Protocole OSPF

Thomas Moegli Ing. HES Msc. Télécommunications - Réseaux et Sécurité IT

OSPF Open Shortest Path First

Thomas Moegli

๏ Protocole de routage interne (IGP) à état de liens ๏ Standard ouvert, développé au sein de l’IETF (Internet Engineering Task Force) ๏ Version actuelle : OSPFv2 (RFC : 2328) ๏ Pour IPv6 : OSPFv3 (RFC 2740)

Introduction

2

Thomas Moegli

Introduction

3

Protocoles de routage interne Protocoles de routage externe

Vecteur de distance Etat de liens Vecteur de distance

Classful RIP IGRP

EGP

Classless RIPv2 EIGRP

OSPFv2 IS-IS

BGPv4

IPv6 RIPng EIGRP for IPv6

OSPFv3 IS-IS for IPv6 BGPv4 for IPv6

Thomas Moegli

๏ Développement initié en 1987, par le groupe de l’IETF ๏ Spécification du protocole OSPFv1

๏ Initié en 1989 et publié dans la RFC 1131 ๏ 1991 : OSPFv2 (RFC 1247)

๏ Amélioration technique significative

๏ L’ISO commence à travailler en même temps sur le protocole IS-IS

๏ 1998 : Spécification OSPFv2 mise à jour (RFC 2328) ๏ 1999 : Spécification publiée d’OSPFv3 (RFC 2740)

OSPF Origines

4

Thomas Moegli

๏ Limitations de RIP ๏ Limite de 15 sauts : Impossible de communiquer avec un poste distancée de plus de 15 routeurs

๏ Pas de support VLSM ๏ Protocole de routage Classfull

๏ Transfert de l’intégralité de la table de routage aux voisins ๏ Diffusion générale

๏ Décisions de routage basées uniquement sur la distance ๏ Pas de notion de coût, délai, bande passante

๏ Pas de hiérarchie, zones permettant le regroupement et simplification des tables de routage ๏ Réseau plat

OSPF Comparatif avec protocole RIP

5

Thomas Moegli

๏ Open Shortest Path First ๏ Protocole de routage Classless (comme RIPv2, EIGRP)

๏ Support VLSM/CIDR et Route Summarization

๏ Protocole de routage à état de lien ๏ Protocole standardisé (RFC 2328) ๏ Utilisation de l’algorithme SPF (Shortest Path First) basé sur les travaux de Dijkstra ๏ Nombre de sauts illimité ๏ Métrique basé sur le coût (108 / BW) ๏ Distance administrative : 110 ๏ Découverte de voisins ๏ Support IPv6 par l’utilisation d’un protocole spécifique : OSPFv3

OSPF Fonctionnalités d’OSPF

6

Protocole OSPFFonctionnement

Thomas Moegli

๏ Chaque routeur OSPF commence par découvrir et former une adjacente avec ses voisins ๏ Envoi de paquets de type Hello sur chaque interface liée à OSPF

๏ Tous les voisins OSPF s’échangent les informations de leurs réseaux connectés entre eux (Flooding) ๏ Chaque routeur diffuse sa liste de réseaux connectées via des paquets LSA (Link-State Advertisement) ๏ A l’initialisation ou après chaque changement de topologie : génération et envoi d’un LSA (Link-State

Advertisement) ๏ A réception des LSA, le routeur met à jour sa base de donnée de topologie (LS Database)

๏ Chaque routeur calcule le coût de chaque chemin en se prenant lui-même comme point de départ ๏ Utilisation de l’algorithme SPF (Shortest Path First) basé sur l’algorithme de Dijkstra ๏ Ce calcul s’effectue pour chaque area sur laquelle le routeur est connecté ๏ Dès que le calcul est terminé, le routeur dispose d’une topologie avec un coût pour chaque chemin ๏ Le routeur injecte finalement la meilleure route pour chaque réseau dans la table de routage (RIB)

Etapes

8

Thomas Moegli

๏ La base de données de la topologie du réseau contient la liste de tous les sous-réseaux connus du routeur ainsi que l’identité du routeur permettant de faire la liaison avec les sous-réseaux

๏ Nécessite que chaque routeur doit posséder un identifiant unique global sur le sous-réseau ๏ Identifiant appelé Router-ID (RID)

Identification d’un routeur

9

Thomas Moegli

๏ Etape de sélection d’un RID OSPF : 1. Utilisation de la valeur configurée par la commande OSPF : router-id rid

2. Si pas de configuration manuelle, analyse des interfaces Loopback actifs et choix de celui ayant l’adresse la plus haute

3. Si aucune interface Loopback configurée, le routeur effectue l’analyse sur toutes les interfaces actives

๏ Le RID ne change pas, même après ajout ultérieur d’une interface Loopback ou physique ๏ Pour valider les changements, nécessité de relancer le processus OSPF via la commande

clear ip ospf process

Choix d’un Router-ID

10

Router(config-router)# router-id rid

Router# clear ip ospf process

Thomas Moegli

๏ Router-ID sélectionné : 1.2.3.4

Choix d’un Router-ID

11

R1

Loopbacks172.40.1.254/24172.40.2.254/24

S0/110.0.0.254/24

S1/0192.168.1.254/24

R1

Loopbacks172.40.1.254/24172.40.2.254/24

S0/110.0.0.254/24

S1/0192.168.1.254/24

R1(config-router)# router-id 1.2.3.4


R1 S0/110.0.0.254/24

S1/0192.168.1.254/24


Thomas Moegli

๏ Echange de messages entre routeurs pour former une adjacence ๏ Utilisation du protocole Hello avec plusieurs paramètres (Area-ID, Authentication, Intervalles Hello et Dead,

Stub Area Flag, sous-réseaux et masques, adresses du DR/BDR

๏ Passage par plusieurs étapes lors de la découverte des voisins ๏ DOWN, ATTEMPT, INIT, 2WAY, EXSTART, EXCHANGE, LOADING, FULL

Découverte des voisins

12

Thomas Moegli

๏ Deux routeurs sont voisins si : ๏ Ils résident sur le même lien réseau

๏ Ils échangent des messages Hello

๏ Deux routeurs sont adjacents si : ๏ Ils sont voisins ๏ Ils échangent entre eux des paquets LSU (Link

State Updates) et des paquets DD (Database Description)

Découverte des voisins Voisinage (Neighborship) vs Adjacence

13

Hello (224.0.0.5)

Hello (224.0.0.5)

Hello (224.0.0.5)

Hello (224.0.0.5)

Link State Update

Link State Update

Database Description

Database Description

Thomas Moegli

Découverte des voisins Formation d’une adjacence

14

R1 R2G0/1 G0/1

192.168.1.0/24

.1 .2

Hello(224.0.0.5)

Etat : DOWN Etat : DOWN

Etat : INIT Etat : INITJe reçois un Hello de R1 mais mon RouterID n’est pas dans le message Hello

Hello(224.0.0.5)Etat : 2-WAY Etat : INIT

J’ai reçu un Hello de R2 et je suis présent dans la liste comme voisin

Hello(224.0.0.5)Etat : 2-WAY Etat : 2-WAY

Je reçois un Hello de R1 et je suis présent dans la liste comme voisin

Election DR/BDR(si nécessaire)Etat : 2-WAY Etat : 2-WAY

Sélection routeur Primaire/Secondaire(utile pour l’échange entre routeurs)Etat : EXSTART Etat : EXSTART

Echange paquets Database DescriptionEtat : EXCHANGE Etat : EXCHANGE

Demande depuis un routeur de routes manquantes (via un LSR). Envoi par un LSUEtat : LOADING Etat : LOADING

Synchronisation terminéeEtat : FULL Etat : FULL

Thomas Moegli

๏ DOWN

๏ Aucun paquet Hello reçu sur cette interface ๏ Ne signifie pas que l’interface est éteinte

๏ ATTEMPT

๏ Les voisins sont configurés manuellement ๏ S’applique uniquement dans le cadre de réseaux NBMA

(NonBroadcast Multi-access) ๏ INIT

๏ Paquet Hello reçu d’un autre routeur ๏ Communication bidirectionnelle pas encore établie (information du

RID pas encore reçues) ๏ 2WAY

๏ Paquet HELLO inclut le RID du voisin reçu, communication bidirectionnelle établie

๏ Election du DR et du BDR s’effectue dans les réseaux Multi-access

Découverte des voisins Etats

15

Corp BranchHello?224.0.0.5

DOWN state

INIT state

2WAY state

Thomas Moegli

๏ EXSTART

๏ DR et BDR établissent adjacence avec les autres routeurs du réseau ๏ Relation Master-Slave (Master étant celui avec RID le plus haut) ๏ Relation établie, échange de paquets DBD (passage à l’état EXCHANGE)

๏ EXCHANGE

๏ Informations de routage échangés via paquets DBD ou DD ๏ Echange de LSR et LSUpdate (Passage à l’état LOADING)

๏ LOADING

๏ LSR envoyés au réseau pour demander un LSA manquant ou corrompu lorsque les routeurs sont à l’état EXCHANGE

๏ Routeurs répondent avec un paquet LSU qui est acquitté par un LSAck.

๏ FULL

๏ Toutes les informations LSA ont été échangés entre routeurs ๏ Routage OSPF ne fonctionne qu’à partir de cet état

Découverte des voisins

16

Corp Branch

LSDB Summary

LSAck

EXSTART state

EXCHANGE state

LOADING state

I need info on a network ?

Here is that info !

LSAck

FULL state

LSR

LSU

Seuls les états 2WAY et FULL sont considérés comme stables !

Thomas Moegli

๏ Sur les réseaux broadcast (Ethernet), si chaque routeur établit une adjacence avec ses voisins, le nombre d’adjacences serait de : . Ce nombre peut être important et la charge réseau serait excessive.

