Ospf protokoli yordamida marshrutizatsiyalash jarayonini sozlashni o‘rganish
Yüklə 170,33 Kb.
|
|
Router ID (ID) buyruq bilan administrator tomonidan o'rnatilishi mumkin:
Router(config)#router ospf jarayon raqami Router(config-router)#router-id ip-manzili Bu jamoa eng yuqori ko'rsatkichga ega ustuvorlik router identifikatorini tayinlash. Agar identifikator administrator tomonidan o'rnatilmagan bo'lsa, OSPF avtomatik ravishda ni tanlaydi Interfeyslardan birining ID manzili Bilan nai katta qiymat. Eng yuqori ID qiymatiga ega marshrutizator ID aylanadi DR. Ikkinchi eng yuqori identifikatorga ega marshrutizator bo'ladi BDR. Interfeyslar ulagichlardan foydalanganligi sababli ular ishonchsiz tarmoq elementlari hisoblanadi. Ishning ishonchliligini oshirish uchun DR marshrutizatorlar shaklida loopback virtual mantiqiy interfeyslar. OSPF boshqa interfeyslar manzillarining qiymatidan qat'i nazar, yo'riqnoma identifikatori sifatida orqaga qaytish interfeysi manzilidan foydalanadi. Bir nechta orqaga qaytish interfeysiga ega bo'lgan yo'riqnoma yo'riqnoma identifikatori sifatida qayta aylanish interfeysi manzilining eng yuqori qiymatidan foydalanadi. Shunday qilib, tanlov DR Va BDR orqaga qaytish interfeysi manzillarini solishtirish asosida yuzaga keladi. Tanlovdan keyin, DR va BDR o'z rollarini saqlab qolishadi, marshrutizatorlar qayta konfiguratsiya qilinmaguncha tarmoqqa yuqoriroq ustuvor marshrutizatorlar qo'shilsa ham. Loopback interfeysi interfeysning orqaga qaytish buyrug'i yordamida yaratiladi, masalan: Router(config)#interfeys orqaga qaytish 0 Router(config-if)#ip manzili10.1.1.1 255.255.255.255 Qayta ishlash interfeysi 32 bitli pastki tarmoq niqobi bilan sozlanishi kerak - 255.255.255.255 . Bunday OSPF, ehtimol, eng keng tarqalgan dinamik marshrutlash protokoli. Korxona qanchalik katta bo'lsa, undagi kichik tarmoqlar, masofaviy filiallar va vakolatxonalar qanchalik ko'p bo'lsa, u erda OSPF bilan uchrashish ehtimoli shunchalik yuqori bo'ladi. U minimal xizmat trafigiga, ancha yuqori konvergentsiya tezligiga va yaxshi miqyoslilikka baholanadi. Uzoq vaqt davomida protokol ishonchli va xavfsiz ekanligiga ishonishgan. Haqiqatan ham, agar bitta marshrutizator buzilgan bo'lsa ham, tajovuzkor avtonom tizimdagi qolgan marshrutizatorlarga faqat kichik va juda cheklangan ta'sir ko'rsatishi mumkin edi, chunki uni amalga oshirishning hech qanday usuli yo'q edi. global o'zgarishlar barcha marshrutlash jadvallari bo'ylab. Ammo yaqinda hamma narsa o'zgardi - bitta paket hamma narsani o'zgartirishi mumkin va bu ta'sir doimiy bo'ladi! OGOHLANTIRISH Barcha ma'lumotlar faqat ma'lumot olish uchun taqdim etiladi. Na muharrirlar, na muallif ushbu maqola materiallaridan kelib chiqishi mumkin bo'lgan har qanday zarar uchun javobgar emas. Marshrutlash haqida Ishni boshlashdan oldin, keling, nazariyani biroz chuqurlashtiramiz. Birinchidan, marshrutlashning ikki turi mavjudligini unutmang: dinamik va statik. Dinamik marshrutlashdan foydalanish marshrut yozuvlarini qo'lda qo'shishning zerikarli jarayonini va shuning uchun bu jarayon bilan bog'liq xatolarni oldini oladi. Buning o'rniga, dinamik marshrutlash protokollari joriy tarmoq