دسته: شبکه و امنیت

OSPF در میکروتیک : در این مقاله قصد داریم تا شما را با نحوه ی کانفیگ OSPF در میکروتیک آشنا کنیم با ما همراه باشید:

تنظیمات روتر اول (A0-1) یا همان BackBone ما یا همان Area0:

برای شروع وارد قسمت Routing شده و سپس OSPF را انتخاب کنید.

در قسمت Networks باید تمام شبکه های که دارید را وارد میکنید، می توانید برای راحتی کار از قسمت IP > Route کمک بگیرید، در Networks چون داخل Area0 می باشید همه Network ها را در Area BackBone قراردهید.

با این کار به صورت خودکار در تب Interface هر دو اینترفیس که IP شبکه های آن را در قسمت قبل وارد کرده بودید را نمایش می دهد.

تنظیمات روتر دوم (A1-1) در Area1:

در این روتر نیز وارد تب Routing شده و سپس وارد OSPF شوید، حالا باید یک Area به نام Area1 بسازید برای این کار وارد تب Area شده و یک Area ادد کنید، در قسمت Area Name  هر چیزی میتوانید بنویسید ولی برای مشخص کردن شماره Area باید Area ID را مشخص کنید که ما برای نشان دادن Area1 از Area ID 0.0.0.1 استفاده کنید.

در مرحله بعد نیز تمام مراحل را مثل روتر اول انجام دهید یعنی در قسمت Networks تمام شبکه های که دارید را وارد کنید، ولی توجه داشته باشید که باید در این روتر شبکه 10.0.0.0/26 را در BackBone قرار دهید و دو شبکه 10.1.12.0/30 و 10.1.1.0/24 را در Area1 که ساختید قرار دهید.

حالا اگه تب Neighbors هر یک از این دو روتر را که تنظیم کردید نگاه کنید باید یک همسایه به ما نمایش دهد مانند عکس زیر که روتر A1-1 ما همسایه خودش یعنی A0-1 را با آی پی 10.0.0.1 شناسایی کرده است.

تنظیمات روتر سوم (A1-2) در Area1:

تمام تنظیمات دیگر روتر ها را مانند مراحل قبلی انجام دهید.

–

–

تنظیمات روتر چهارم (A1-3) در Area1:

تمام تنظیمات دیگر روتر ها را مانند مراحل قبلی انجام دهید .

–

–

تنظیمات روتر پنجم (A2-1) در Area2:

در این قسمت توجه کنید که در Area2 می باشید پس باید Area ID را مناسب Area2 قرار دهید که ما در این جا 0.0.0.2 قرار داده ایم و نکته بعدی این که این روتر هم مثل A1-1 روتری است که بین Area ها قرار دارد پس نیاز به Area BackBone نیز دارید.

–

–

تنظیمات روتر ششم (A2-2) در Area2:

این تنظیمات مانند روتر قبل انجام خواهد شد.

–

–

حال شما باید بتوانید از هر روتر به تمام شبکه ها دسترسی داشته باشید برای نمونه از از روتر A1-3 باید پینگ A2-2 را داشته باشید.

همچنین باید تمام روتر ها در جدول روت خود تمام روت های Area های دیگر را داشته باشند.

بحث های حرفه ای در OSPF

تا اینجای کار اصل ارتباط و سناریو تموم شده ولی حالا میخواهیم کمی از نکاتی که بهتر است بدانید را بازگو کنیم با ما همراه باشید:

تب Route

وارد تب Route در روتر A1-3 شوید، در این قسمت تمام روت هایی که مربوط به OSPF است را فقط نمایش می دهد و نکته ای که دارد در قسمت state متن هایی نوشته شده است که باید بررسی شود.

intra : بدین معناست که این روت ها مربوط به Area خودتان است (منظور از خودتان Area است که روتر A1-3 قزار دارد)

inter : دین معناست که این روت ها مربوط بهArea های دیگر است (در این سناریو یعنی مال Area1 نیستن)

ext-1 : یک روت خارجی Type 1 می باشد.

ext-2 : یک روت خارجی Type 2 می باشد.

imported-ext-1 : یک روت خارجی Type 1 می باشد که فقط در روتری این روت را نوشته است imported-ext-1 نمایش می دهید ولی در دیگر روتر ها با نام ext-1 نمایش داده  می شود.

imported-ext-2 : یک روت خارجی Type 2 می باشد که فقط در روتری این روت را نوشته است imported-ext-2 نمایش می دهید ولی در دیگر روتر ها با نام ext-2 نمایش داده  می شود.

