Сегодня мы рассмотрим вопрос настройи протокола OSPFv2 IPv4 для нескольких зон, который входит в раздел 2.4 тематики ICND2. Мы будем работать с топологией сети, в состав которой входит 7 роутеров, и шесть из них работают по протоколу OSPF. Роутер №7, расположенный в самом низу, работает по протоколу RIPv2.
На предыдущих уроках мы рассматривали сети, в которых все OSPF-устройства работали в одной общей зоне. Сейчас мы будем работать с несколькими отдельными зонами.
Роутеры R1 и R6 принадлежат зоне 45, роутер R5 работает в зоне 12. Это внутренние роутеры, обслуживающие локальные сети. Роутеры R2 и R4 являются пограничными маршрутизаторами ABR. Это роутеры, которые осуществляют связь роутеров остальных зон regular area с корневой, или опорной зоной backbone area, номер которой всегда равен 0.
Роутер R3, как видно из этой схемы, граничит с зоной, устройства которой работают по протоколу RIP. Такое бывает в случае, когда к вашей компании присоединилась организация, придерживающаяся другой сетевой политики, использующая в своей сети протоколы RIP или EIGRP. В перспективе вы можете перевести устройства этой компании на свой протокол OSPF, но до того времени вам нужно каким-то образом обеспечивать связь своей сети и компьютеров другой компании. В этом случае используется редистрибуция, или перераспределение маршрутов: все маршруты OSPF перераспределяются в RIP, а все маршруты RIP – в OSPF. Поскольку углубленное изучение редистрибуции Cisco не входит в программу CCNA, я расскажу вам об этом очень кратко. Просто запомните, что если ваши сети используют разные протоколы, необходимо перераспределение маршрутов. Роутер, который расположен между зонами, использующими разные протоколы маршрутизации, называется ASBR – пограничный роутер для автономной системы. В данном случае автономной является система, использующая RIP.
Роутеры R6 и R2 соединены по схеме «точка-точка», между ними находится сеть 10.1.26.0/24, где третий октет IP-адреса 26 указывает на связь второго (2) и шестого (6) роутеров. Роутер R1 соединен с R2 также по схеме p2p сетью 10.1.12.0/24. Роутеры R6 и R1 соединены сетью 10.1.16.0/24. Аналогичные соединения «точка-точка» связывают роутеры R3 и R7 (сеть 10.1.37.0/24) и роутеры R4 и R5 (сеть 10.1.45.0/24).
К роутеру R2 подведена сеть 10.1.20.0/24. Поскольку к ней не подключен другой роутер, я назначил третий октет этой сети равным 20 (роутер 2 – 0 роутеров), чтобы просто указать связь с роутером R2. К роутеру R5 подведена сеть, которую я обозначил 10.1.50.0/24.
Внешняя сеть 10.1.20.0/24 не поддерживает протокол OSPF. Внутренняя сеть 10.1.50.0/24 поддерживает OSPF и носит название пассивной сети passive network. Позже мы рассмотрим, что это такое.
Давайте перейдем к программе Packet Tracer и попробуем настроить нашу сеть, состоящую из нескольких зон. В процессе настройки мы ознакомимся с различными технологиями. Вы можете скачать файл данной топологии по ссылке, которая приведена под этим видеоуроком.
Поскольку мы не будем рассматривать рестрибуцию, я не включил сюда автономную сеть под управление RIP, оставив только три зоны под управлением OSPF: синюю зону 45, желтую корневую зону 0 и зеленую зону 12.
Роутеры R1 и R6 являются внутренними маршрутизаторами зоны 45, а роутер R5 – внутренний маршрутизатор зоны 12. Роутеры R2 и R4 являются пограничными маршрутизаторами BDR.
Как я сказал, сеть R2-SW3 является внешней и не относится к OSPF, а сеть SW2-PC0 относится к пассивным сетям. Давайте начнем с роутера R6. Поскольку он относится к внутренним устройством зоны 45, его конфигурация такая же, как и на прошлом уроке. Если я хочу организовать OSPF всего одной командой, то должен в настройках этого роутера последовательно ввести команды config t, router ospf 1 и network 10.1.0.0 0.0.255.255 area 45. Что произойдет, если я нажму «Ввод»? Операционная система Cisco IOS оценит текущую конфигурацию и сделает OSPF доступным для всех интерфейсов, чьи IP-адреса содержат в двух первых октетах 10.1. Это можно проверить, выполнив команду show ospf interface.
