OSPF
Техподдержка Фактор-ТСOSPF (Open Shortest Path First) - протокол динамической маршрутизации внутри автономной системы.
В приведенном примере применена типовая схема коммутации № 10
Чтобы активировать службу и войти в режим настроек OSPF, нужно ввести команду конфигурации:
NX-1(config)# router ospf
NX-1(config-ospf)#
Чтобы объявить доступные сети для других маршрутизаторов необходимо написать:
NX-1(config-ospf)# network 192.168.1.0/24 area 0
NX-1(config-ospf)# network 192.168.10.0/24 area 0
Аналогично для NX-2:
NX-2(config)# router ospf
NX-2(config-ospf)# network 192.168.2.0/24 area 0
NX-2(config-ospf)# network 192.168.10.0/24 area 0
Чтобы удостовериться, что NX-1 и NX-2 обменялись маршрутами по протоколу OSPF, необходимо отобразить таблицу маршрутизации командой «show ip route»:
NX-1# show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
F - PBR,
> - selected route, * - FIB route
O 192.168.1.0/24 [110/1] is directly connected, ethernet1, 00:08:23
C>* 192.168.1.0/24 is directly connected, ethernet1, 5d02h38m
O>* 192.168.2.0/24 [110/200] via 192.168.10.2, ethernet3, 00:08:18
O 192.168.10.0/24 [110/100] is directly connected, ethernet3, 00:08:23
C>* 192.168.10.0/24 is directly connected, ethernet3, 01:58:14
Policy routes:
NX-2# show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
F - PBR,
> - selected route, * - FIB route
O>* 192.168.1.0/24 [110/2] via 192.168.10.1, ethernet3, 00:08:57
O 192.168.2.0/24 [110/100] is directly connected, ethernet1, 00:09:12
C>* 192.168.2.0/24 is directly connected, ethernet1, 00:57:42
O 192.168.10.0/24 [110/1] is directly connected, ethernet3, 00:09:07
C>* 192.168.10.0/24 is directly connected, ethernet3, 01:58:58
Policy routes:
В таблицах маршрутизации указаны маршруты, которые объявлены с помощью протокола OSPF – указана буква «O», маршруты, которые подключены напрямую указаны буквой «С». Если есть несколько одинаковых маршрутов, то маршрутизатор выбирает исходя из приоритетов подключений как именно передавать информацию. «>» -- Этот знак указывает какой именно маршрут выбран из таблицы маршрутизации.
По умолчанию Протокол OSPF передает информацию с помощью многоадресной передачи, чтобы проверить, что NX-1 и NX-2 обмениваются пакетами протокола OSPF, необходимо запустить команду «tcpdump ethernet 3» на одном из маршрутизаторов:
@NX-2# tcpdump ethernet 3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ethernet3, link-type EN10MB (Ethernet), capture size 262144 bytes
17:15:05.801661 IP 192.168.10.1 > 224.0.0.5: OSPFv2, Hello, length 48
17:15:10.656705 IP 192.168.10.2 > 224.0.0.5: OSPFv2, Hello, length 48
17:15:15.801642 IP 192.168.10.1 > 224.0.0.5: OSPFv2, Hello, length 48
17:15:20.656717 IP 192.168.10.2 > 224.0.0.5: OSPFv2, Hello, length 48
Для проверки корректной работы протокола маршрутизации OSPF необходимо запустить ping с NX-2 На ПК-1:
NX-2# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=127 time=0.626 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=127 time=0.544 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=127 time=0.496 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=127 time=0.447 ms
64 bytes from 192.168.1.2: icmp_seq=5 ttl=127 time=0.490 ms
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 65ms
rtt min/avg/max/mdev = 0.447/0.520/0.626/0.065 ms
В ПАК Dionis-DPS в протоколе OSPF реализована возможность аутентификации маршрутизаторов между собой с целью исключения возможности подмены маршрутизаторов и навязывания ложных маршрутов.
Чтобы задать режим аутентификации для интерфейсов, подключённых к области, нужно указать опцию (в режиме конфигурации OSPF):
(config-ospf)# area <id_области> authentication [message-digest]
Опция «message-digest» предписывает использование алгоритма MD5.
Если не указать «message-digest», то пароли будут передаваться в открытом виде.
Чтобы задать пароль при использовании алгоритма MD5, нужно указать опцию интерфейса:
NX-2(config-if-ethernet3)# ip ospf message-digest-key <номер> md5 <пароль>
На всех соседних маршрутизаторах пары (номер, пароль) должны совпадать.
Например:
NX-2(config-ospf)# area 0 authentication message-digest
NX-2(config-if-ethernet3)# ip ospf message-digest-key 2 md5 adm123
NX-1(config-ospf)# area 0 authentication message-digest
NX-1(config-if-ethernet3)# ip ospf message-digest-key 2 md5 adm123
Для проверки намеренно укажем несовпадающие номер/пароль:
NX-2(config-if-ethernet3)# ip ospf message-digest-key 2 md5 adm123
NX-1(config-if-ethernet3)# ip ospf message-digest-key 3 md5 adm123
Так как маршрутизаторы передают информацию о подключенным к ним сетям по ethernet 3 , при разных номерах/паролях эта информация не будет передана. При просмотре таблиц маршрутизации можно увидеть, что не было передано новых маршрутов друг другу:
NX-2# show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
F - PBR,
> - selected route, * - FIB route
192.168.2.0/24 [110/100] is directly connected, ethernet1, 00:02:06
C>* 192.168.2.0/24 is directly connected, ethernet1, 01:57:18
192.168.10.0/24 [110/1] is directly connected, ethernet3, 00:02:06
C>* 192.168.10.0/24 is directly connected, ethernet3, 02:58:34
Policy routes:
NX-1# show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
F - PBR,
> - selected route, * - FIB route
192.168.1.0/24 [110/1] is directly connected, ethernet1, 00:04:56
C>* 192.168.1.0/24 is directly connected, ethernet1, 5d03h41m
192.168.10.0/24 [110/100] is directly connected, ethernet3, 00:04:56
C>* 192.168.10.0/24 is directly connected, ethernet3, 03:01:20
Policy routes:
NX-1 Не смог передать информацию о сети 192.168.1.0/24, а NX-2 не передал информацию о сети 192.168.2.0/24, т.к. номер и пароль были введены неверно.
Для проверки доступности необходимо запустить ping с NX-2 на ПК-1:
NX-2# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
--- 192.168.1.2 ping statistics ---
packets transmitted, 0 received, 100% packet loss, time