روتر چطور state متوجه میشود؟

روتر از طریق آپدیت هایی که بین Area انجام می شود و همچنین بر اساس Type های LSA این اطلاعات را دریافت می کند برای مثال اگر پیغام intra به نمایش داده شد یعنی LAS شما Type1 می باشد و زمانی که inter نمایش داده باشد LSA شما Type3 است. زمانی که شما ABR دارید و آپدیتی از Area دیگر دارید و میخواهید به Area ارسال کنید روتری که نقش ABR دارد پیغام LSA با Type1 را به Type3 تغییر می دهد.

تب LSA

همان طور که می دانید  پروتکل های مسیریابی link-state در حال توزیع، تکرار پایگاه داده هستند که توپولوژی مسیریابی را توصیف می کند. هر روتر در دامنه مسیریابی توپولوژی مسیریابی محلی را پیدا می کند و این اطلاعات را از طریق LSAها می فرستد. LSAs به تمام روترهای دیگر در دامنه مسیریابی ارسال می شود (flooding) و هر روتر پایگاه داده ی link-state را از LSAs دریافتی تولید می کند. الگوریتم ارسال پروتکل link-state تضمین می کند که هر روتر پایگاه داده دارای link-state یکسان است. هر روتر جدول مسیریابی را بر اساس این پایگاه داده link-state محاسبه می کند.

جدول زیر انواع LSA را نوایش میدهد که میکروتیک بجای شماره از Name ها در سیستم عامل خود استفاده می کند

–

در این تب شما اطلاعاتی درباره LSA ها دریافت میکنید که چند مورد از آن در این قسمت معرفی شده است:

instance : نام اینترفیسی است که که LSA از آن استفاده می کند.

area : نام تمام area هایی مه روتر از آن ها استفاده می کند.

type : این قسمت شاید مهم ترین بخش اینجا باشد که اسم type های LSA را مشخص میکند که در جدول بالا نوشته شده است.

ID : آدرس IP مورد استفاده برای شناسایی روتر OSPF. اگر OSPF Router-ID به صورت دستی تنظیم نشود، روتر یکی از آدرسهای IP اختصاص داده شده به روتر را به عنوان آن Router-ID استفاده می کند.

Originator

Sequence-number : عددی است برای مشخص کردن تعداد دفعاتی که یک لینک بروز شده است.

Age : عددی است که میگه چه مدت پیش (بر اساس ثانیه) بروز شده است.

Checksum : همان طور که از اسمش مشخص است Checksum در LSA را نمایش می دهد.

تب Instance

یکی از کاربرد های Instance این که شما می توانید OSPF های خود را جدا کنید. شما در این تب میتوانید Distribute با type های مختلف ایجاد کنید . انواع دسته بندی های به شکل زیر است:

نکته: میکروتیک به صورت Default برای هر لینک Cost 10 قرار می دهد و 10 تا 10 تا افزایش می دهد مانند شکل زیر که روتر A1-3 برای دیدن شبکه 10.2.1.1 که در روتر A2-1 قرار دارد باید متریک 40 داشته باشد.

never: هیچ default route را به روتر دیگر ارسال نمی کند.

if-installed-as-type-1 : هرگاه روتی را با if-installed-as-type-1 انتقال (توزیع مجدد) یا Redistribute کنید cost یا metric آن محاسبه می شود و فقط زمانی که فعال باشد انتقال (توزیع مجدد) یا Redistribute می شود.

if-installed-as-type-2 : هرگاه روتی را با if-installed-as-type-2 انتقال (توزیع مجدد) یا Redistribute کنید cost یا metric آن محاسبه نمی شود و فقط زمانی که فعال باشد انتقال (توزیع مجدد) یا Redistribute می شود.

always-as-type-1 : هرگاه روتی را با always-as-type-1 انتقال (توزیع مجدد) یا Redistribute کنید cost یا metric آن محاسبه می شود.

always-as-type-2 : هرگاه روتی را با always-as-type-2 انتقال (توزیع مجدد) یا Redistribute کنید cost یا metric آن محاسبه نمی شود.