๏ Solution : Election d’un routeur DR (Designated Router) qui reçoit toutes les informations puis redistribue aux autres routeurs

๏ Les routeurs ne forment qu’une seule adjacence vers le routeur DR ๏ Un routeur DR de secours est également élu : BDR (Backup Designated Router) ๏ Les autres routeurs sont appelés DRother

๏ Utilisation d’adresses multicast pour communiquer entre DR/BDR et DROther ๏ 224.0.0.5 (AllSPFRouters) : Utilisé par le DR pour envoyer les informations à tous les autres routeurs du

segment ๏ 224.0.0.6 (AllDRouters) : Utilisé par tous les routeurs pour envoyer les LSA vers le DR et le BDR

DR et BDR

17

n n−1( )2

Thomas Moegli

DR et BDR

18

DR BDR

Sans DR/BDR15 adjacences

Avec DR/BDR9 adjacences

Thomas Moegli

๏ Le DR est élu selon les critères suivants : ๏ Si la priorité d’un routeur OSPF est définie à 0, le routeur ne peut JAMAIS devenir DR ou BDR

Commande d’interface : ip ospf priority value

๏ Chaque routeur ajoute sa valeur de priorité dans les paquets Hello qu’il échange avec ses voisins

๏ Le routeur ayant la priorité la plus élevée devient routeur DR ๏ Si deux routeurs ont même priorité, c’est celui avec le Router ID le plus haut qui est élu ๏ Généralement, le routeur avec la deuxième priorité la plus élevée devient BDR ๏ Les valeurs de priorité peuvent être définies entre 1 – 255

๏ Si un routeur OSPF est ajouté APRES que l’élection DR ait lieu (même avec une priorité plus élevée que le DR actuel), il ne devient pas DR ou BDR jusqu’à ce que le DR ou BDR actuel tombe.

Election du DR

19

Router(config-if)# ip ospf priority value

Thomas Moegli

๏ Le routeur avec la plus haute priorité devient DR

๏ Le routeur avec la seconde plus haute priorité devient BDR

๏ Par défaut, la valeur de priorité est de 1

Election du DR

20

R1

R2

R3

R4 R5Priorité : 200 Priorité : 100 Priorité : 10

Priorité : 1 Priorité : 1

Router(config-if)# ip ospf priority 200 Router(config-if)# ip ospf priority 100 Router(config-if)# ip ospf priority 10

DR BDR DRother

DRotherDRother

Thomas Moegli

๏ Si tous les routeurs ont même priorité

๏ Le routeur avec le plus haut Router ID devient DR

๏ Le routeur avec le second plus haut Router ID devient BDR

Election du DR

21

R1

R2

R3



Router(config-router)# router-id 2.2.2.2 Router(config-router)# router-id 4.4.4.4 Router(config-router)# router-id 5.5.5.5

DRBDRDRother

DRotherDRother

Router(config-router)# router-id 3.3.3.3Router(config-router)# router-id 1.1.1.1


Thomas Moegli

๏ Si un routeur est configuré avec une valeur de priorité à 0, il ne sera jamais DR ou BDR

Election du DR

22

R1

R2

R3



Router(config-router)# router-id 2.2.2.2 Router(config-router)# router-id 4.4.4.4 Router(config-router)# router-id 5.5.5.5

BDR

DRother

Router(config-router)# router-id 3.3.3.3Router(config-router)# router-id 1.1.1.1


DR DRother

DRother

Router(config-if)# ip ospf priority 0

Thomas Moegli

๏ La relation entre DR et et le BDR est à l’état FULL

๏ La relation entre DR/BDR et les autres routeurs sont à l’état 2WAY

Election du DR

23

R1

R2

R3



BDR

Priorité : 1

DR

DRother

Priorité : 1

DRother

DRother

FULL

2WAY

2WAY

2WAY

Thomas Moegli

๏ Du DR au DRother ๏ Utilisation de l’adresse

multicast 224.0.0.5

๏ Du DRother au DR ๏ Utilisation de l’adresse

multicast 224.0.0.6

Election du DR Communication entre DR et DRother

24

R1

R2

R3



BDR

Priorité : 1

DR

DRother

Priorité : 1

DRother

DRother

224.0.0.6

224.0.0

.6

224.0.0.6224.0.0.5

224.0

.0.5

224.0

.0.5

Thomas Moegli

Election du DR Vérification

25

๏ Commande : Router# show ip ospf neighbor

R2# show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface 4.4.4.4 0 FULL/ - 00:00:34 192.168.0.6 Serial0/0.2 3.3.3.3 0 FULL/ - 00:00:30 192.168.0.2 Serial0/0.1 1.1.1.1 1 FULL/DR 00:00:38 10.0.0.1 FastEthernet0/0

๏ Commande : Router# show ip ospf interface interfaceID

R2# show ip ospf interface Fa0/0 FastEthernet0/0 is up, line protocol is up Internet Address 10.0.0.2/30, Area 1 Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) 1.1.1.1, Interface address 10.0.0.1 Backup Designated router (ID) 2.2.2.2, Interface address 10.0.0.2 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:08 …

Thomas Moegli

๏ Hello Timer ๏ Le routeur envoie un message Hello sur toute interface activée pour OSPF afin de découvrir ses voisins. Le

timer spécifie l’intervalle (en secondes) entre deux messages envoyés.

๏ Dead Timer ๏ Temps (en secondes) qu’une interface activée pour OSPF attend de recevoir un message Hello de la part du

routeur adjacent avant de le déclarer mort et détruire l’adjacente ๏ La valeur Dead Time = 4 X Hello Timer

๏ Pour que deux routeurs puissent former une adjacence, les valeurs des timers doivent être identiques sur les deux routeurs.

Timers OSPF

26

Thomas Moegli

๏ Commande d’interface : ๏ Timer Hello :

๏ Le Dead Timer est automatiquement calculé depuis le Hello timer

๏ Timer Dead :

๏ Pour que deux routeurs puissent former une adjacence, les valeurs des timers doivent être identiques sur les deux routeurs.

Timers OSPF Configuration des timers

27

Router(config-if)# ip ospf hello-interval value

Router(config-if)# ip ospf dead-interval value

Thomas Moegli

Timers OSPF Vérification

28

๏ Commande :

R2# show ip ospf interface FastEthernet0/0 FastEthernet0/0 is up, line protocol is up Internet Address 10.0.0.2/30, Area 1 Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) 1.1.1.1, Interface address 10.0.0.1 Backup Designated router (ID) 2.2.2.2, Interface address 10.0.0.2 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:06

Router# show ip ospf interface interfaceID

Thomas Moegli

๏ Réseaux Point à Point ๏ Réseaux à diffusion ๏ Réseaux qui ne connaissent pas la diffusion (Non-Broadcast)

๏ Mode NBMA (Non Broadcast Multiple Access) ๏ Mode Point à Multipoint

๏ Metro Ethernet

Types de réseaux OSPF

29

Thomas Moegli

๏ Liaison série qui relie deux routeurs ๏ Pas de DR/BDR ๏ Timers : Hello = 10, Dead = 40 ๏ Utilisation de l’adresse multicast comme adresse de destination

๏ Excepté pour les LSA retransmis qui sont émis avec l’adresse unicast de l’émetteur

๏ Inutile de configurer manuellement les voisins

Types de réseaux OSPF Réseaux Point à Point

30

Thomas Moegli

๏ Réseaux Ethernet, Token Ring, FDDI ๏ Election d’un DR/BDR ๏ Timers : Hello = 10, Dead = 40 ๏ Inutile de configurer manuellement les voisins

Types de réseaux OSPF Réseaux à diffusion

31

Thomas Moegli

Frame-Relay

๏ Réseaux X.25, Frame Relay, ATM ๏ Pas de possibilité de diffusion, la découverte des voisins

nécessite une configuration supplémentaire ๏ DR/BDR configuré statiquement

๏ Les réseaux NBMA, par leur définition, ne supportent pas le multicast (impossible d’élection DR/BDR dynamique)

๏ Les autres routeurs devraient être configurés avec une priorité OSPF à 0.

๏ Configuration manuelle des voisins avec la commande neighbor

๏ Timers : Hello = 30, Dead = 120 ๏ Multicast non supporté, l’ensemble des paquets OSPF est émis

vers des adresses unicast ๏ Mot-clé utilisé pour désigner ce mode dans la configuration :

non-broadcast

Types de réseaux OSPF Mode Non Broadcast Multiple Access (NBMA)

32

Thomas Moegli

๏ Réseaux sans diffusion ayant fait l’objet d’une configuration particulière dont il résulte un comportement identique à celui d’une collection de réseaux point-à-point.

๏ Possibilité d’envoyer les paquets OSPF sur l’adresse multicast 224.0.0.5

๏ Timers : Hello = 30, Dead = 120 ๏ Pas de DR/BDR (similaire aux réseaux Point-to-

Point) ๏ Inutile de configurer manuellement les voisins

Types de réseaux OSPF Mode Point à Multipoint

33

Frame-Relay

Thomas Moegli

Types de réseaux OSPF Résumé

34

Type de réseau Election d’un DR/BDR Topologie préférée Intervalle Hello par défautUtilisation de la commande

neighbor

Broadcast Oui, automatique Full ou Partial Mesh 10 secondes Non

Point-to-Point Non Partial Mesh ou étoile, via des sous-interfaces

10 secondes Non

Non Broadcast (NBMA) Oui, manuel Full ou Partial Mesh 30 secondes Oui

Point-to-Multipoint Non Partial Mesh ou étoile 30 secondes Non

๏ Réseaux Broadcast : type par défaut pour les réseaux Ethernet ๏ Réseaux Point-to-Point : type par défaut pour les réseaux Frame Relay Point-to-Point avec subinterfaces. ๏ Réseaux NBMA : type par défaut pour les réseaux Frame Relay avec subinterfaces multipoints ou interfaces physiques FR.