konfiguratsiyasi asosida avtomatik ravishda marshrutlash jadvallarini o'zlari quradi. Bir so'z bilan aytganda, bu shunchaki almashtirib bo'lmaydigan texnologiya, ayniqsa tarmoq uchta routerdan iborat bo'lmasa, lekin kamida o'ttizta. Qulaylikdan tashqari, boshqa afzalliklar ham mavjud. Masalan, xatolarga chidamlilik. Statik marshrutlash tarmog'iga ega bo'lgan holda, zaxira havolalarini tashkil qilish juda qiyin bo'ladi, chunki ma'lum bir segmentning mavjudligini kuzatish muammoli bo'ladi. Marshrutlash protokollariga kelsak, ular ham ikkita asosiy guruhga bo'linadi: domenlararo marshrutlash (Tashqi shlyuz marshrutlash yoki Inter-AS) va intradomain (Interior gateway marshrutlash yoki Intra-AS). Birinchi guruhning eng mashhur vakili BGP, ikkinchi guruhga bir qator protokollar kiradi - OSPF, IS-IS, EIGRP va deyarli o'lik RIP. Umumiy protokol asosida marshrutlash ma'lumotlarini almashadigan marshrutizatorlar guruhi avtonom tizim deb ataladi (Avtonom tizim, AS sifatida qisqartirilgan - bu qisqartma maqolada tez-tez uchraydi). Boshlash uchun bilishimiz kerak bo'lgan hamma narsa shu. OSPF batafsil Yuqorida aytib o'tilganidek, OSPF eng keng tarqalgan dinamik marshrutlash protokollaridan biridir. Lekin u qanday ishlaydi? OSPF routeri qo'shnilarni topadi, qo'shnilikni o'rnatadi va keyin Hello protokoli yordamida qo'shnilikni saqlaydi. Ushbu protokol paketlarida Router Priority (DR tanlash uchun) va HelloInterval (Salom paketlari orasidagi interval) mavjud. Shuningdek, u qo'shnining sog'lig'ini aniqlash uchun qanchalik tez-tez eshitilishi kerakligini ham belgilaydi (RouterDeadInterval). HelloInterval va RouterDeadInterval qiymatlari barcha routerlar uchun bir xil bo'lishi kerak. Interfeys ishlay boshlashdan oldin tarmoqda DR router mavjudligi tekshiriladi. DR (belgilangan marshrutizator) ikkita vazifani bajaradigan maxsus marshrutizator bo'lib: u tarmoq-LSA-larni yaratadi (bu LSAlar hozirda tarmoqqa ulangan marshrutizatorlar ro'yxatini o'z ichiga oladi) va boshqa barcha marshrutizatorlarga ulashgan (muvaffaqiyatsiz bo'lsa, uning funktsiyasi BDR-ni oladi) - belgilangan marshrutizatorning zaxira nusxasi). Agar bunday yo'riqnoma allaqachon ko'rsatilgan bo'lsa, u Router Priority qiymatidan qat'iy nazar qabul qilinadi. Agar DR allaqachon tayinlanmagan bo'lsa, bu yo'riqnoma eng yuqori marshrutizator ustuvorligiga ega bo'lishi sharti bilan DRga aylanadi. Keyin marshrutizator qo'shniga Ma'lumotlar bazasi tavsifi paketlarini ketma-ket yuborish orqali o'zining havola bazasini tavsiflaydi. Ma'lumotlar bazasi tavsifi paketlarini almashish jarayoni Ma'lumotlar bazasini almashish jarayoni deb ataladi. Ma'lumotlar bazasi almashinuvi jarayoni tugallangandan va barcha havola holati so'rovlari bajarilgandan so'ng, ma'lumotlar bazalari sinxronlashtiriladi va marshrutizatorlar to'liq qo'shni sifatida belgilanadi. Shu vaqtdan boshlab qo'shnilar to'liq bo'ladi va router-LSA'lar (router havolasi holati reklamalari) e'lon qilina boshlaydi. LSA har 30 daqiqada e'lon qilinadi (arxitektura doimiysi LSRefreshTime bu uchun javobgardir) va har bir keyingi LSA oldingisiga qaraganda kattaroq tartib raqamiga ega. Albatta, yuqori raqamga ega bo'lgan LSA