نکته: type-1 دارای مقداری پردازی اضافه است ولی مناسب زمانی است که ما دارای چند مسیر هستیم و همچین مناسب زمانی است که شما چند لینک مثل اینترنت دارید ولی به صورت پیشفرض مسیری که میکروتیک انتخاب میکنه ار نظر سرعت مناسب نیست و شما به راحتی میتوانید با تغییر متریک پیشفرض مسیر موردنظر خودتان را انتخاب کنید.

نکته: type-2 دارای پردازش کمتری است و بهتر است فقط زمانی استفاده شود که شما یک مسیر دارید نه چند مسیر

شما می توانید در تب Instance روی Instance مورد نظر کلیک کرده و در قسمت metrics تمام metric های پیشفرض را تغییر دهید. برای مثال عدد 1 Default Route با عدد پیشفرض میکروتیک جمع می شود و به شما cost یا metric با عدد 11 را نمایش می دهد.

یک مثال برای درک بهتر تب Instance در میکروتیک:

برای مثال شما در همین سناریویی که دارید در روتر A0-1 دو روت استاتیک بنویسید.

حالا برای این که بتوانید این روت ها را از این روت به دیگر روتر ها و area ارسال کنید باید عمل تبدیل بر روی این روتر انجام شود برای این کار وارد بخش Routing و OSPF شده و سپس در تب Instance روی Instance مورد نظر که در اینجا همان Instance پیشفرض شما است کلیک کرده و در قسمت redistribute static وارد شده و یکی از type ها را بسته به نیاز انتخاب کنید(ما type2 را انتخاب کردیم).

حال برای این که ببینید عملیات redistribute به درستی انجام شده جدول روت OSPF روتر A1-3 را چک کنید، همان طور که میبینید هر دو روت ما وارد شده است.

در تب LSA نیز هر دو روت ما را نمایش داده است.

Router ID

برای دیدن Router ID خودتان به قسمت زیر برید، در میکروتیک (معمولا) کوچکترین IP به عنوان Router ID انتخاب می شود ولی در سیسکو برعکس می باشد.

برای تغییر Router ID باید در تب General در قسمت Router ID بجای 0.0.0.0 شناسه Router ID خود را وارد کنید.

نکته: Router ID 0.0.0.0 یعنی به صورت پیشفرض انتخاب شود که همان حالت کوچکترین آدرس می باشد.

سناریویی دیگر در ادامه سناریوی قبلی (نکته)

حالا فرض کنید روتر A1-3 شما مثلا یک روت خارجی دارد و شما قابلیت redistribute static را بر روی آن فعال کرده اید.

ولی نکته ای که دارد روتر A1-2 که در همان area قرار دارد که روتر A1-3 هم قرار دارد، در جدول LSA خود یک Summary ASBR دارد ولی روتر A2-2 ما دو Summary ASBR در جدول خود دارد.

نتیجه ای که میشه از این قسمت گرفته این که LSA Type5 یا External LSA توسط ASBR ایجاد می شود و Summary ASBR توسط ABR پس روتر A1-2 که در همان area قرار دارد که روتر A1-3 هم قرار دارد، برای همین یک Summary ASBR می بیند و وقتی آپدیت ها از روتر A1-1 ما عبور می کند که خود نقش ABR دارد یک LSA Type4 ایجاد میکند. برای همین در دیگر area ها یک Summary ASBR بیشتر دیده می شود.

Dynamic Default Route در OSPF

شما در حالت عادی زمانی که میخواهید به طور مثال اینترنت داشته باشید به صورت دستی یک Static Default Route ایجاد میکنید و اگر چنتا روتر در مسیر باشد مجبور هستید به صورت دستی برای هر کدام یک Default Route بنویسید، ولی در ایجا میخواهید به کمک OSPF یک Dynamic Default Route بنویسید تا تمام این کار ها را سریع تر و با مدیریت بهتری انجام دهد.