Мы видим, что OSPF запущен на двух интерфейсах: FastEthernet 0/0 и серийном интерфейсе Serial 0/3/0. Первый интерфейс имеет IP-адрес 10.1.16.6, второй – 10.1.26.6. Здесь указан также номер зоны 45, тип сети – широковещательная,, состояние DR и приоритет 1. Адрес интерфейса выделенного роутера 10.1.26.6, адрес интерфейса роутера 10.1.16.6. Далее приводится значение таймера Hello -10 с и значение интервала ожидания ответа Dead 40c. В данный момент у роутера нет никаких соседей, поэтому их число Neighbor Count равно 0.
В описании серийного интерфейса указан тип соединения point-to-point, приоритет равен 0, потому что выборы не проводились. Здесь так же нет ни DR, ни BDR, потому что это сеть «точка-точка». Число соседей также равно 0, потому что мы не запустили OSPF на остальных роутерах. Мы можем в этом убедиться, если введем команду show ospf neighbor – таблица соседей будет пуста.
Проделаем то же самое с настройками роутера R1, введя команды config t и router ospf 10. Я хочу показать, что идентификаторы процессов не обязательно должны совпадать, и набираю 10 вместо 1. У нас нет OSPF Process ID 10, для роутера R6 эта величина тоже равна 1, но для системы это не имеет значения, соседство все равно будет установлено. Далее я набираю команду network 10.1.0.0 0.0.255.255 area 45. После этого OSPF заработает на обоих интерфейсах, и мы видим, что GigabitEthernet 0/0 перешел из состояния Loading в состояние Full. Пусть вас не смущают разные интерфейсы роутеров — R1 модели 2911, поэтому у него имеется интерфейс Gigabit Ethernet, а роутер R6 модели 2811.
Вы видите, что R1 был выбран в качестве BDR, потому что у него меньший Router ID 10.1.16.1. Соответственно, роутер с большим RID выбран в качестве DR. Таймер Hello равен 10, то есть каждые 10 секунд соседние роутеры будут обмениваться информацией. Далее указано, что установлена смежность с соседом 10.1.26.6, то есть роутером R6. Затем приводятся характеристики серийного интерфейса serial 0/3/0. Если теперь набрать команду show ospf neighbor, можно увидеть, что соседство с R6 установлено через интерфейс GigabitEthernet 0/0.
Давайте перейдем к настройкам роутера R2. Разница между ним и роутерами R1 и R6 состоит в том, что R2 это пограничный ABR-роутер, который расположен в двух разных зонах. Протокол OSPF мы настраиваем так же, как и для роутеров R1 и R6 – набираем команду router ospf 1 и network 10.1.0.0 0.0.255.255. А дальше возникает вопрос, какой номер зоны нужно ввести. Если я наберу в конце команды area 0, система будет искать все интерфейсы, IP-адрес которых содержит 10.1., и запустит OSPF в той зоне, которую я указал, то есть в зоне 0. Однако это совсем не то, что нам нужно. Мы хотим, чтобы с зоной 45 работали только два серийных интерфейса, к которым подключены роутеры R6 и R1, а интерфейс FastEthernet, к которому подключен свитч, работал только с зоной 0.
Что же мы можем для этого сделать? Изменить обратную маску, как мы это делали раньше, и вместо 0.0.255.255 использовать значение 0.0.127.255. Для всех наших устройств первые два октета IP-адресов одинаковы, разница состоит в третьем октете. В зоне 45 это числа 26 и 12, а в зоне 0 – 234. Использовав в обратной маске число 127, мы получим 0 для первых двух октетов и ноль для первого бита третьего октета. Значения 26 и 12 соответствуют нулевому первому биту третьего октета, а вот число 234 означает, что первый бит третьего октета IP-адреса равен 1. Таким образом, используемая обратная маска будет действовать только на IP-адреса 10.1.26.0 и 10.1.12.0, но не повлияет на IP-адрес 10.1.234.0. Так я реализую цель – OSPF будет работать только на интерфейсах роутера в зоне 45 и не будет иметь никакого отношения к интерфейсу роутера R2 в корневой зоне area 0.