Thomas Moegli

๏ Initialement, Ethernet est restreint aux réseaux LAN (limite de distance) ๏ L’utilisation de fibre optique permet de supporter de plus longues distances ๏ Les Service Provider permettent d’utiliser Ethernet pour les réseaux WAN

Types de réseaux OSPF Metro Ethernet

35

R2Gig0/0

R1 SP1 SP2Gig0/0

Réseau Service Providerutilise n’importe quel technologie

Ethernet Switch Ethernet SwitchCustomer Premises Equipment (CPE)

Customer Premises Equipment (CPE)

Lien d’accès(Gigabit Ethernet via

fibre optique)


fibre optique)

Thomas Moegli

๏ Support de hautes vitesses jusqu’à 100 Mbps ou 1 Gbps (Frame Relay est limité jusqu’à 44 Mbps) ๏ Le client utilise des interfaces Ethernet au lieu de liens série

Types de réseaux OSPF Metro Ethernet

36

R2Gig0/0

R1 SP1 SP2Gig0/0

Réseau Service Providerutilise n’importe quel technologie

Ethernet Switch Ethernet SwitchCustomer Premises Equipment (CPE)

Customer Premises Equipment (CPE)


fibre optique)


fibre optique)

Thomas Moegli

๏ ME 3400, ME 3800 X, ME 4900

Types de réseaux OSPF Metro Ethernet : Switchs

37

Thomas Moegli

๏ Commande :

Types de réseaux OSPF Vérification

38

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

R2# show ip ospf interface Serial0/0.2 is up, line protocol is up Internet Address 192.168.0.5/30, Area 0 Process ID 1, Router ID 2.2.2.2, Network Type POINT_TO_POINT, Cost: 64 Enabled by interface config, including secondary ip addresses Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:07 … FastEthernet0/0 is up, line protocol is up Internet Address 10.0.0.2/30, Area 1 Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) 1.1.1.1, Interface address 10.0.0.1 Backup Designated router (ID) 2.2.2.2, Interface address 10.0.0.2 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:06

Router# show ip ospf interface interfaceID

Thomas Moegli

๏ Commande d’interface :

Types de réseaux OSPF Changement de type

39

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

Router(config-if)# ip ospf network ? broadcast Specify OSPF broadcast multi-access network non-broadcast Specify OSPF NBMA network point-to-multipoint Specify OSPF point-to-multipoint network point-to-point Specify OSPF point-to-point network

Il est recommandé de configurer également l’interface du voisin avec le même type

Thomas Moegli

๏ Deux routeurs peuvent former une adjacence même si leurs types de réseaux diffèrent

๏ Toutefois, même adjacents, ils ne s’échangeront pas d’informations de routage

๏ Exemple : ๏ Sur R2, on configure le type de réseau sur Non Broadcast :

๏ Commande : ๏ Le timer Hello est automatiquement configuré à 30s

๏ L’interface de R3 étant configuré sur Point-to-Point, le timer Hello est sur 10s ๏ L’adjacence ne peut plus se former

๏ Sur l’interface S0/0.1 de R3, on modifie de la valeur du timer Hello : ๏ Commande :

Types de réseaux OSPF Adjacence entre routeurs

40

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

R2(config)# ip ospf network non-broadcast

R3(config-if)# ip ospf hello-interval 30

Thomas Moegli

๏ On remarque que les routeurs R2 et R3 forment à nouveau une adjacence :

๏ Toutefois, R3 ne dispose pas d’informations de l’area 1 fournie normalement par R2 :

๏ Les informations sont apprises par R4, ce qui signifie que le chemin pour rejoindre le réseau 192.168.1.0/24 et 10.0.0.0/30 transitent par R4 et non directement par R2

๏ Autrement dit, R2 n’envoie plus d’informations OSPF directement à R3 à cause de l’incompatibilité du type de réseau.


41

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

*Mar 1 00:45:50.647: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial0/0.1 from LOADING to FULL, Loading Done

R3# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets O IA 1.1.1.1 [110/139] via 192.168.0.10, 00:45:12, Serial0/0.2 2.0.0.0/32 is subnetted, 1 subnets O IA 2.2.2.2 [110/129] via 192.168.0.10, 00:45:12, Serial0/0.2 3.0.0.0/32 is subnetted, 1 subnets C 3.3.3.3 is directly connected, Loopback0 4.0.0.0/32 is subnetted, 1 subnets …

Thomas Moegli

๏ En corrigeant le type de réseau sur R2 :

๏ Après établissement de l’adjacence avec R3 : ๏ Les routes sont directement apprises par R2


42

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304



1.0.0.0/32 is subnetted, 1 subnets O IA 1.1.1.1 [110/75] via 192.168.0.1, 00:03:16, Serial0/0.1 2.0.0.0/32 is subnetted, 1 subnets O IA 2.2.2.2 [110/65] via 192.168.0.1, 00:03:16, Serial0/0.1 3.0.0.0/32 is subnetted, 1 subnets C 3.3.3.3 is directly connected, Loopback0 4.0.0.0/32 is subnetted, 1 subnets …

R2(config)# ip ospf network non-broadcast

Thomas Moegli

๏ OSPF utilise trois bases de données pour son exécution et son utilisation ๏ Adjacency DB

Contient tous les voisins que le routeur connaît, indépendamment de leur état ๏ Link-State DB

Contient toutes les informations des états de liens (LSA) reçus de tous les routeurs dans le réseau. Tous les routeurs ayant convergé ont la même base de données.

๏ Forwarding DB aussi appelé table de routage

Bases de données OSPF

43

Link-StateDB

AdjacencyDB

ForwardingDB

Thomas Moegli

๏ Chaque routeur transfère ses LSA entre ses routeurs adjacents

๏ Tous les LSA d’un routeur forment la LSDB

Bases de données OSPF LSA et LSDB

44

LSA

LSA LSA

LSDB

LSDB

LSDB

Thomas Moegli


45

LSA Entrée présente dans la LSDB ?

N° de séquence différente ? Ignorer la LSA

N° de séquence plus élevé ? Aller à l’étape A

Envoi d’un LSU avec les nouvelles informations à la

source

FIN

Etape A Ajout à la LSDB

Envoi d’un LSAck

Envoi massif de LSA

Calcul SPF et calcul d’une nouvelle table

de routage

FIN

Oui

Oui

Non

Oui

Non

Non

Thomas Moegli

๏ Caractéristiques des LSA ๏ Chaque LSA possède une durée de vie indiquée dans le champ Age du paquet LSA

๏ Par défaut, chaque LSA OSPF n’est valide que pour 30 minutes

๏ Si la LSA expire, le routeur ayant créé cette LSA renvoie celle-ci et incrémente le numéro de séquence


46

Thomas Moegli

๏ Algorithme Short Path First (SPF Dijkstra) utilisé pour calculer et créer la topologie ๏ Se fait sur chaque routeur OSPF ๏ Calcul effectué deux fois

๏ Création de la topologie avec la réception des LSA provenant des voisins

๏ Calcul du meilleur chemin pour chaque route

๏ Attention à la mémoire et à la charge processeur si le réseau est vaste ๏ Solution : Création de zones pour diviser le réseau (Areas OSPF) ๏ Un routeur possède une base de donnée par area directement connectée

Bases de données OSPF

47

Thomas Moegli

(1) Topologie réseau

Algorithme SPF

48

R1 R2

R3

R4

LSA R1

LSA R4

LSA R3

LSA R2

LSDB

(2) LSDB de chaque routeur

R1 R2

R3

R4

1

2 5

3

(3) Arbre avec poids crée à l’aide de la LSDB

R1 R2

R3

R4

1

2

3

R1 R2

R3

R4

1

2

3

R1 R2

R3

R4

1

2

3

R1 R2

R3

R4

1

2

3

(4) Chaque routeur calcule son SPF en se prenant comme nœud racine

Thomas Moegli

Distance administrative

49

Type de route Valeur

Connected 0

Static 1

BGP (Routes externes) 20

EIGRP (Routes internes) 90

IGRP 100

OSPF 110

IS-IS 115

RIP 120

EIGRP (Routes externes) 170

BGP (Routes internes) 200

Unusable 255

Thomas Moegli

๏ Calcul dérivé de la bande passante ๏ Liens série 64kbps = 1562 ๏ Liens E1 (2.048Mbps) = 48 ๏ Ethernet = 10 ๏ FastEthernet, GigabitEthernet = 1

๏ Problème pour différencier les liens FastEthernet et GigabitEthernet ๏ Solutions

๏ Ajuster la bande passante de l’interface : Commande d’interface bandwidth

๏ Configurer statiquement le coût : Commande d’interface ip ospf cost

๏ Modifier la valeur de référence (108 par défaut ) : Commande de routage : ip ospf cost

Métrique OSPF

50

Métrique =

108

Bandwidth[bits / s]

Router(config-if)# bandwidth value

Router(config-if)# ip ospf cost value

Router(config-router)# default-metric value

Thomas Moegli

๏ Mises à jour incrémentielles ๏ Envoi périodique de paquets Hello toutes les 10 secondes

(Dead - 40 sec) ๏ Convergence rapide (40 sec)

Convergence OSPF

51

R5

R1

R2

R3R4

Protocole OSPFHiérarchie

Thomas Moegli

๏ Une Area est un groupe logique de routeurs ๏ Au sein d’une area, tous les routeurs maintiennent la même base de données ๏ Tout changement de topologie impacte tous les routeurs de l’area

๏ Permet de minimiser la base de données de chaque routeur

Areas OSPF

53

Thomas Moegli

๏ OSPF est un protocole de routage hiérarchique ๏ Au sein de chaque area, les routeurs connaissent la topologie complète ๏ Pour limiter la charge de chaque routeur, on peut limiter la portée de la topologie en la confinant dans

des zones appelés Area ๏ Les routeurs d’une area donnée ne connaissent que la topologie de leur area ๏ Pour transmettre des informations entre areas, c’est le rôle des routeurs de bordure (appelés ABR) ๏ Ces routeurs peuvent effectuer un résumé des routes (Summarisation)

Area OSPF

54

Thomas Moegli

๏ Emplacement d’un routeur : au sein d’une area, entre deux areas, en bordure d’AS ๏ Catégories

๏ Internal Router (IR) ๏ Backbone Router (BR) ๏ Area Border Router (ABR) ๏ Autonomous System Boundary Router (ASBR)

Area OSPF

55

Thomas Moegli

Area OSPF

56

Area #0

Area #13

Area #2

Lien vers un autre Autonomous System

Internal Router (IR)

