Метрика протокола ospf
Протокол маршрутизации OSPF использует метрику cost. Метрика протокола OSPF базируются на полосе пропускания bandwidth. Алгоритм протокола рассчитывает суммарное значение метрики всех соединений через сеть. Меньшее число указывает лучший маршрут. Для вычисления метрики OSPF используется следующая формула:
Метрика (Cost) = 108 / Bandwidth.
Соединение FastEthernet имеет стоимость – 1 единица, Ethernet – 10 единиц, канал ОЦК со скоростью 64 кбит/с – 1562,5 ≈ 1562, канал со скоростью 128 кбит/с – 781, канал Т1 – 64, канал Е1 – 48 единиц. Если маршрут состоит из нескольких соединений, то значения метрик складываются. Например, для сети (рис.13.2) метрика маршрута из локальной Сети 1 в локальную Сеть 2 будет складываться из метрики исходящей Сети 1 – Fast Ethernet (1), метрики соединения маршрутизаторов А и В (48), метрики соединения маршрутизаторов В и С (1562) и метрики сети назначения Ethernet (10).
Рис. 13.2. Метрика сети OSPF
Суммарное значение метрики будет равно МΣ = 1+48+1562+10 = 1621.
Значение полосы пропускания может быть изменено по команде bandwidth, например:
Router(config)#interface serial 0/0
Router(config-if)#bandwidth 64
Cisco IOS позволяет задавать не только ширину полосы bandwidth, но и непосредственно значение cost по команде:
Router(config-if)#ip ospf cost значение
Применение соединений GigabitEthernet и 10-GigabitEthernet приводит к необходимости изменения значений метрики.
Конфигурирование протокола ospf
Ниже приведен пример конфигурирования протокола OSPF на маршрутизаторах cоставной сети (рис. 13.3) с таблицей адресов (табл. 13.1).
Рис.13.3. Пример составной сети OSPF
Таблица 13.1
Адреса сетей, интерфейсов и узлов составной сети
Наименование |
Адрес |
Наименование |
Адрес |
Сеть 1 f0/0 Host 1-1 Host 1-n |
10.10.10.16/28 10.10.10.17 10.10.10.18 102.10.10.n |
Сеть 2 f0/1 Host 2-1 Host 2-n |
10.10.10.32/27 10.10.10.33 10.10.10.34 10.10.10.m |
Сеть 3 f0/0 Host 3-1 Host 3-n |
172.16.20.64/29 172.16.20.65 172.16.20.66 172.16.20.k |
Сеть 4 f0/0 Host 4-1 Host 4-n |
10.10.10.128/26 10.10.10.129 10.10.10.130 10.10.10.n |
Сеть 5 s1/1 s1/2 |
200.5.5.20/30 200.5.5.21 200.5.5.22 |
Сеть 6 s1/1 s1/2 |
200.5.5.24/30 200.5.5.25 200.5.5.26 |
Из рис. 13.3 и табл. 13.1 следует, что Сеть 1 (192.168.10.16/28), Сеть 2 (192.168.10.32/27) и Сеть 4 (192.168.10.128/26) являются подсетями сети 192.168.10.0/24. Причем, Сети 1, 2 и Сеть 4 разделены Сетью 5 и Сетью 6.
При конфигурировании протокола OSPF необходимо задать номер процесса (по умолчанию 1) и адреса непосредственно присоединенных сетей с их масками переменной длины (wildcard-mask). При этом для каждой сети указывается номер области (по умолчанию area 0). Адреса сетей и интерфейсов приведены в табл. 13.1.
Маршрутизатор Router_А:
Router_A(config)#router ospf 1
Router_A(config-router)#network 10.10.10.16 0.0.0.15 area 0 Router_A(config-router)#network 10.10.10.32 0.0.0.31 area 0
Router_A(config-router)#network 200.5.5.20 0.0.0.3 area 0
Маршрутизатор Router_B:
Router_B(config)#router ospf 1
Router_B(config-router)#network 172.16.20.64 0.0.0.7 area 0 Router_B(config-router)#network 200.5.5.20 0.0.0.3 area 0
Router_B(config-router)#network 200.5.5.24 0.0.0.3 area 0
Маршрутизатор Router_С:
Router_C(config)#router ospf 1
Router_C(config-router)#network 10.10.10.128 0.0.0.63 area 0 Router_C(config-router)#network 200.5.5.24 0.0.0.3 area 0
Скорость передачи на всех последовательных соединениях по умолчанию равна 128 кбит/с, т.е. каждое соединение характеризуется метрикой в 781 единицу. Ниже приведены таблицы маршрутизации всех маршрутизаторов (A, B, C).
Таблица маршрутизации R_А:
R_А#sh ip route
...