Я могу использовать другой метод, набрав команду network 10.1.26.2 0.0.0.0 area 45. Это специфичное значение обратной маски означает, что любая сеть или любой интерфейс, имеющий IP-адрес 10.1.26.2, будет работать только в зоне 45. Введем эту команду и проверим результат с помощью команды do show ip ospf interface.
Мы видим, что интерфейс Serial 0/3/0, к которому подключен роутер R6, сейчас работает по протоколу OSPF и принадлежит зоне 45.
Далее я использую команду network 10.1.12.2 0.0.0.0 area 45, чтобы запустить OSPF на интерфейсе, к которому подключен роутер R1.
Отличие заключается в том, что интерфейс, к которому подключена сеть 10.1.234.0/24, должен работать в зоне 0. Здесь используется практически та же самая команда, за исключением IP-адреса и номера зоны: network 10.1.234.2 0.0.0.0 area 0. Так мы создали OSPF в нескольких зонах, когда два интерфейса работают по данному протоколу в зоне 45, а один – в зоне 0.
Если набрать do show ip ospf interface, мы увидим, что сейчас OSPF запущен на 3-х интерфейсах. Это Serial 0/3/1, Serial 0/3/0 в зоне 45 и FastEthernet 0/0 в зоне 0. Чтобы просмотреть используемый протокол, я набираю команду show ip route, и мы видим, что все имеющиеся сети используют общий протокол OSPF.
Замечу, что для связи с сетью 10.1.16.0, то есть со свитчем SW1, используются OSPF-интерфейсы 10.1.26.6 и 10.1.12.1. OSPF осуществляет балансировку нагрузки, руководствуясь стоимостью маршрутов. С точки зрения R2, стоимость маршрута к роутеру R6 равна 64, такая же стоимость у маршрута R2-R1. Таким образом, в синей сети стоимость маршрутов одинакова, причем на участках к свитчу SW1 добавляется 1, и общая стоимость каждого из маршрутов становится равной 65. Вот что значат числа в квадратных скобках после IP-адреса 10.1.16.0: 110 это административная дистанция по умолчанию, а 65 – стоимость маршрута к SW1. Если OSPF видит два маршрута с одинаковой стоимостью, то в таблицу маршрутизации будут включены оба эти маршрута. Таким образом осуществляется балансировка нагрузки: весь трафик, направленный в сеть 10.1.16.0/24, будет равномерно распределяться по обоим маршрутам.
Важной особенностью обладает сеть 10.1.20.0. Посмотрим, что знает о сетях роутер R6. Благодаря OSPF ему известна сеть 10.1.12.0, несмотря на то, что он не подсоединен к ней напрямую. Он также «знает» сеть 10.1.234.0, причем рядом с буквой «О», обозначающей протокол OSPF, мы видим буквы IA, которые обозначают «OSPF inter-area». Это означает, что данная сеть принадлежит другой зоне, то есть не находится в зоне 45. Эта сеть находится в зоне 0, поэтому путь к ней обозначается как межзональный OSPF-маршрут.
Сеть 10.1.20.0, ведущая к свитчу SW3, напрямую подсоединена к роутеру R2, однако её нет в таблице OSPF-маршрутизации, потому что она не участвует в OSPF.
Перейдем к роутеру R4. Он также расположен в двух зонах, поэтому мы настроим его аналогично роутеру R2. Для этого я наберу команды config t, router ospf 1, network 10.1.45.4 0.0.0.0 area 12 и network 10.1.234.4 0.0.0.0 area 0.
Команда show ip ospf interface показывает, что OSPF запущен на 2-х интерфейсах: Serial 0/3/0 в зоне 12 и FastEthernet 0/0 в зоне 0. Одной из самых распространенных ошибок при вводе данных команд при организации OSPF в нескольких зонах является неправильный номер зоны, поэтому всегда сверяйте параметры с вашей бумажной схемой сети чтобы убедиться, что номера зон в командах соответствуют номерам, которые указанны в вашей топологии.
Далее мы переходим к роутеру R5. Давайте рассмотрим разницу между сетью 10.1.20.0 и сетью 10.1.50.0. Первая сеть не участвует в OSPF, а вторая – участвует. Сеть 10.1.20.0 не получает сообщения Hello от роутера R2, так как не использует протокол OSPF. Даже если присоединить к свитчу SW3 еще один роутер и включить на нем режим OSPF, роутер R2 все равно его не увидит, так как не отсылает через эту сеть Hello.