pastki raqam bilan almashtiriladi. Ushbu LSAlar suv toshqini deb ataladigan avtonom tizim bo'ylab tarqaladi. LSA ma'lumotlarini qo'shnilaridan biridan olgan yo'riqnoma uni boshqa barcha qo'shnilariga uzatadi, shuning uchun har bir router LSA ma'lumotlar bazasini hosil qiladi. Bog'lanish bazasiga asoslanib, har bir yo'riqnoma eng qisqa yo'l daraxtini quradi, uning ildizi o'zi. Ushbu daraxt AS ichidagi barcha yo'nalishlarga marshrutlarni o'z ichiga oladi. Tashqi kelib chiqishi marshrutlash ma'lumotlari daraxt barglari sifatida ifodalanadi. Daraxt har qanday tarmoq yoki xostga yo'lni o'z ichiga oladi. Ammo paketlarni belgilangan joyga yo'naltirishda faqat keyingi router (keyingi hop) ishlatiladi. Keling, yanada chuqurroq sho'ng'aylik Endi LSA sarlavhasini batafsil ko'rib chiqamiz (1-rasmga qarang). Ushbu maqolaning maqsadi uchun biz birinchi turdagi LSA (1-toifa yoki router-LSA) bilan qiziqamiz. Unda maydonlar turi, bog'lanish holati identifikatori va reklama routeri mavjud. Ushbu uchta maydonning kombinatsiyasi faqat LSA uchun xosdir. Bog'lanish holati identifikatori qiymati havolani belgilaydi va odatda Router ID ga teng. Router identifikatori - bir xil avtonom tizimdagi marshrutizatorni aniqlaydigan 32 bitli raqam. Ushbu identifikator AS bo'ylab noyobdir. Identifikator uchun variantlardan biri yo'riqnoma IP manzillarining eng pasti. Reklama marshrutizatori maydonida LSA ni yaratgan marshrutizatorning OSPF Router identifikatori mavjud. Router-LSA uchun bu maydon bog'lanish holati identifikatori maydoni bilan bir xil (esda tutingki, bu RFCdan olingan juda muhim ma'lumotdir, bizga keyinroq kerak bo'ladi). Tartib raqami - eski LSA va dublikatlarni aniqlash uchun ishlatiladigan imzolangan 32 bitli butun son. Tartib raqami bo'shlig'i chiziqli tartiblangan va yuqoriroq tartib raqami yangi LSA yozuviga mos keladi. InitialSequenceNumber birinchi LSA e'lonini yaratishda tartib raqami (LS Sequence Number) sifatida ishlatiladi va 0x80000001 , MaxSequenceNumber esa LSA tartib raqamining maksimal qiymati bo'lib, 0x7ffffffff (imzoli butun son). Har bir yangi LSA qabul qilinganligi tasdiqlanishi kerak. Buning uchun Link State Acknowledgement (LSAck) paketlaridan foydalaniladi. Ammo bundan oldin bir nechta tekshiruvlar mavjud. Agar paketlarni yuborgan qo'shnining holati Exchange-dan past bo'lsa, LSA'lar o'chiriladi. Router ma'lumotlar bazasidan LSAni olib tashlash bir necha hollarda sodir bo'ladi. Bu toshqin paytida, marshrutizatorning o'zi yangi LSA paketini ishlab chiqaradigan yoki eskirish natijasida yozuv o'chirilgan vaziyatda yangiroq misol tomonidan qayta yozilishi mumkin. OSPF himoyasi Routerlar o'rtasida aloqa o'rnatilganda, OSPF marshrutlash jarayonida faqat ishonchli marshrutizatorlar ishtirok etishini ta'minlash uchun autentifikatsiyadan foydalanishi mumkin. OSPF paket sarlavhasi autentifikatsiya turi maydonini va tur uchun tegishli autentifikatsiya sxemasi tomonidan ishlatiladigan 64-bitli ma'lumotlar maydonini o'z ichiga oladi. Autentifikatsiya turi har bir interfeys uchun (yoki teng ravishda, har bir tarmoq/subnet) uchun o'rnatilishi mumkin. Autentifikatsiyaning uchta turi aniqlangan - 0, 1 va 2: 0 - autentifikatsiya