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C 10.10.10.16/28 is directly connected, FastEthernet0/0
C 10.10.10.32/27 is directly connected, FastEthernet0/1
O 10.10.10.128/26 [110/1563] via 200.5.5.22, 00:10:18, Serial1/1
172.16.0.0/29 is subnetted, 1 subnets
O 172.16.20.64 [110/782] via 200.5.5.22, 00:12:16, Serial1/1
200.5.5.0/30 is subnetted, 3 subnets
C 200.5.5.20 is directly connected, Serial1/1
O 200.5.5.24 [110/1562] via 200.5.5.22, 00:12:46, Serial1/1
Маршруты протокола OSPF помечены символом О, административное расстояние – 110. Метрика пути к сети 172.16.20.64 составляет 782 единицы (781 единица последовательное соединение «точка-точка» со скоростью 128 кбит/с и соединение FastEthernet с метрикой в 1 единицу). В распечатке таблицы маршрутизации Router_А следует обратить внимание на то, что метрика к сети 200.5.5.24 составляет 1562 единицы (два последовательных соединения «точка-точка»), а к сети 10.10.10.128 – на 1 больше (1563 единицы). Это объясняется тем, что на пути к сети 10.10.10.128 дополнительно имеется соединение FastEthernet с метрикой в 1 единицу.
Таблица маршрутизации Router_B:
R_В#sh ip route
...
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
O 10.10.10.16/28 [110/782] via 200.5.5.21, 00:04:09, Serial1/2
O 10.10.10.32/27 [110/782] via 200.5.5.21, 00:04:09, Serial1/2
O 10.10.10.128/26 [110/782] via 200.5.5.26, 00:01:52, Serial1/1
172.16.0.0/29 is subnetted, 1 subnets
C 172.16.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.20 is directly connected, Serial1/2
C 200.5.5.24 is directly connected, Serial1/1
Из распечатки таблицы маршрутизации R_В следует, что в сети 10.10.10.16/28 и 10.10.10.32/27 можно попасть через шлюз 200.5.5.21, а в сеть 10.10.10.128/26 через интерфейс 200.5.5.26. Таким образом, протокол OSPF не суммирует маршруты в рамках сети полного класса.
Таблица маршрутизации Router_C:
R_С#sh ip route
...
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
O 10.10.10.16/28 [110/1563] via 200.5.5.25, 00:02:34, Serial1/2
O 10.10.10.32/27 [110/1563] via 200.5.5.25, 00:02:34, Serial1/2
C 10.10.10.128/26 is directly connected, FastEthernet0/0
172.16.0.0/29 is subnetted, 1 subnets
O 172.16.20.64 [110/782] via 200.5.5.25, 00:02:34, Serial1/2
200.5.5.0/30 is subnetted, 3 subnets
O 200.5.5.20 [110/1562] via 200.5.5.25, 00:02:34, Serial1/2
C 200.5.5.24 is directly connected, Serial1/2
Из распечатки таблицы маршрутизации R_С видно, что существуют маршруты ко всем подсетям сети рис.13.3.
Введение нового соединения между маршрутизаторами А и С (рис. 13.4) несколько изменяет топологию сети и таблиц маршрутизации. Сеть 7 имеет адрес 200.5.5.28/30, интерфейс s1/0 маршрутизатора А – 200.5.5.29, интерфейс s1/3 маршрутизатора В – 200.5.5.30.
Рис.13.4. Измененная топология составной сети OSPF
Таблица маршрутизации R_А:
R_А# sh ip route
...
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C 10.10.10.16/28 is directly connected, FastEthernet0/0
C 10.10.10.32/27 is directly connected, FastEthernet0/1
O 10.10.10.128/26 [110/782] via 200.5.5.30, 00:04:02, Serial1/0
172.16.0.0/29 is subnetted, 1 subnets
O 172.16.20.64 [110/782] via 200.5.5.22, 00:20:44, Serial1/1
200.5.5.0/30 is subnetted, 3 subnets
C 200.5.5.20 is directly connected, Serial1/1
O 200.5.5.24 [110/1562] via 200.5.5.22, 00:20:30, Serial1/1
[110/1562] via 200.5.5.30, 00:04:02, Serial1/0
C 200.5.5.28 is directly connected, Serial1/0
Из распечатки следует, что путь до сети 10.10.10.128/26 сократился со значения 1563 до 782. В сеть 200.5.5.24 можно попасть как через интерфейс 200.5.5.22, так и через – 200.5.5.30, причем метрика одинакова (1562). Появилась непосредственно присоединенная сеть 200.5.5.28. Остальные параметры таблицы маршрутизации R-А остались без изменений.