خوب برای مثال روتر A0-1 ما یک Default Route دستی دارد که از طریق آن اینترنت دارید فقط کافی وارد بخش Routing و OSPF شده و سپس در تب Instance روی Instance مورد نظر که در اینجا همان Instance پیشفرض شما است کلیک کرده و در قسمت redistribute default route رفته و یکی از type ها را بسته به نیاز انتخاب کنید (ما always-as-type-2 را انتخاب کردیم).
DR و BDR

DR: یا روتر منتخب برای به حداقل رساندن تعداد یال ها می باشد. گزینه ای که در شبکه های پخش (broadcast) استفاده می شود. در شبکه های point to point شما نیازی به DR ندارید و عملا هیچ DR و یا BDR وجود ندارد. DR و BDR فقط در محیط های multi access که چند روتر به هم وصل هستن وجود دارد، در چنین شبکه هایی ما یک DR یک BDR دارید و باقی روتر ها DRother نام دارند. DR و BDR هر دو peer interface هستند نه peer router

BDR: روتر منتخب جانشین یا backup ، آماده به کار به جای همان DR ، BDR تمام به روز رسانی مسیر یابی از روترهای مجاور دریافت می کند، اما شامل به روز رسانی LSAA نمی باشد.

در سناریوی اصلی شما که عکسش در اول پست می باشد DR ، BDR فقط بین سه روتر A0-1 , A1-1 , A2-1 می تواند باشد.

به ترتیب براساس یکی از شرایط زیر DR انتخاب می شود:

1.  روتری که دارای Priority بالاتر است.
2. روتری که دارای RID بالاتری است.

نکته: همین شرایط برای برای انتخاب BDR نیز استفاده می شود.
نکته: Priority می تواند بین 0 تا 255 مقدار بگیرد و پیش فرض آن 1 می باشد.
نکته: اگر Priority یک روتر 0 باشد به عنوان DR یا BDR انتخاب نمی شود.
نکته: انتخاب DR و BDR غیر رقابتی است یعنی یکبار این انتخاب انجام می شود و حتی یک روتر با Priority بهتر در شبکه حضور پیدا کند باز هم همان روترهای قبلی به عنوان DR و BDR خواهند بود مگر اینکه پروسه OSPF ریست شود.

برای این که به صورت دستی بتوانید Priority را تغییر دهید در تب Interface بر روی اینترفیس مورد نظر کلیک کرده و یک بار از تنظیمات Copy کنید تا اجازه تغییر به شما داده شود سپس عدد Priority تغییر داده و بعد OK را انتخاب کنید . برای برگشت به حالت اول کافی فقط اینترفیس  را از همان جا یک بار پاک کنید تا خودش دوباره اضافه شود.

NBMA

چند دسترسی بدون broadcast یا (Non-broadcast multi-access)،این شبکه اجازه multi-access دارد اما قابلیت broadcast ندارد. در این شبکه ها امکان استفاده از OSPF وجود دارد، اما تنظیمات همسایگی اضافی مورد نیاز است مانند اینترنت که frame relay است. این شبکه ها از یک مدیا مشترک استفاده می کنند ولی ترافیک به صورت مستقیم بین دستگاه ارسال می شود و ترافیک Broadcast در این شبکه ندارید در این شبکه ها امکان استفاده از OSPF وجود دارد و از مکانیزم DR و BDR بهره می گیرد ولی همسایگی باید به صورت دستی تعریف شود.

Summarization – Area Range

در OSPF علاوه بر اینکه خلاصه سازی مسیر ها باعث کاهش تعداد رکورد های جدول مسیریابی می شود یک ویژگی بسیار مهم دیگر دارد که در این مقاله به آن پرداخته خواهد شد. زمانیکه در Route ها تغییری به وجود می آید باعث می شود که الگوریتم SPF دوباره اجرا شده و باعث درگیر شدن CPU و Ram روترها گردد. حال یک شبکه بزرگ را در نظر بگیرد که دارای شبکه های فراوان و تغییرات بسیار است و این باعث می شود که روترها همیشه درگیر اجرای الگوریتم SPF باشند برای جلوگیری از این مشکل و هدر رفتن منابع از قابلیت Summarization استفاده می شود که باعث شده تغییرات Route ها کمتر مبادله شوند و در هنگام تغییرات فقط روترهای داخل آن Area درگیر اجرای الگوریتم SPF شوند.

