Tweet
OSPF (Open Shortest Path First)
– Link-state.
– Classless.
– AD= 110.
– Có thể phân vùng một hệ thống mạng thành các khu vực riêng biệt. Area 0 được coi là một khu vực xương sống của OSPF.
– Thiết bị định tuyến OSPF sẽ xây dụng một cơ sở dữ liệu chung về trạng thái đường link trong khu vực nhờ vào các bản tin LSA (Link-State Advertisiments). Bằng thuật toán chúng sẽ tính toán ra đường đi ngắn nhất SPF (Shortest Path First).
– Metric = cost (Giá trị cost được suy ra từ bandwidth).
– Một ASA hổ trợ nhiều nhất hai quá trình OSPF.
Có thể cấu hình OSPF theo các bước sau:
• Bước 1:
Xác định quá trình OSPF
ciscoasa(config)# router ospf process-id
OSPF được xác định bỡi một id, porcess-id là giá trị tùy định, chỉ định danh cho một quá trình chạy OSPF. Qua đó mỗi OSPF sẽ hoạt động riêng biệt với nhau.
• Bước 2:
Hiệu chỉnh OSPF
ciscoasa(config-router)# router-id ip_address
Router-id dùng để định danh cho một ASA trong môi trương OSPF.
Phân phối thông tin định tuyến
ciscoasa(config-router)# default-information originate [always] [metric value] [metric-type 2] [route-map name]
Chỉnh giá trị AD
ciscoasa(config-router)# distance ospf [intra-area d1] [inter-area d2] [external d3]
Intra-area d1: để thiết lập các tuyến đường trong khu vực OSPF.
Intra-area d2: thiết lập các tuyến đường từ vùng này sang vùng khác.
external d3: thiết lập tuyến đường từ một giao thức định tuyến khác vào khu vực OSPF.
Hiệu chỉnh giờ tính toán đường đi cho OSPF
ciscoasa(config-router)# timers lsa-group-pacing seconds
Spf_delay: thời gian chờ của quá trình OSPF sau khi nhận được một sự thay đổi về cấu trúc của hệ thống mạng(mặc định 5s).
Spf_holdtime :thời gian OSPF chờ giữa 2 tính toán SPF liên tục (mặc định 10s).
lsa-group-pacing seconds hiệu chỉnh thời gian tính toán LSA(mặc định 240s).
• Bước 3: Khai báo khu vực mạng
ciscoasa(config-router)# network ip_address netmask area area_id
• Bước 4:
Chứng thực Clear-text hoặc MD5
ciscoasa(config-router)# area area_id authentication [message-digest]
Chứng thực phải đặt lên từng interface
ciscoasa(config)# interface interface
ciscoasa(config-if)# ospf message-digest-key key-id md5 key
ciscoasa(config-if)# ospf authentication message-digest
key-id chạy từ 1-255, chuỗi 16 ký tự.
• Bước 5:
Cấu hình bộ lọc
Nếu một ASA được cấu hình là ABR, nó sẽ gửi các bản tin LSA ra các khu vực khác.
Vì lý do bảo mật nên ta có thể lọc một số bản tin
Sử dụng lệnh
ciscoasa(config)# prefix-list list_name [seq seq_number] permit prefix/len [ge min_value] [le max_value]
Tiếp theo phải áp dụng các danh sách này vào hoặc ra khỏi khu vực
ciscoasa(config-router)# area area_id filter-list prefix list_name [in | out]
• Bước 6
Tóm tắt các tuyến đường
Một ABR có thể làm giảm các tuyến đường bằng cách nó sẽ tóm tắt các tuyến đường thành các địa chỉ thay thế và được xác định bằng địa chỉ ip và netmask
ciscoasa(config-router)# area area_id range ip_address netmask [advertise | not-advertise]
Ví dụ:
Một firewall ASA (ABR)nằm giửa để kết nối với OSPF area 0 bên trong và OSPF arae 4 bên ngoài. Mạng 10.1.4.0/24 cho area 4, mạng 192.168.0.0/16 cho area 0.Sử dụng xác thực MD5.