Internal Router (IR)

Backbone Router (BR)

Area Border Router (ABR)

Autonomous System Border Router (ASBR)

Thomas Moegli

Terminologie OSPF

57

Terme Description

Area Border Router (ABR) Routeur OSPF avec interfaces connectées sur l’area Backbone et sur au moins une autre area

Backbone Router (BR) Routeur dans l’area Backbone

Internal Router (IR) Routeur dans une area non-Backbone

Area Ensemble de routeurs et liens partageant la même LSDB

Backbone Area (BA) Area spéciale auquel toutes les autres areas doivent être connectées Numéro d’area : 0

Intra-area Route Route vers un sous-réseau situé dans l’area du routeur

Inter-area Route Route vers un sous-réseau situé dans une area hors du routeur

Thomas Moegli

Réseau Single-Area

Areas OSPF

58

Area 0Area 2

Area 0

Area 1

Réseau Multi-Area

Thomas Moegli

๏ Les routeurs internes dans une zone ne doivent connaître que la LS Database de leur zone ๏ Réduction de la charge mémoire

๏ Les routeurs ne doivent recalculer leur LS Database que si un changement de topologie intervient dans leur zone

๏ Charge CPU pour exécuter l’algorithme SPF réduit ๏ Temps de convergence augmenté ๏ Moins d’annonces circulent sur le réseau (Charge réduite de la bande passante)

Avantage des areas OSPF

59

Thomas Moegli

๏ OSPF nécessite au minimum une area (Backbone Area) avec comme numéro d’area 0

๏ Toutes les autres areas doivent être connectés à l’area Backbone

๏ Routeur connecté sur les deux zones ou Lien virtuel (Virtual Link)

๏ L’area 0 ne peut être scindée en plusieurs parties

Design Areas OSPF Règles

60

Area 20

Area 10

Area 30Area 0

Thomas Moegli

๏ Toutes les zones doivent être connectées sur l’Area 0

๏ Utiliser un Lien virtuel si le routeur n’est pas physiquement connecté

๏ Les deux extrémités d’un lien virtuel sont des ABR ๏ Pratique déconseillée par Cisco

Lien virtuel

61

Area 3

Area 2

Area 1

Area 0Backbone

Virtual Link

Area Border Router

Protocole OSPFConfiguration

Thomas Moegli

Etapes de configuration

๏ Configuration des interfaces (Adressage IP et activation) via la commande d’interface ip address ip-address subnet-mask

๏ (Opt.) Définir une route par défautip route 0.0.0.0 0.0.0.0 ip_next_hop

๏ Création d’un processus OSPF (≠ Area)router ospf id_process

๏ (Opt.) Définir la priorité du routeur (élection DR)ip ospf priority value

๏ Annonce des routes pour le routage OSPFnetwork ip-adress wildcard-mask area area-id

Configuration OSPF

63

๏ (Opt.) Configurer le Router-IDrouter-id id-value

๏ (Opt.) Configurer les interfaces passivespassive-interface interface-id

๏ (Opt.) Propager sur le réseau OSPF la route par défautdefault-information originate

๏ (Opt.) Configurer la bande passante de référence pour les calculs de métriqueauto-cost reference-bandwidth valeur-

Router(config-if)# ip address ip-address subnet-mask

Router(config)# ip route 0.0.0.0 0.0.0.0 ip-next-hop

Router(config)# router ospf idProcess

Router(config-router)# ip ospf priority value

Router(config-router)# network ip-adress wildcard-mask area area-id

Router(config-router)# router-id idValue

Router(config-router)# passive-interface interface-id

Router(config-router)# default-information originate

Router(config-router)# auto-cost reference-bandwidth valeur-kbps

Thomas Moegli

Exemple de configuration Single Area

64

Area 0

ISP

F1/0

172.16.10.0/30172.16.10.4/30

172.16.10.8/30

.1

.2 .5

.6

.9 .10

10.10.10

.0/24

.1

F0/0 F0/1

F0/0 F0/1

F0/0F0/1192.168.101.0/24192.168.102.0/24

192.168.203.0/24192.168.204.0/24

192.168.205.0/24192.168.206.0/24

R1

R3

R2

Thomas Moegli

Configuration pour R1


65

R1# config t R1(config)# interface FastEthernet0/0 R1(config-if)# ip add 172.16.10.1 255.255.255.252 R1(config-if)# no shutdown R1(config-if)# interface FastEthernet0/1 R1(config-if)# ip add 172.16.10.9 255.255.255.252 R1(config-if)# no shutdown

R1(config-if)# int Lo1 R1(config-if)# ip add 192.168.101.1 255.255.255.0 R1(config-if)# int Lo2 R1(config-if)# ip add 192.168.102.1 255.255.255.0

Thomas Moegli

Configuration OSPF pour R1


66

! Configuration OSPF R1(config)# router ospf 1 R1(config-router)# router-id 1.1.1.1

R1(config-router)# network 172.16.10.0 0.0.0.3 area 0 R1(config-router)# network 172.16.10.8 0.0.0.3 area 0 R1(config-router)# network 192.168.101.0 0.0.0.255 area 0 R1(config-router)# network 192.168.102.0 0.0.0.255 area 0

Thomas Moegli



67

R2# config t R2(config)# interface FastEthernet0/0 R2(config-if)# ip add 172.16.10.10 255.255.255.252 R2(config-if)# no shutdown R2(config-if)# interface FastEthernet0/1 R2(config-if)# ip add 172.16.10.6 255.255.255.252 R2(config-if)# no shutdown


Thomas Moegli



68



Thomas Moegli



69

R3# config t R3(config)# interface FastEthernet0/0 R3(config-if)# ip add 172.16.10.2 255.255.255.252 R3(config-if)# no shutdown R3(config-if)# interface FastEthernet0/1 R3(config-if)# ip add 172.16.10.5 255.255.255.252 R3(config-if)# no shutdown R3(config-if)# interface FastEthernet1/0 R3(config-if)# ip add 10.10.10.1 255.255.255.0 R3(config-if)# no shutdown


! Configuration d’une route par défaut vers ISP R3(config)# ip route 0.0.0.0 0.0.0.0 Fa0/1

Thomas Moegli



70



! Propagation de la route par défaut dans OSPF R3(config)# router ospf 1 R3(config)# default-information originate

Thomas Moegli

๏ Topologie d’exemple

Exemple de configuration Multi-Area basique

71

Area 1Area 0

Area 2

Geneve

Berne

g0/0

g0/1Corp

s0/1

s0/0

10.10.11.0/24

10.10.10.0/2410.10.20.0/2410.10.30.0/24

10.10.40.0/2410.10.50.0/24172.16.10.4/30

172.16.10.0/30.2

.6

Thomas Moegli

Exemple de configuration Multi-Area basique

72

Corp# config t Corp(config)# router ospf 1 Corp(config-router)# router-id 1.1.1.1 Corp(config-router)# network 10.10.0.0 0.0.255.255 area 0 Corp(config-router)# network 172.16.10.0 0.0.0.3 area 1 Corp(config-router)# network 172.16.10.4 0.0.0.3 area 2

SF(config)# router ospf 1SF(config-router)# network 10.10.0.0 0.0.255.255 area 1 SF(config-router)# network 172.16.0.0 0.0.255.255 area 1

NY(config)# router ospf 1NY(config-router)# network 0.0.0.0 255.255.255.255 area 2 00:01:07: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Serial0/0/0 from LOADING to FULL, Loading Done

Thomas Moegli

Vérification et Troubleshooting

73

Commande Résultat et utilité show ip ospf neighbor Vérifie le status des interfaces OSPF

show ip ospf interface Affiche les informations liées à OSPF sur une interface active

show ip protocols Vérifie les process ID d’OSPF et si celui-ci est actif sur le routeur

show ip route Vérifice la table de routage, affiche les routes OSPF injectées

show ip ospf database Affiche un résumé des LSA de la base de donnée

Thomas Moegli


Commande show ip neighbor

74

Corp# sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 172.16.10.2 0 FULL/ - 00:00:34 172.16.10.2 Serial0/0/0 172.16.10.6 0 FULL/ - 00:00:31 172.16.10.6 Serial0/0/1

SF# sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 1.1.1.1 0 FULL/ - 00:00:39 172.16.10.1 Serial0/0/0

NY# sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 1.1.1.1 0 FULL/ - 00:00:34 172.16.10.5 Serial0/0/0

Thomas Moegli


Commande show ip ospf

75

Corp# sh ip ospf Routing Process "ospf 1" with ID 1.1.1.1 Supports only single TOS(TOS0) routes Supports opaque LSA It is an area border router SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs Number of external LSA 0. Checksum Sum 0x000000 Number of opaque AS LSA 0. Checksum Sum 0x000000 Number of DCbitless external and opaque AS LSA 0 Number of DoNotAge external and opaque AS LSA 0 Number of areas in this router is 3. 3 normal 0 stub 0 nssa External flood list length 0 Area BACKBONE(0) Number of interfaces in this area is 2 Area has no authentication SPF algorithm executed 19 times Area ranges are Number of LSA 7. Checksum Sum 0x0384d5 Number of opaque link LSA 0. Checksum Sum 0x000000 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Area 1 Number of interfaces in this area is 1 Area has no authentication SPF algorithm executed 43 times Area ranges are Number of LSA 7. Checksum Sum 0x0435f8 Number of opaque link LSA 0 Checksum Sum 0x000000 Number of DCbitless LSA 0 …

… Area 2 Number of interfaces in this area is 1 Area has no authentication SPF algorithm executed 38 times Area ranges are Number of LSA 7. Checksum Sum 0x0319ed Number of opaque link LSA 0 Checksum Sum 0x000000 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0

Thomas Moegli

๏ Hypothèses ๏ Les adresses IP sont configurées et activées ๏ La configuration Frame-Relay est effectuée