نکته: این کار زمانی قابل انجام است که نوع طراحی IP های شبکه شما درست باشد و قابل Summarization کردن باشد.

شما Summarization را بر روی ABR انجام خواهید داد، برای نمونه شما در سناریو خود بر روی روتر A1-1 وارد قسمت Area Range شوید.

Authentication

در پروتکل OSPF امکان استفاده از مکانیزم احراز هویت (Authentication) وجود دارد با استفاده از این قابلیت شبکه را در برابر اتصال روترهای غیرمجاز به شبکه OSPF و هرگونه تغییرات محفوظ نگه می دارد. در نتیجه هر روتر در هنگام دریافت بسته های OSPF ابتدا هویت آنها را تایید می کند.

به دو صورت زیر امکان استفاده از Authentication دارد:

OSPF Plain text authentication capture

Clear Text: در این حالت احراز هویت بودن رمز نگاری انجام می گیرد درنتیجه در صورتی که بسته ها Sniff شوند امکان دستیابی به پسورد وجود دارد.
MD5: در این حالت برای افزایش امنیت از مکانیزم رمزنگاری نیز استفاده می شود.

میکروتیک سه حالت زیر را پشتیبانی می کنید:

none: در این حالت کلا هیچ authentication وجود ندارد.
simple: دراین حالت رمز شما به صورت plain text جا به جا می شود.
md5: در این حالت شما از md5 برای authentication استفاده خواهید کرد که مقداری امنیتش بیشتر است.

نکته: key id فقط برای md5 استفاده می شود و در صورت تغییر key id باید آن را در همه روتر ها تغییر دهید.

برای مثال شما روترهای A0-1 , A1-1 , A2-1 را md5 می خواهید authenticat کنید، پس باید به روش زیر عمل کنید.

Stub Area

در Area غیر backbone کاهش اطلاعات جدول مسیریابی یک امر ضروری است چون روترهای این Area ها بسیار آسیب پذیرند چون معمولا دارای سرعت و قدرت پایین تری هستند و همچنین دارای کمترین پهنای باند می باشند. این ویژگی ها باعث ایجاد نگرانی بابت وجود Routeهای زیاد در این Areaها می شود که می تواند عواقبی مانند Overload شدن روتر یا اشغال لینک های ارتباطی شود.

یک راه برای کاهش اطلاعات مربوط به مسیرها این است که یک Area را به عنوان Stub area انتخاب کنید. زمانی که یک Area را به عنوان Stub Area تعیین می کنید باعث می شود که روترهای ABR روت های Type 5 را فیلتر کنند و به جای آنها یک Default Route ارسال کنند و اینکار باعث می شود که دیتابیس روترهای این Area فقط شامل روت های OSPF و یک Default Route باشد. در Stub Area نمی توانید ASBR داشته باشید. اما در صورتی که بخواهید تعداد روت ها را کمتر کنید می توانید از Totally Stubby Area استفاده کنید در این حالت ABR تمام روت های Type 3,4,5 را فیلتر می کند و به جای آنها فقط یک Default Route ارسال کند که باعث می شود دیتابیس این روترها فقط شامل روت های داخلی آن Area و یک Default Route باشد.

برخی از محدودیت های Stub Area:

• نمی تواند شامل Virtual Link باشد.
• در این ناحیه نمی توان از ASBR استفاده کرد.
• همه روترهای آن Area باید به عنوان Stub Area تعریف شوند.
• Area 0 را نمی توان به عنوان Stub Area انتخاب کرد.
• باید فقط یک ABR داشته باشد.

برای این که یک مثال زده باشیم در روتر A0-1 چند روت دستی وارد کرده ایم.

حالا باید در تمام روتر هایی که در Area2 قرار دارند از قسمت Areas تنظیمات type آن ها را بر روی Stub قرار دهید. این کار ممکن است کمی زمان ببرد.

نکته: برای این که اجازه عبور  را بدهد باید در ABR شما که در اینجا A2-1 است در همان تنظیمات تیک inject summary lsas را هم فعال کنید در غیر این صورت انگار شما از Totally Stubby Area استفاده کرده اید.