yo'q (Null autentifikatsiya); 1 - oddiy parol; 2 - kriptografik autentifikatsiya. Kriptografik autentifikatsiya ma'lumotlarning oshkor etilishiga etarlicha chidamli hisoblanadi va faol hujumlardan ishonchli himoyani ta'minlaydi. Uni ishlatganda, har bir router uzatilgan paketga raqamli imzo (xabar dayjest) qo'shadi. Qabul qiluvchi tomon paketlarning haqiqiyligini tekshirish uchun ochiq kalitdan foydalanadi va raqamli imzo qabul qilingan OSPF paketidan. Kriptografik autentifikatsiyadagi xavfsizlik darajasi toʻliq foydalanilgan algoritm (hozirda spetsifikatsiya faqat MD5 algoritmini oʻz ichiga oladi) va foydalanilgan kalitlarning sifati bilan belgilanadi. OSPF autentifikatsiya turlarining hech biri maxfiylikni ta'minlamaydi yoki trafik tahlilini oldini oladi. qarshi kurash mexanizmi Router o'zining (o'zidan kelib chiqqan) LSA e'lonlarini olishi odatda normaldir. Ularni aniqlash uchun u LSAdagi reklama marshrutizatori maydoni Router identifikatoriga mos kelishini tekshiradi (bu boshqa muhim nuqta bu bizga yanada yordam beradi). Qabul qilingan o'z-o'zidan kelib chiqqan LSA paketi router tomonidan yaratilgan so'nggi nusxadan yangiroq bo'lsa, alohida e'tibor talab etiladi. Bunday holda, marshrutizator LSA tartib raqamini qabul qilingan reklama sonidan bitta kattaroq qilib o'rnatadi va yangi LSA paketini yaratadi. Oxir-oqibat kurashning norasmiy nomini olgan mexanizm shunday ishlaydi. Yuqorida aytilganlarning barchasini umumlashtirish uchun, OSPF protokoli xavfsizligi bilan ishlar juda yaxshi ketayotganga o'xshaydi: MD5 autentifikatsiyasi har bir kanal uchun o'rnatilishi mumkin; bitta LSA paketi tarmoq topologiyasining faqat kichik qismini o'z ichiga oladi; noma'lum qo'shnilardan LSAni tashlash; qarshi kurash mexanizmi. OSPFga ilgari ma'lum bo'lgan hujumlar OSPF protokoli uzoq vaqtdan beri u yoki bu tarzda turli xil hujumlarga duchor bo'lgan. Bu, masalan, o'zingizning soxta LSA-laringizni yuborayotgan edi - bitta yo'riqnoma ustidan nazoratni amalga oshirishda siz mavjud qo'shnining kam baholangan narxi bilan soxta LSA yaratishingiz va yuborishingiz mumkin, natijada katta miqdordagi trafik o'tadi. boshqa yo'riqnoma, bu yukni engishga qodir emas. Bunday hujum, albatta, qandaydir natijaga olib kelishi mumkin, ammo baribir ta'sir ahamiyatsiz bo'ladi. Agar siz boshqa routerdan LSA-ni soxtalashtirishga harakat qilsangiz, u holda qarshi kurash mexanizmi darhol ishlaydi va hujum tekislanadi. Shuningdek, siz avtonom tizimdan tashqarida tarmoqqa kanal olib, e'lon qilishingiz mumkin. Ammo bu holda, u AS ichidagi marshrutga ta'sir qilmaydi. Fantom router yaratilsinmi? Bundan tashqari, variant emas, chunki OSPF noma'lum qo'shnilardan kelgan LSA'larni chiqarib tashlaydi. Haqiqatan ham mudofaani yorib o'tishi mumkin bo'lgan yagona hujum LSA paketlarini doimiy va doimiy ravishda vaqti-vaqti bilan in'ektsiya qilish edi. Lekin birinchidan, bu juda shovqinli variant, ikkinchidan, uni amalga oshirish juda qiyin. Shu sababli, agar tajovuzkor marshrutizatorga kirib, egallab olgan bo'lsa ham, MD5 parollarini o'rgansa ham, u baribir butun ASga to'liq ta'sir qila olmaydi, degan fikr bor edi. Yüklə 170,33 Kb. Dostları ilə paylaş:
|