Autre exemple de configuration Multi-Area basique

76

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

! Configuration sur R1 R1(config)# router ospf 1 R1(config-router)# network 192.168.1.0 0.0.0.255 R1(config-router)# network 192.168.1.0 0.0.0.255 area 1 R1(config-router)# network 10.0.0.0 0.0.0.3 area 1 R1(config-router)# network 1.1.1.1 0.0.0.0 area 1

! Configuration sur R2 R2(config)# router ospf 1 R2(config-router)# network 2.2.2.2 0.0.0.0 area 1 R2(config-router)# network 10.0.0.0 0.0.0.3 area 1 R2(config-router)# network 192.168.0.0 0.0.0.3 area 0 R2(config-router)# *Mar 1 00:41:02.919: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on FastEthernet0/0 from LOADING to FULL, Loading Done

! Autre méthode pour annoncer les réseaux R2(config-router)# int S0/0.2 R2(config-subif)# ip ospf 1 area 0

Thomas Moegli


77

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

! Configuration sur R3 - Ici, toutes les interfaces sont sur l’area 0, il est donc possible d’assigner tous les réseaux par un masque générique R3(config)# router ospf 1 R3(config-router)# network 0.0.0.0 255.255.255.255 area 0 R3(config-router)# end *Mar 1 00:45:49.367: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial0/0.1 from LOADING to FULL, Loading Done

! Configuration sur R4 R4(config)# router ospf 1 R4(config-router)# network 0.0.0.0 255.255.255.255 area 0 R4(config-router)# end *Mar 1 00:45:08.147: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0.2 from LOADING to FULL, Loading Done *Mar 1 00:45:08.451: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial0/0.1 from LOADING to FULL, Loading Done

Thomas Moegli


78

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304



1.0.0.0/32 is subnetted, 1 subnets O IA 1.1.1.1 [110/75] via 192.168.0.5, 00:01:48, Serial0/0.1 2.0.0.0/32 is subnetted, 1 subnets O IA 2.2.2.2 [110/65] via 192.168.0.5, 00:01:48, Serial0/0.1 3.0.0.0/32 is subnetted, 1 subnets O 3.3.3.3 [110/65] via 192.168.0.9, 00:01:48, Serial0/0.2 4.0.0.0/32 is subnetted, 1 subnets C 4.4.4.4 is directly connected, Loopback0 172.168.0.0/24 is subnetted, 1 subnets C 172.168.2.0 is directly connected, FastEthernet0/0 172.16.0.0/24 is subnetted, 1 subnets O 172.16.1.0 [110/74] via 192.168.0.9, 00:01:49, Serial0/0.2 10.0.0.0/30 is subnetted, 1 subnets O IA 10.0.0.0 [110/74] via 192.168.0.5, 00:01:51, Serial0/0.1 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.8 is directly connected, Serial0/0.2 O 192.168.0.0 [110/128] via 192.168.0.9, 00:01:51, Serial0/0.2 [110/128] via 192.168.0.5, 00:01:51, Serial0/0.1 C 192.168.0.4 is directly connected, Serial0/0.1 O IA 192.168.1.0/24 [110/84] via 192.168.0.5, 00:01:51, Serial0/0.1

Le sigle IA indique que la route se situe dans une area différente

Thomas Moegli

๏ Commande : ๏ Affiche les interfaces qui participent au protocole OSPF ๏ PID : Process ID

Autre exemple de configuration Multi-Area basique : Vérification

79

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

R2# show ip ospf interface brief Interface PID Area IP Address/Mask Cost State Nbrs F/C Se0/0.2 1 0 192.168.0.5/30 64 P2P 1/1 Se0/0.1 1 0 192.168.0.1/30 64 P2P 1/1 Fa0/0 1 1 10.0.0.2/30 10 BDR 1/1 Lo0 1 1 2.2.2.2/32 1 LOOP 0/0

Router# show ip ospf interface brief

Thomas Moegli

๏ Commande : ๏ Affiche le détail des protocoles de routage actifs


80

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

R2# show ip protocols Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 2.2.2.2 It is an area border router Number of areas in this router is 2. 2 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 2.2.2.2 0.0.0.0 area 1 10.0.0.0 0.0.0.3 area 1 192.168.0.0 0.0.0.3 area 0 Routing on Interfaces Configured Explicitly (Area 0): Serial0/0.2 Reference bandwidth unit is 100 mbps Routing Information Sources: Gateway Distance Last Update 4.4.4.4 110 00:24:32 3.3.3.3 110 00:26:55 1.1.1.1 110 00:40:15 Distance: (default is 110)

Router# show ip protocols

Thomas Moegli

๏ Commande : ๏ Affiche la liste des voisins connectés avec le routeur


81

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304


Neighbor ID Pri State Dead Time Address Interface 4.4.4.4 0 FULL/ - 00:00:39 192.168.0.6 Serial0/0.2 3.3.3.3 0 FULL/ - 00:00:34 192.168.0.2 Serial0/0.1 1.1.1.1 1 FULL/DR 00:00:39 10.0.0.1 FastEthernet0/0

Router# show ip ospf neighbor

Thomas Moegli

๏ Commande : ๏ Affiche la base de données OSPF (liste des LSA)


82

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

R2# show ip ospf database

OSPF Router with ID (2.2.2.2) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count 2.2.2.2 2.2.2.2 83 0x80000005 0x00C862 4 3.3.3.3 3.3.3.3 276 0x80000003 0x002DFE 6 4.4.4.4 4.4.4.4 112 0x80000003 0x004A37 6

Summary Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum 1.1.1.1 2.2.2.2 1095 0x80000002 0x008B99 2.2.2.2 2.2.2.2 1095 0x80000002 0x00F832 10.0.0.0 2.2.2.2 1095 0x80000002 0x001B08 192.168.1.0 2.2.2.2 1095 0x80000002 0x00575E

Router Link States (Area 1)

Link ID ADV Router Age Seq# Checksum Link count 1.1.1.1 1.1.1.1 1106 0x80000005 0x00E687 3 2.2.2.2 2.2.2.2 1095 0x80000005 0x00FDE6 2

Net Link States (Area 1)

Link ID ADV Router Age Seq# Checksum

Router# show ip ospf database

Thomas Moegli

๏ Comme sous EIGRP, OSPF permet de configurer une interface pour qu’elle ne forme aucune relation de voisinage sur celle-ci

๏ Le réseau connecté sur cette interface peut être toujours annoncé dans OSPF mais l’interface ne permet pas de se connecter à d’autres routeurs OSPF pour former une adjacence.

๏ Commande de configuration de routage :

Interfaces passives

83

Router(config-router)# passive-interface interfaceID

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

OSPF OSPF

OSPF

R1(config)# router ospf 1 R1(config-router)# passive-interface Fa0/0



Thomas Moegli

๏ Une approche plus sécurisée est de placer toutes les interfaces en mode passive et de ne rendre actif que les interfaces nécessaires

๏ Commande : ๏ Désactiver toutes les interfaces :

๏ Annuler la commande pour certaines interfaces spécifiques :

Interfaces passives

8484

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

OSPF OSPF

OSPF

Router(config-router)# passive-interface default

Router(config-router)# no passive-interface interfaceID

Thomas Moegli

๏ Commande de vérification :

Interfaces passives Vérification

85

Router# show ip protocols

192.168.1.0/24

Lo0

1.1.1.1/32

Lo0

4.4.4.4/32Lo0

3.3.3.3/32

Lo0

2.2.2.2/32

R1

FR

Fa0/0

R3 R4

S0/0.1 S0/0.2

S0/0.1S0/0.1

S0/0.2 S0/0.2

R2

Fa0/0

192.168.0.4/30192.168.0.0/30

10.0.0.0/30

.5

.6

.1

.2

192.168.0.8/30

.10.9

.2

.1

Fa0/0 .1

172.16.2.0/24

Fa0/0 .1

172.16.1.0/24

Fa0/1

.1

Area 1

Area 0

DLCI :302

DLCI :203

DLCI :204

DLCI :402

DLCI :403

DLCI :304

OSPF OSPF

OSPF

R1# show ip protocols Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 1.1.1.1 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 1.1.1.1 0.0.0.0 area 1 10.0.0.0 0.0.0.3 area 1 192.168.1.0 0.0.0.255 area 1 Reference bandwidth unit is 100 mbps Passive Interface(s): FastEthernet0/1 Routing Information Sources: Gateway Distance Last Update 2.2.2.2 110 00:00:17 Distance: (default is 110)

Thomas Moegli

R2S2/0

S2/1.2 .2

10.23.0.0/2410.12.

0.0/24

OSPFArea 10

OSPFArea 0

OSPFArea 20

Loopbacks172.10.1.0/24172.10.2.0/24172.10.3.0/24172.10.4.0/24

R1

S2/0.1

Loopbacks172.30.1.0/24172.30.2.0/24172.30.3.0/24172.30.4.0/24

R3

S2/1.3

ABRVirtual Link

Lien-virtuel Configuration initiale

86

R1(config)# router ospf 100 R1(config-router)# router-id 1.1.1.1 R1(config-router)# network 172.10.0.0 0.0.255.255 area 20 R1(config-router)# network 10.0.12.0 0.0.0.255 area 10



Thomas Moegli

R2S2/0

S2/1.2 .2

10.23.0.0/2410.12.

0.0/24

OSPFArea 10

OSPFArea 0

OSPFArea 20

Loopbacks172.10.1.0/24172.10.2.0/24172.10.3.0/24172.10.4.0/24

R1

S2/0.1

Loopbacks172.30.1.0/24172.30.2.0/24172.30.3.0/24172.30.4.0/24

R3

S2/1.3

ABRVirtual Link

๏ On remarque que R2 n’apprend pas les routes de R1


87

R2# show ip route ospf …


172.30.0.0/32 is subnetted, 4 subnets O IA 172.30.1.254 [110/65] via 10.0.23.3, 00:01:15, Serial2/1 O IA 172.30.2.254 [110/65] via 10.0.23.3, 00:01:15, Serial2/1 O IA 172.30.3.254 [110/65] via 10.0.23.3, 00:01:15, Serial2/1 O IA 172.30.4.254 [110/65] via 10.0.23.3, 00:01:15, Serial2/1

Thomas Moegli

R2S2/0

S2/1.2 .2

10.23.0.0/2410.12.