(Not-so-Stubby Area (NSSA نوع دیگر Stub Area می باشد. NSSA همانند Stub Area می باشد با این تفاوت که می توانید در این ناحیه از ASBR استفاده کنید. در نتیجه  روت های خارجی (Type 7) توسط ASBR در این ناحیه منتشر می شوند و ABR با تبدیل این روت ها به Type 5 آنها را به دیگر ناحیه ها اعلام می کند.

برای این که (Not-so-Stubby Area (NSSA را بهتر متوجه شوید یک روت دستی در A2-2 اضافه کنید و اجازه عبور روت استاتیکتان را بدهید

–

حالا کافی داخل تمام Area های از Type دیگر یعنی NSSA استفاده کنید.

نکته: اگر تیک inject summary lsas در Area مرزی (ABR) یعنی A2-1 نزنید یعنی Stub Area شما از نوع Totally NSSA می باشد.

نوع دیگر Totally NSSA می باشد که همانند Totally Stub Area می باشد با این تفاوت که در این ناحیه نیز می توانید از ASBR همانند NSSA استفاده کنید.

همان طور که در عکس زیر مشخص است Type 5 ما به Type 7 تغییر کرده است.

Virtual Link

در OSPF همه Area ها باید به Area 0 متصل باشند. اما در بعضی مواقع این امکان فراهم نیست. در این شرایط می توان با استفاده از Virtual Link این اتصال را به Area 0 انجام داد این اتصال از طریق یک Area دیگر به عنوان واسط انجام می گیرد.

چه زمانی از Virtual Link استفاده می شود:

• زمانی که بین Area 0 و Area مورد نظر لینک مستقیم وجود ندارد.
• زمانی که Area 0 و Area مورد نظر همجوار نیستند.

نکته: Virtual Link را به عنوان یک راه حل موقت در نظر بگیرد و نسبت به حل درست آن اقدام کنید.

نکته: برای ایجاد Virtual Link از Router ID استفاده می شود در نتیجه نحوی انتخاب Router IDD را در نظر داشته باشید.

نکته: Virtual Link را باید ABR ها به هم بزنند.

نحوی ایجاد Virtual Link:

فکر کنید روتر A1-3 در یک Area دیگر بوذ مثلا Area3 بود و مشا مجبور بودید از طریق Virtual Link آن را به Area0 متصل کنید.

Route Filter

شما میتوانید یک Route Filter بنویسید و مثلا برای یکسری از روت ها فیلتر بزارید تا ارسال نشود، فرق این روش با Packet Filter این که در Packet Filter روت در جدول مسیر یابی شما هست ولی نمی خواهید پکتی ارسال شود ولی در این روش کلا مسیر در Route Table فیلتر شده و ارسال نمیشه.

شما باید به در روتر A1-2 رفته و وارد مسیر Routing > Filters شده و یک فیلتر جدید ایجاد کنید.

نکته: در قسمت Chain شما هر اسمی که دوست دارید می توانید برای فیلتر خود وارد کنید و مواردی که در آنجا قرار دارد فقط چند اسم پیشفرض هستند.

نکته: اگر در Prefix ادرس 192.168.2.0/24 وارد کنید فقط بسته های /24 برای شما فیلتر می شود و مثلا بسته های /25 فیلتر نمی شود برای همین شما در Prefix فقط 192.168.2.0 را وارد کرده و در قسمت بعد یعنی Prefix Length نوشتید 24-32 یعنی Prefix ما اگر از 24 تا 32 بود آن را فیلتر کن

حالا در تب Action رفته و Action را بر روی discard قرار دهید تا پک ها فیلتر شده و ارسال نشود.

نکته: تا این لحظه هیچ اتفاقی نمی افتد زیرا شما این فیلتر را بر جایی اعمال نکرده اید.

برای اعمال فیلتر نوشته شده وارد قسمت Routing > OSPF شده و سپس در تب Instance رفته و بر روی Instance مورد نظر کلیک کرده فیلتر خود را برای هر کدام از ترافیک ورودی (In Filter) و یا فیلتر خروجی (Out Filter) انتخاب کنید. حالا فیلتر شما اعمال می شود.

–