Первая строка таблицы маршрутизации R_А содержит родительский маршрут 10.0.0.0/8, где указано, что сеть включает три подсети с масками переменной длины. В этом случае маска /8 относится именно к родительской сети полного класса. Далее указаны три дочерних подсети, каждая со своим префиксом /28, /27, /26.
Когда родительская сеть включает одну подсеть, как в пятой строке таблицы R_А (172.16.0.0/29), то префикс /29 относится к дочерней сети, которая представлена в следующей строке таблицы – 172.16.20.64.
Таблица маршрутизации R_В:
R_В>sh ip route
...
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
O 10.10.10.16/28 [110/782] via 200.5.5.21, 00:18:37, Serial1/2
O 10.10.10.32/27 [110/782] via 200.5.5.21, 00:18:37, Serial1/2
O 10.10.10.128/26 [110/782] via 200.5.5.26, 00:14:13, Serial1/1
172.16.0.0/29 is subnetted, 1 subnets
C 172.16.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 3 subnets
C 200.5.5.20 is directly connected, Serial1/2
C 200.5.5.24 is directly connected, Serial1/1
O 200.5.5.28 [110/1562] via 200.5.5.26, 00:04:26, Serial1/1
[110/1562] via 200.5.5.21, 00:02:06, Serial1/2
Изменения в таблице R_В связаны только с новой сетью 200.5.5.28, к которой ведут два равнозначных пути: через 200.5.5.21 и через 200.5.5.26.
Таблица маршрутизации R_С:
R_С#sh ip route
...
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
O 10.10.10.16/28 [110/782] via 200.5.5.29, 00:03:01, Serial1/3
O 10.10.10.32/27 [110/782] via 200.5.5.29, 00:03:01, Serial1/3
C 10.10.10.128/26 is directly connected, FastEthernet0/0
172.16.0.0/29 is subnetted, 1 subnets
O 172.16.20.64 [110/782] via 200.5.5.25, 00:15:18, Serial1/2
200.5.5.0/30 is subnetted, 3 subnets
O 200.5.5.20 [110/1562] via 200.5.5.25, 00:15:18, Serial1/2
[110/1562] via 200.5.5.29, 00:03:01, Serial1/3
C 200.5.5.24 is directly connected, Serial1/2
C 200.5.5.28 is directly connected, Serial1/3
Распечатка таблицы маршрутизации R_С позволяет сделать вывод о том, что маршруты к подсетям 10.10.10.16 и 10.10.10.32 сократились практически в два раза (метрика 782 вместо 1563), и проходят через интерфейс 200.5.5.29 (ранее был 200.5.5.25). Трафик в сеть 200.5.5.20 может передаваться поочередно (режим баланса) как через интерфейс 200.5.5.25, так и через 200.5.5.29. Остальные параметры таблицы маршрутизации остались без изменений.
Сетевые фильтры
Сетевые фильтры или списки доступа (Access Lists – ACL) могут разрешать (permit) или запрещать (deny) продвижение пакетов через маршрутизатор, разрешать или запретить доступ в сеть.
Сетевые фильтры (списки доступа) создаются для входящих или исходящих пакетов на основании анализируемых параметров (адреса источника, адреса назначения, протокола и номера порта верхнего уровня), указанных в списке доступа ACL.
Принятие решения при тестировании пакета
Списки доступа могут быть определены для каждого установленного на интерфейсе протокола и для каждого направления сетевого трафика (исходящего и входящего).
Если списки доступа не формируются на маршрутизаторе, то все проходящие через маршрутизатор пакеты, будут иметь доступ к сети.
Неявно заданная
по умолчанию команда deny
any
(запретить
все остальное)
присутствует в конце списка.
Существуют разные типы списков доступа: стандартные (standard ACLs), расширенные (extended ACLs) и именованные (named ACLs).
Каждый список должен иметь уникальный идентификационный номер.
Диапазон номеров |
Название списка доступа |
1-99 |
IP standard access-list |
100-199 |
IP extended access-list |
1300-1999 |
IP standard access-list (extended range) |
2000-2699 |
IP extended access-list (extended range) |
600-699 |
Appletalk access-list |
800-899 |
IPX standard access-list |
900-999 |
IPX extended access-list |
Стандартные списки доступа (Standard access lists) – для принятия решения в IP пакете анализируется только адрес источника сообщения.
Расширенные списки доступа (Extended access lists) проверяют как IP-адрес источника, так и IP-адрес назначения, поле протокола в заголовке пакета Сетевого уровня и номер порта в заголовке Транспортного уровня.
Список доступа производит фильтрацию пакетов по порядку, поэтому в строках списков следует задавать условия фильтрации, начиная от специфических условий до общих.
Не удовлетворяющий списку доступа пакет протокола IP будет отклонен и уничтожен, при этом отправителю будет послано сообщение ICMP. Новые записи (линии) всегда добавляются в конце списка доступа.