0.0/24

OSPFArea 10

OSPFArea 0

OSPFArea 20

Loopbacks172.10.1.0/24172.10.2.0/24172.10.3.0/24172.10.4.0/24

R1

S2/0.1

Loopbacks172.30.1.0/24172.30.2.0/24172.30.3.0/24172.30.4.0/24

R3

S2/1.3

ABRVirtual Link

๏ Configuration du lien virtuel


88

R1(config)# router ospf 100 R1(config-router)# area 10 virtual-link 3.3.3.3 *Jan 17 22:15:21.731: %OSPF-5-ADJCHG: Process 100, Nbr 3.3.3.3 on OSPF_VL0 from LOADING to FULL, Loading Done

R3(config)# router ospf 100 R3(config-router)# area 10 virtual-link 1.1.1.1 *Jan 17 22:15:21.739: %OSPF-5-ADJCHG: Process 100, Nbr 1.1.1.1 on OSPF_VL0 from LOADING to FULL, Loading Done

Thomas Moegli

R2S2/0

S2/1.2 .2

10.23.0.0/2410.12.

0.0/24

OSPFArea 10

OSPFArea 0

OSPFArea 20

Loopbacks172.10.1.0/24172.10.2.0/24172.10.3.0/24172.10.4.0/24

R1

S2/0.1

Loopbacks172.30.1.0/24172.30.2.0/24172.30.3.0/24172.30.4.0/24

R3

S2/1.3

ABRVirtual Link

๏ Une fois le lien virtuel établi, les routes sont envoyés à R2


89


Neighbor ID Pri State Dead Time Address Interface 3.3.3.3 0 FULL/ - - 10.0.23.3 OSPF_VL0 2.2.2.2 0 FULL/ - 00:00:32 10.0.12.2 Serial2/0

R2# show ip route ospf … 172.10.0.0/32 is subnetted, 4 subnets O IA 172.10.1.254 [110/65] via 10.0.12.1, 00:02:03, Serial2/0 O IA 172.10.2.254 [110/65] via 10.0.12.1, 00:02:03, Serial2/0 O IA 172.10.3.254 [110/65] via 10.0.12.1, 00:02:03, Serial2/0 O IA 172.10.4.254 [110/65] via 10.0.12.1, 00:02:03, Serial2/0 172.30.0.0/32 is subnetted, 4 subnets O IA 172.30.1.254 [110/65] via 10.0.23.3, 00:11:18, Serial2/1 O IA 172.30.2.254 [110/65] via 10.0.23.3, 00:11:18, Serial2/1 O IA 172.30.3.254 [110/65] via 10.0.23.3, 00:11:18, Serial2/1 O IA 172.30.4.254 [110/65] via 10.0.23.3, 00:11:18, Serial2/1

Thomas Moegli

๏ Les routes OSPF doivent être résumées sur les routeurs ABR

OSPF Résumé de routes

90

R1

R2

R3

S2/0.1

S2/0

S2/1

S2/1

.2 .2

.3

10.23.0.0/2410.12.

0.0/24

Loopbacks192.168.0.0/24192.168.1.0/24192.168.2.0/24192.168.3.0/24

OSPFArea 10

OSPFArea 0

192.168.0.0/24192.168.1.0/24192.168.2.0/24192.168.3.0/24

192.168.0.0/22ABR

R2(config)# router ospf 10 R2(config-router)# area 10 192.168.0.0 255.255.252.0

Thomas Moegli

๏ Les routes externes doivent être résumées sur les routeurs ASBR

OSPF Résumé de routes

91

R1

R2

R3

S2/0.1

S2/0

S2/1

S2/1

.2 .2

.3

10.23.0.0/2410.12.

0.0/24

Loopbacks192.168.0.0/24192.168.1.0/24192.168.2.0/24192.168.3.0/24

OSPFArea 10

OSPFArea 0

172.30.0.0/22ASBR

Loopbacks172.30.0.0/24172.30.1.0/24172.30.2.0/24172.30.3.0/24

RIPv2

R3(config)# router ospf 10 R3(config-router)# summary-address 172.30.0.0 255.255.252.0

Protocole OSPFStructure

Thomas Moegli

๏ Protocole de transport de couche 4 propre à OSPF (pas de TCP ou UDP) ๏ Numéro de protocole OSPF : 89

Structure Paquet OSPF

93

En-tête IP (20 Octets) Protocole = 89 En-tête + Données OSPF

Thomas Moegli

๏ 5 types de paquets OSPF

Structure Types de paquets

94

Hello Découverte des voisins et maintien de la relation

Database Description Packet (DBD)

Décrit le contenu des bases de données d’état de liens des routeurs OSPF.

Link-State Request (LSR)

Requête pour demander des éléments de la base de donnée (LSD) des routeurs OSPF

Link-State Update (LSU)

Transport d’un ensemble d’éléments de la base de donnée. Chaque élément est un LSA (Link-State Advertisement), le LSU regroupe un ensemble de LSA.

Link-State Acknowledgment Accusé de réception des LSA

Thomas Moegli

๏ Utilisé pour ๏ Découvrir des voisins OSPF et établir des contiguïtés ๏ Annoncer les paramètres sur lesquels les deux routeurs doivent s’accorder pour devenir voisins ๏ Définir le routeur désigné (DR) et le routeur désigné de sauvegarde (BDR) sur les réseaux à accès multiple

(Ethernet, Frame Relay) ๏ Envoi des messages Hello sur l’adresse multicast 224.0.0.5

Structure Protocole Hello

95

Thomas Moegli


96

En-tête de trame Data Link

En-tête de paquet IP

En-tête de paquet OSPF

Données spécifiques de type de paquet

Paquet Hello

Version Type = 1 Longueur du paquet

ID du routeur

ID de la zone

Somme de contrôle AuType

Authentification

Authentification

Masque de réseau

Intervalle Hello Option Priorité du routeur

Intervalle d’arrêt du routeur

Routeur désigné

Routeur désigné de secours (BDR)

Liste des voisins

Thomas Moegli

๏ Champs importants ๏ Type : type de paquet OSPF : Hello (1), DBD (2), LSR (3), LSU (4), LSACK (5)

๏ ID de Routeur : Identifiant du routeur source ๏ ID de zone : Zone d’origine du paquet

๏ Masque de réseau : Masque de sous-réseau associé à l’interface émettrice

๏ Intervalle Hello : Nombre de secondes entre les intervalles Hello du routeur émetteur

๏ Priorité du routeur : Utilisé dans la sélection du DR ou du BDR ๏ Routeur désigné (DR) : ID du routeur désigné, le cas échéant

๏ Routeur désigné de sauvegarde (BDR) : ID du routeur désigné de sauvegarde, le cas échéant

๏ Liste des voisins : indique l’ID de routeur OSPF du ou des routeurs voisins


97

Thomas Moegli

๏ Composants de la Link-State Database (LSD) ๏ 11 types de LSA

๏ Type 1 : Router-Link Advertisement (RLA) ๏ Type 2 : Network Link Advertisement (NLA) ๏ Type 3 : Summary Link Advertisement (SLA) ๏ Type 4 : ASBR Summary LSA ๏ Type 5 : Autonomous System LSA ๏ Type 6 : Multicast OSPF LSA

๏ Type 7 : Défini pour les areas Not-So-Stubby

๏ Type 8 : Attributs externes pour BGP ๏ Types 9,10,11 : Opaques LSA

Link-State Advertisements

98

Thomas Moegli

Type 1 LSA

๏ Router LSA ๏ Générés par les routeurs internes ๏ Pour un routeur connecté à plusieurs areas

๏ Envoi séparé de LSA Type 1 sur chaque area connecté au routeur

๏ Ne traverse pas les routeurs ABR

๏ Contenu d’un Type 1 LSA ๏ Router ID, Interfaces, Informations IP, Status

de l’interface

๏ Dans la table de routage, ce sont les routes marquées d’un « O »

Type 1 LSA

99

OSPFArea 10

OSPFArea 0

OSPFArea 20

LSA-1

LSA-1

LSA-1LSA-1

LSA-1 LSA-1

Thomas Moegli

Type 2 LSA

๏ Network LSA ๏ Envoyé par les routeurs DR (Desiginated Router)

aux DRother ๏ Ne traverse pas les routeurs ABR ๏ Dans la table de routage, ce sont les routes

marquées d’un « O »

Type 2 LSA

100

OSPFArea 10

OSPFArea 0

OSPFArea 20

LSA-2 LSA-2

DR

Thomas Moegli

Type 3 LSA

๏ Summary LSA ๏ Envoyé par les Area Border Routers ๏ Regénéré par les autres ABR pour être émis

dans toutes les areas ๏ Dans la table de routage, ce sont les routes

marquées d’un « O IA »

Type 3 LSA

101

OSPFArea 10

OSPFArea 0

OSPFArea 20

LSA-3

ABR ABR

LSA-3

Thomas Moegli

OSPFArea 10

OSPFArea 0

OSPFArea 20

ABR ABR

RIPv2

ASBR

Router-ID

LSA-4 LSA-4Router-ID Router-ID

Type 4 LSA

๏ ASBR Summary LSA ๏ Envoyés par les ASBR aux autres routeurs de l’AS ๏ Envoyés ensuite par les ABR à l’area backbone ๏ Regénéré par les ABR pour les autres areas ๏ Contient le Router ID de l’ASBR

Type 4 LSA

102

Thomas Moegli

OSPFArea 10

OSPFArea 0

OSPFArea 20

ABR ABR

RIPv2

ASBR LSA-5

LSA-5LSA-5

Type 5 LSA

๏ External LSA ๏ Redistribué dans OSPF ๏ Envoyés par les ASBR à l’area backbone ๏ Diffusé sur l’ensemble de l’AS ๏ Le Router-ID de l’ASBR est inchangé dans tout l’AS ๏ Un Type 4 est nécessaire pour trouver l’ASBR

