typu útoku, pri ktorom by votrelec podvrhol aktualizačné údaje pre OSPF proces a ovplyvnil tak tvorbu smerovacích tabuliek. Tak môže dosiahnuť zmenu v smerovaní s cieľom presmerovať dátové toky tak, aby ich mohol zachytávať, prípadne modifikovať. Autentifikačné metódy: Plain-text authentication - dnes nepoužívaná metóda, heslo medzi smerovačmi sa preposiela v nezašifrovanom stave. MD 5 authentication – odporúčaná forma, heslo sa neposiela, posiela sa MD 5 hash vypočítaný z hesla SHA authentication – moderná forma využívajúca SHA algoritmus IPSec authentication – metóda využívaná pre OSPFv. 3 s IPv 6 POZOR! Autentifikácia sa týka iba updatov zasielaných medzi routermi, nemá žiadnu súvislosť so zasielanými dátovými paketmi !!!!

Zabezpečenie: samostatná autentifikácia pre jednotlivé rozhrania Plain-text authentication Kroky na konfiguráciu jednoduchej autentifikácie pomocou hesla OSPF: V konfigurácii ospf procesu určíme oblasť, pre ktorú bude autentifikácia implementovaná Na rozhraní priradíme autentifikačný kľúč (heslo), ktoré sa použije na autentifikáciu susedných smerovačov. V treťom kroku sa vyžiada autentifikácia od suseda na príslušnom rozhraní. Ak autentifikácia susedom nie je potvrdená, OSPF proces prestane prijímať na danej linke aktualizačné OSPF pakety, čo spoľahlivo zistíme napríklad príkazom show ip ospf neighbors. Heslo môže byť unikátne pre každú sieť (linku), ovšem na jednej sieti (linke) sa musí na všetkých participujúcich smerovačoch použiť heslo zhodné. Ak pre rozhranie je zadaný typ autentifikácie, použije sa typ autentifikácie pre oblasť (predvolená metóda autentifikácie pre oblasť je nulová autentifikácia, čiže bez autentifikácie Príkaz na autentifikáciu ip ospf bol zavedený v aplikácii Cisco IOS Software Release 12. 0 Deaktivácia autentifikácie: Pre oblasť: Router(config-router)#no area 1 authentication Pre rozhranie: Router(config-if)# ip ospf authentication null. KONFIGURÁCIA PLAIN TEXT AUTENTIFIKÁCIE: R 1(config)#router ospf 1 R 1(config – router )# area 1 authentication R 1(config – router )# exit R 1(config)# int se 0/0 R 1(config-if)# ip ospf authentication-key cisco R 1(config-if)# ip ospf authentication R 2(config)#router ospf 1 R 2(config – router )# area 1 authentication R 2(config – router )# exit R 2(config)# int se 0/1 R 2(config-if)# ip ospf authentication-key cisco R 2(config-if)# ip ospf authentication V Packet Tracer (vrátane ver. 7. 3) overené pre linky typu Serial aj pre linky typu Ethernet

Zabezpečenie: jednotná autentifikácia pre celú oblasť MD 5 authentication heslo sa neposiela, posiela sa MD 5 hash vypočítaný z hesla KONFIGURÁCIA: R 1(config)#router ospf 1 R 1(config – router )# area 1 authentication message-digest R 1(config – router )# exit R 1(config)# int se 0/0 R 1(config-if)# ip ospf message-digest-key 1 md 5 cisco R 2(config)#router ospf 1 R 2(config – router )# area 1 authentication message-digest R 2(config – router )# exit R 2(config-if)# int se 0/1 R 2(config-if)# ip ospf message-digest-key 1 md 5 cisco V Packet Tracer (vrátane ver. 7. 3) overené pre linky typu Serial aj pre linky typu Ethernet

Zabezpečenie: samostatná autentifikácia pre jednotlivé rozhrania MD 5 authentication heslo sa neposiela, posiela sa MD 5 hash vypočítaný z hesla KONFIGURÁCIA: R 1(config)# int se 0/0 R 1(config-if)# ip ospf message-digest-key 1 md 5 cisco R 1(config-if)# ip ospf authentication message-digest R 1(config-if)# exit R 1(config-if)# int se 0/1 R 1(config-if)# ip ospf message-digest-key 1 md 5 cisco R 1(config-if)# ip ospf authentication message-digest R 1(config-if)# exit V Packet Tracer (vrátane ver. 7. 3) overené pre linky typu Serial aj pre linky typu Ethernet

Verifikácia OSPF procesu a jeho hodnôt: R 1#show ip protocols R 1#show ip ospf interface (interface) R 1#show ip ospf interface brief R 1#show ip ospf neighbors detail R 1#show ip ospf database R 1#debug ip ospf R 1#show run R 1#show controllers (interface) R 1#show interfaces (interface) R 1#show ip interface brief R 1#show ip route ospf

v. OSPF je LSA smerovací protokol v. Každý router získa prehľad o topológii celej oblasti siete v. Je postavený na otvorenom štandarde Resume v. V súčasnosti sú používané ver. 2 pre IPv 4 a Ver. 3 pre IPv 6 v. Metriku vyjadruje ako COST, ktorú počíta z bandwidth linky v. Umožňuje viacero spustených inštancií v rámci jediného routera v. Podporuje prácu s viacerými oblasťami, vhodný pre menšie aj väčšie siete v. Na prenos updatov používa multicast adresy v. Je rýchly, spoľahlivý, dobre konfigurovateľný, rýchlo konverguje, dobre škálovateľný v. Umožňuje zabezpečenie prenosu updates plain textom, MD 5 alebo SHA algoritmom, IPSec algoritmom pre IPv 6