Давайте настроим OSPF для роутера R5, введя команды config t, router ospf 1 и network 10.1.0.0 0.0.255.255 area 12 и с помощью команды show ip ospf interface посмотрим, к чему это привело. Как и ожидалось, OSPF запущен на обоих интерфейсах: FastEthernet 0/0 и Serial 0/3/0 для зоны 12.
Посмотрим, как изменения топологии отразились в таблице маршрутизации роутера R6. Этот роутер «знает» интерфейс 10.1.45.0 – это R5, свитч SW2 с адресом 10.1.50.0 и свитч SW0 с адресом 10.1.234.0. Все эти устройства поддерживают OSPF, так что это естественно. Однако из-за этого в нашей сети могут возникнуть проблемы.
Посмотрим на роутер R5 – он рассылает пакеты Hello по сети 10.1.50.0 каждые 10 секунд, но компьютер PC0 на них не реагирует, потому что не поддерживает OSPF. Проблема заключается в том, что компьютер PC0 подключен к сети через обычную стенную розетку, к которой может подключиться «плохой парень». С помощью своего компьютера он может внести изменения в настройки и таблицы маршрутизации OSPF, так как это довольно легко проделать.
Подсоединив свой компьютер вместо PC0, он может убедить роутер R5, что обладает наивысшим приоритетом и предлагает оптимальные маршруты, и R5 станет направлять ему весь сетевой трафик. Таким образом, хакер может обрушить всю вашу сеть. Поэтому как администратор сети, вы должны заблокировать рассылку пакетов Hello тем интерфейсам, к которым не подсоединены роутеры.
Ещё одним способом предотвратить такую возможность является аутентификация. Предположим, что какой-то компьютер подсоединен к свитчу SW0 желтой сети. Поскольку все устройства этой сети являются соседями, они обмениваются пакетами Hello. Злоумышленник может перехватить такой пакет и подключиться к сети в качестве фальшивого роутера. Если используется аутентификация, то на устройстве после получения Hello-пакета будет необходимо ввести пароль, чтобы установить соседские отношения. Такая аутентификация не входит в тематику курса CCNA, поэтому мы рассмотрим другой способ решения проблемы несанкционированного вмешательства в OSPF-сеть под названием «пассивный интерфейс». Это интерфейс, который является частью OSPF, но не при этом не устанавливает соседских отношений.
Чтобы создать пассивный интерфейс, я захожу в настройки R5 и последовательно ввожу команды config t, router ospf 1, passive-interface fastEthernet 0/0. При этом сеть 10.1.50.0 по-прежнему доступна по протоколу OSPF — в этом можно убедиться, просмотрев интерфейсы роутера R6. Однако теперь роутер R5 не передает в неё пакеты Hello. В этом можно убедиться, введя в настройках R5 команду show ip ospf interface.
Мы видим, что пакет Hello будет передан через 5 с, но выше система сообщает, что для интерфейса FastEthernet 0/0 пакеты Hello запрещены, потому что это пассивный интерфейс.
Если вам на экзамене попадется вопрос, как определить, пассивный это интерфейс или нет, то вы, увидев сообщение No Hellos в характеристиках интерфейса, смело можете отвечать, что это пассивный интерфейс.
Предположим, что у вас имеется 20 сетей и вам нужен всего 1 пассивный интерфейс. В этом случае вы вводите команду типа network 10.1.0.0 0.0.255.255 area 12, включая OSPF на всех интерфейсах, а затем переходите к конкретному интерфейсу и используете команду passive-interface.
В случае, если у вас 15 сетей, и вы хотите, чтобы 5 интерфейсов поддерживали OSPF, а 10 остальных были пассивными, то можно организовать пассивность по умолчанию.
Для этого в настройках R5 нужно последовательно ввести команды config t, router ospf 1 и passive-interface default. Это значит, что по умолчанию все интерфейсы данного роутера будут пассивными. Для организации OSPF, то есть для активации рассылки пакетов Hello определенным интерфейсом, вам понадобиться использовать для него команду no passive-interface.
Таким образом, существует два способа создания пассивных интерфейсов: включить на всех интерфейсах режим OSPF и вручную назначить пассивный интерфейс или сделать все интерфейсы пассивными по умолчанию и затем отменить этот режим для выбранного интерфейса.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Автор: ua-hosting