Type 5 LSA

103

Thomas Moegli

Type 6 LSA

๏ Multicast OSPF LSA ๏ Utilisé dans le routage Multicast (Protocole de routage MOSPF) ๏ N’est pas supporté sur les routeurs Cisco

Type 6 LSA

104

Thomas Moegli

Type 7 LSA

๏ NSSA (Not-So-Stubby Area) LSA ๏ Avertit les routes d’un autre domaine de routage. Généré par un ASBR depuis une area Not-So-Stubby

๏ N1 : la métrique augmente en passant de réseau en réseau ๏ N2 : la métrique reste identique (utilisé par défaut)

Type 7 LSA

105

10.0.0.0/8

OSPFArea 1

OSPFArea 0

OSPFArea 2

.1 .2 .1 .2 .1 .2192.168.1.0/24 192.168.0.0/24 192.168.2.0/24

NSSA

LSA-7 LSA-5

Thomas Moegli

Type 8 LSA

๏ External Attributes LSA ๏ Utilisé par OSPF avec BGP

Type 9,10,11 LSA

๏ Utilisé pour des applications spécifiques, comme OSPF avec MPLS

Type 8,9,10,11 LSA

106

Thomas Moegli

Récapitulatif LSA

107

Area 0Area 1

ASBR

Corp

ABR

Type 1 ou 2 Type 1 ou 2

Type 3

Type 4

Type 5

Protocole OSPFStubs

Thomas Moegli

๏ Permet de minimiser la taille des tables de routage sur les routeurs Edges ๏ Utilise la route par défaut vers l’ABR pour communiquer avec les routes externes et OIA ๏ Réduit le nombre de LSA qui transitent dans l’area ๏ Réduire la consommation des ressources processeur et mémoire

OSPF Stubs

109

Thomas Moegli

๏ Sur de grands réseaux, la table de routage devient importante et pose problème pour les routeurs d’accès (Charge mémoire trop importante)

๏ Augmentation importante du nombre de LSA

OSPF Stubs Problèmes avec grands réseaux

110OSPF

Area 10

OSPFArea 0

RIPv2

OSPFArea 20

OSPFArea 30

ABR ABR

ASBR

ABR

100+ Routes

100+ Routes

100+ Routes

100+ Routes

200+ Routes

# show ip route ospf O = 100 O IA = 300 E1/E2 = 200

Thomas MoegliOSPF

Area 10

OSPFArea 0

RIPv2

OSPFArea 20

OSPFArea 30

ABR ABR

ASBR

ABR

100+ Routes

100+ Routes

100+ Routes

100+ Routes

200+ Routes

# show ip route ospf O = 100 O IA = 300 O* IA = 1

E1/E2

E1/E2

Area StubDefault routeO* IA

๏ Configuration de l’Area 30 en area Stub ๏ Permet de stopper les External LSA (E1 / E2), remplacé par une seule route par défaut (O* IA)

OSPF Stubs Problèmes avec grands réseaux

111

Thomas Moegli

Types d’Areas

112

Stub Area Backbone Area 0 Totally Stubby Area

N’accepte pas de LSA External

Interconnecte les areas

Accepte toutes les LSA

N’accepte pas de LSA External ou

Summary

Thomas Moegli

๏ Les External LSA sont stoppées ๏ La route par défaut est annoncée

dans l’area Stub par l’ABR ๏ Tous les routeurs de l’area 50

doivent être configurés comme routeurs Stub

Types d’Areas Stub Areas

113

RIP

Internal

Summary LSA

Summary LSA

External LSA

External LSA

Summary LSA

Default LSA

ABR1 ABR2ASBR

Area 50 Stub

Area 0 Area 50 Standard

Thomas Moegli

Une area peut être Stub ou Totally Stubby si : ๏ Il y a un seul routeur ABR, ou dans le cas de multiples ABR, un routage optimal vers d’autres areas ou AS

externes est acceptable ๏ Tous les routeurs de l’area sont configurés comme routeurs Stub ๏ Il n’y a pas de routeur ASBR dans l’area ๏ L’area n’est pas l’area 0 ๏ Aucun lien virtuel ne transite par cette area

Types d’Areas Règles pour les areas Stub et Totally Stub

114

Thomas Moegli

Les Areas suivantes ne peuvent être Stubs ๏ L’Area 0 ne peut être Stub (il s’agit d’une Area de transit) ๏ Les Areas avec ASBR ne peuvent être Stubs ๏ Les Areas avec un lien virtuel ne peuvent être Stubs

Types d’Areas Règles pour les areas Stubs

115

Area Stub

OSPFArea 0

OSPFArea 10

OSPFArea 30

RIPv2

ASBR

Area Stub

OSPFArea 40

Virtual Link

Area Stub

Thomas Moegli

๏ Active le routeur comme routeur Stub :

๏ Tous les routeurs de la Stub Area doivent être configurés avec cette commande

๏ Définit le coût de la route par défaut envoyé dans la Stub Area :

๏ Par défaut, le coût est de 1

Types d’Areas Stub Area : Configuration

116

Router(config-router)# area areaID stub [no-summary]

Router(config-router)# area areaID default-cost cost

Thomas Moegli

Types d’Areas Stub Area : Configuration

117

Area 0 Stub Area 2

AS externe

192.168.14.1 192.168.15.1 192.168.15.2R3 R4

S0/0/0S0/0/0Fa0/0

R3# show running-config … ! interface FastEthernet0/0 ip address 192.168.14.1 255.255.255.0 interface Serial0/0/0 ip address 192.168.15.1 255.255.255.252 … ! router ospf 100 network 192.168.14.0 0.0.0.255 area 0 network 192.168.15.0 0.0.0.255 area 2 area 2 stub

R4# show running-config … ! interface Serial0/0/0 ip address 192.168.15.2 255.255.255.252 … ! router ospf 15 network 192.168.14.0 0.0.0.255 area 0

area 2 stub

Thomas MoegliOSPF

Area 10

OSPFArea 0

RIPv2

OSPFArea 20

OSPFArea 30

ABR ABR

ASBR

ABR

100+ Routes

100+ Routes

100+ Routes

100+ Routes

200+ Routes

# show ip route ospf O = 100 O* IA = 1

E1/E2

E1/E2

Area Totally Stubby

Default route O* IA

๏ Configuration de l’Area 30 en area Stub ๏ Permet de stopper les External LSA (E1 / E2) + Summary LSA (O IA), remplacé par une seule route par

défaut (O* IA)

OSPF Stubs Totally Stubby Area

118

Thomas Moegli

RIP

Summary LSA

Summary LSA

External LSA

External LSA

Default LSA

Default LSA

ABR1 ABR2ASBR

Area 50 Totally Stubby Area 0 Area 50

StandardAS externe Internal

๏ Les External LSA sont stoppés ๏ Les Summary LSA sont stoppés ๏ La table de routage est réduite à

son minimum ๏ Tous les routeurs doivent être

configurés comme routeurs Stub ๏ Les routeurs ABR doivent être

configurés comme routeurs Totally Stubby

๏ Fonction propriétaire Cisco

Types d’Areas Totally Stubby Area

119

Thomas Moegli

๏ L’ajout du mot-clé no-summa sur un ABR permet de créer une area Totally Stubby et bloque ainsi tous les Summary LSA d’entrer dans l’area Stub.

๏ Tous les autres routeurs de l’Area doivent être configurés en routeurs Stubs

Types d’Areas Totally Stubby Area : Configuration

120

Router(config-router)# area areaID stub no-summary

no-summary

Thomas Moegli

Types d’Areas Totally Stubby Area : Configuration

121

R2(config)# router ospf 10 R2(config-router)# network 172.17.0.0 0.0.255.255 area 0 R2(config-router)# network 172.16.0.0 0.0.255.255 area 1 R2(config-router)# area 1 stub no-summary R2(config-router)# area 1 default-cost 5 ! Définit R2 comme routeur ABR préféré

AS externe R1

R4R3

Area 0

Area 1 Totally Stubby

R2

172.17.1.1/16

172.16.1.1/16

172.16.2.1/16

R3(config)# router ospf 10 R3(config-router)# network 172.16.0.0 0.0.255.255 area 1 R3(config-router)# area 1 stub

R4(config)# router ospf 10 R4(config-router)# network 172.17.0.0 0.0.255.255 area 0

R4(config-router)# network 172.16.0.0 0.0.255.255 area 1 R4(config-router)# area 1 stub no-summary R4(config-router)# area 1 default-cost 10

Thomas Moegli

๏ NSSA brise les règles d’une area Stub ๏ Un ASBR est autorisé dans une area NSSA ๏ Un type 7 est défini spécialement pour l’area NSSA, envoyé par l’ASBR ๏ L’ABR convertit les LSA de type 7 en LSA de type 5 ๏ L’ABR envoie la route par défaut dans l’area NSSA au lieu d’envoyer les routes externes venant d’autres ASBR ๏ Standard défini dans la RFC

Types d’Areas Not-So-Stubby Area (NSSA)

122

RIP

AS RIP172.17.20.0

LSA Type 7 LSA Type 5172.17.20.0/24 172.17.0.0/16

R1 R2NSSA 1 Area 0

Thomas Moegli

๏ Utilisation de cette commande au lieu de la commande area stub pour définir une area NSSA :

๏ Le mot-clé no-summa permet de créer une NSSA Totally Stubby Area (fonction propriétaire Cisco)

Types d’Areas Not-So-Stubby Area (NSSA) : Configuration

123

Router(config-router)# area areaID nssa [no-redistribution] [default-information-originate [metric metric-value] [metric-type type-value]] [no-summary]

no-summary

Thomas Moegli

Types d’Areas Not-So-Stubby Area (NSSA) : Configuration

124

RIP172.17.10.0172.17.11.0

NSSAArea 1172.17.20.1/16

0.0.0.0 (Route par défaut)

R1 R2172.17.20.2/16

OSPFArea 0

172.17.0.0

Pas de type 5 dans une NSSA

R1(config)# router ospf 10 R1(config-router)# redistribute rip subnets R1(config-router)# default metric 150 R1(config-router)# network 172.17.0.0 0.0.255.255 area 1 R1(config-router)# area 1 nssa

R2(config)# router ospf 10 R2(config-router)# summary-address 172.16.0.0 255.255.0.0 R2(config-router)# network 172.17.20.0 0.0.0.255 area 1 R2(config-router)# network 172.17.0.0 0.0.255.255 area 0 R2(config-router)# area 1 nssa default-information-originate

Thomas Moegli

Types d’Areas NSSA Totally Stubby Area : Configuration

125

RIP172.17.10.0172.17.11.0

NSSA Area 1

172.17.20.1/16

0.0.0.0 (Route par défaut)

R1 R2172.17.20.2/16

OSPFArea 0

172.17.0.0

Pas de type 3,4 ou 5 dans une NSSA Totally Stubby

R1(config)# router ospf 10 R1(config-router)# redistribute rip subnets R1(config-router)# default metric 150 R1(config-router)# network 172.17.0.0 0.0.255.255 area 1 R1(config-router)# area 1 nssa

R2(config)# router ospf 10 R2(config-router)# summary-address 172.16.0.0 255.255.0.0 R2(config-router)# network 172.17.20.0 0.0.0.255 area 1 R2(config-router)# network 172.17.0.0 0.0.255.255 area 0 R2(config-router)# area 1 nssa no-summary

Thomas Moegli

* : Indique le type de LSA utilisé pour la route par défaut

Types d’Areas Récapitulatif : Types d’Areas

126

LSA/Area Normal Stub Totally Stubby Not So Stubby Totally NSSA

LSA 1 ✅ ✅ ✅ ✅ ✅

LSA 2 ✅ ✅ ✅ ✅ ✅

LSA 3 ✅ ✅* -* ✅ -*

LSA 4 ✅ - - - -

LSA 5 ✅ - - - -

LSA 7 - - - ✅* ✅

Thomas Moegli

Types d’Areas Récapitulatif : Types d’Areas

127

Area 0 : Backbone

NSSA Area Totally NSSA Area

Stub Area

Normal Area

Totally Stubby Area

N’accepte pas les External et Summary LSAAutorise ASBR

N’accepte pas les External et Summary LSA

Accepte MAJ, External et Summary LSA

N’accepte pas les External LSA

N’accepte pas les External LSAAutorise l’ASBR

Thomas Moegli

๏ Affiche quelles areas sont normales, Stub ou NSSA

๏ Affiche les détails des LSA

๏ Affiche les informations spécifiques de chaque LSA de type 7 présents dans la base de données

๏ Affiche toutes les routes

Types d’Areas Configuration Stub et NSSA : Vérification

128

Router# show ip ospf

Router# show ip ospf database

Router# show ip ospf database nssa-external

Router# show ip route

Protocole OSPFRéseaux WAN

Thomas Moegli

๏ Réseau Frame-Relay (Non-Broadcast - Full Mesh) ๏ Les voisins doivent être configurés statiquement ๏ Configuration des voisins manuel via la commande :

OSPF sur Réseaux WAN

130

HQ

Frame RelayBr1

Br2

DLCI = 102

DLCI = 103

DLCI = 201

DLCI = 203

DLCI = 302

DLCI = 301

S1/0

S1/0

S1/0

10.1.1.3/24

10.1.1.2/24

10.1.1.1/24

Router(config-router)# neighbor adresseIP

Thomas Moegli

HQ

Frame RelayBr1

Br2

DLCI = 102

DLCI = 103

DLCI = 201

DLCI = 301

S1/0

S1/0

S1/0

10.1.1.3/24

10.1.1.2/24

10.1.1.1/24

๏ Réseau Frame-Relay (Non-Broadcast - Partial Mesh) ๏ Pas de BDR nécessaire ๏ Le DR devrait être le routeur HQ. Configurer les routers Br1 et Br2 avec une priorité à 0 ๏ Les voisins doivent être configurés statiquement


131

Thomas Moegli

HQ

Frame RelayBr1

Br2

DLCI = 102

DLCI = 103

DLCI = 201

DLCI = 203

DLCI = 302

DLCI = 301

S1/0

S1/0

S1/0

10.1.1.3/24

10.1.1.2/24

10.1.1.1/24

๏ Réseau Frame-Relay (Broadcast - Partial Mesh) ๏ Le DR devrait être le routeur HQ. Configurer les routers Br1 et Br2 avec une priorité à 0 ๏ Du fait que le réseau est broadcast, l’élection du DR/BDR peut se faire automatiquement


132

Protocole OSPFSécurité

Thomas Moegli

๏ Plusieurs possibilités de sécurisation d’OSPFv2, la principale étant l’authentification des échanges de routage

๏ Par clé partagée ๏ Par MD5 ๏ Par certificat (RFC 5709, OSPFv2 HMAC-SHA Cryptographic Authentication)

๏ Plusieurs standards proposent divers mécanismes ๏ RFC 6863 (mars 2013) : Analysis of OSPF Security According to the Keying and Authentication for Routing

Protocols (KARP) Design Guide ๏ RFC 6039 (octobre 2010) : Issues with Existing Cryptographic Protection Methods for Routing Protocols

Sécurité OSPF

134

Thomas Moegli

๏ Les entités utilisent un mot de passe en clair pour vérifier les échanges ๏ Le mot de passe transite en clair sur les liens ๏ Mauvaise solution ๏ Champ “Authentication“ de l’en-tête OSPFv2 :

Sécurité OSPF Authentification par clé partagée

135

Password

32

Thomas Moegli

Exemple de configuration sur R1

Sécurité OSPF Authentification par clé partagée

136

R1# show running-config … ! interface Fa0/0 ip address 10.1.1.1 255.255.255.0 no shutdown … ! interface Serial0/0/1 ip address 192.168.1.101 255.255.255.224 ip ospf authentication ip ospf authentication-key ETMLLAB … ! router ospf 1 network 10.1.1.1 0.0.0.0 area 0 network 192.168.1.0 0.0.0.255 area 0 !

10.1.1.0 /24 10.1.2.0 /24

R1 R2

192.168.1.96 /27S0/0/1.101

S0/0/1.102

Fa0/0 .1

Fa0/0 .1

Thomas Moegli

๏ Champ “Authentication“ de l’en-tête OSPFv2 :

๏ Key ID [8 bits] : identifie l’algorithme et la clé secrète utilisée pour générer le hash du message. Le Key ID est unique par interface (par subnet)

๏ Auth Data Len [8 bits] : Longueur en byte du hash ajouté à la fin du paquet OSPF

๏ Cryptographic sequence Number [32 bits] : Numéro de séquence non-signé et incrémental. Utilisé pour contrer les attaques par rejeu

๏ Le digest (128 bits) est inséré à la fin du paquet OSPF

Sécurité OSPF Authentification avec MD5

137

0x0000

16

Key ID Auth Data Len

Cryptographic sequence number

8 8

Thomas Moegli

Exemple de configuration sur R1


138

R1# show running-config … ! interface Fa0/0 ip address 10.1.1.1 255.255.255.0 no shutdown … ! interface Serial0/0/1 ip address 192.168.1.101 255.255.255.224 ip ospf authentication message-digest ip ospf message-digest—key 1 md5 ETMLLABSECRET … ! router ospf 1 network 10.1.1.1 0.0.0.0 area 0 network 192.168.1.0 0.0.0.255 area 0 !

10.1.1.0 /24 10.1.2.0 /24

R1 R2

192.168.1.96 /27S0/0/1.101

S0/0/1.102

Fa0/0 .1

Fa0/0 .1

Thomas Moegli

Robustesse de MD5 vs utilisation avec OSPF

๏ MD5 n’est plus considéré comme robuste ๏ L’utilisation de MD5 pour des certificats X.509v3/PKIX est concernée par cette faiblesse ๏ Son utilisation dans la gestion de clés dérivées par MD5 ou pour l’authentification de message par code de

hachage (HMAC-MD5) ne sont, pour l’instant, pas concerné [RFC6151, 2011]

๏ Les protocoles possèdent des protections contre les attaques par collision ๏ Utilise uniquement les mécanismes MAC/HMAC dérivés de MD5 ๏ Champs avec valeurs prédéfinies ➔ Paquet rejeté si valeur incorrecte


139

Thomas Moegli

๏ OSPFv3 utilise les caractéristiques d’IPv6, soit les en-têtes d’extension AH et ESP, en remplacement aux mécanismes mis en place dans OSPFv2

๏ L’authentification ne fait plus partie d’OSPFv3 ๏ Délégué à IPv6 et IPsec

Sécurité OSPF Authentification OSPFv3

140

Thomas Moegli

๏ N’importe quel routeur réceptionnant un LSA le listant en tant qu’origine de l’annonce, inspecte le contenu du LSA

๏ Si il n’est pas cohérent, il renvoie immédiatement un LSA qui écrase le faux message

๏ Rappel RFC 2328 ๏ Deux LSA sont considérés identiques s’ils répondent aux critères suivants

๏ Même « Sequence Number » ๏ Même « Checksum value » ๏ Même « Age » (à 15 min près)

๏ Les autres champs ne sont donc pas considérés si ces trois critères sont remplis

Sécurité OSPF Mécanisme Fight-Back OSPF

141

Thomas Moegli

๏ Mécanisme propriétaire Cisco ๏ Contre les attaques de type DoS sur le CPU ๏ Emet les messages OSPF avec un TTL=255 et positionne un seuil à 254

๏ L’attaquant doit être local ๏ Le processus OSPF peut être stoppé temporairement en cas d’attaque

Sécurité OSPF TTL Check

142

Thomas Moegli

Merci de votre attention ! [email protected]

Références

CCNA Routing & Switching Official Course, Cisco Press CCNP Routing & Switching : ROUTE Exam Course, Cisco Press CCNP Routing & Switching : ROUTE Exam Course, LiveLessons Cisco : Protocoles et concepts de routage, ENI Editions (A. Vaucamps) OSPF Stubby, Cisco Live (A. Zhang)

143

Merci de votre attention ! [email protected]

Technology

Protocole OSPF