Trần Khánh Huy – VnPro
– Link-state.
– Classless.
– AD= 110.
– Có thể phân vùng một hệ thống mạng thành các khu vực riêng biệt. Area 0 được coi là một khu vực xương sống của OSPF.
– Thiết bị định tuyến OSPF sẽ xây dụng một cơ sở dữ liệu chung về trạng thái đường link trong khu vực nhờ vào các bản tin LSA (Link-State Advertisiments). Bằng thuật toán chúng sẽ tính toán ra đường đi ngắn nhất SPF (Shortest Path First).
– Metric = cost (Giá trị cost được suy ra từ bandwidth).
– Một ASA hổ trợ nhiều nhất hai quá trình OSPF.
Có thể cấu hình OSPF theo các bước sau:
• Bước 1:
Xác định quá trình OSPF
ciscoasa(config)# router ospf process-id
OSPF được xác định bỡi một id, porcess-id là giá trị tùy định, chỉ định danh cho một quá trình chạy OSPF. Qua đó mỗi OSPF sẽ hoạt động riêng biệt với nhau.
• Bước 2:
Hiệu chỉnh OSPF
ciscoasa(config-router)# router-id ip_address
Router-id dùng để định danh cho một ASA trong môi trương OSPF.
Phân phối thông tin định tuyến
ciscoasa(config-router)# default-information originate [always] [metric value] [metric-type 2] [route-map name]
Chỉnh giá trị AD
ciscoasa(config-router)# distance ospf [intra-area d1] [inter-area d2] [external d3]
Intra-area d1: để thiết lập các tuyến đường trong khu vực OSPF.
Intra-area d2: thiết lập các tuyến đường từ vùng này sang vùng khác.
external d3: thiết lập tuyến đường từ một giao thức định tuyến khác vào khu vực OSPF.
Hiệu chỉnh giờ tính toán đường đi cho OSPF
ciscoasa(config-router)# timers lsa-group-pacing seconds
Spf_delay: thời gian chờ của quá trình OSPF sau khi nhận được một sự thay đổi về cấu trúc của hệ thống mạng(mặc định 5s).
Spf_holdtime :thời gian OSPF chờ giữa 2 tính toán SPF liên tục (mặc định 10s).
lsa-group-pacing seconds hiệu chỉnh thời gian tính toán LSA(mặc định 240s).
• Bước 3: Khai báo khu vực mạng
ciscoasa(config-router)# network ip_address netmask area area_id
• Bước 4:
Chứng thực Clear-text hoặc MD5
ciscoasa(config-router)# area area_id authentication [message-digest]
Chứng thực phải đặt lên từng interface
ciscoasa(config)# interface interface
ciscoasa(config-if)# ospf message-digest-key key-id md5 key
ciscoasa(config-if)# ospf authentication message-digest
key-id chạy từ 1-255, chuỗi 16 ký tự.
• Bước 5:
Cấu hình bộ lọc
Nếu một ASA được cấu hình là ABR, nó sẽ gửi các bản tin LSA ra các khu vực khác.
Vì lý do bảo mật nên ta có thể lọc một số bản tin
Sử dụng lệnh
ciscoasa(config)# prefix-list list_name [seq seq_number] permit prefix/len [ge min_value] [le max_value]
Tiếp theo phải áp dụng các danh sách này vào hoặc ra khỏi khu vực
ciscoasa(config-router)# area area_id filter-list prefix list_name [in | out]
• Bước 6
Tóm tắt các tuyến đường
Một ABR có thể làm giảm các tuyến đường bằng cách nó sẽ tóm tắt các tuyến đường thành các địa chỉ thay thế và được xác định bằng địa chỉ ip và netmask
ciscoasa(config-router)# area area_id range ip_address netmask [advertise | not-advertise]
Ví dụ:
Một firewall ASA (ABR)nằm giửa để kết nối với OSPF area 0 bên trong và OSPF arae 4 bên ngoài. Mạng 10.1.4.0/24 cho area 4, mạng 192.168.0.0/16 cho area 0.Sử dụng xác thực MD5.
Trần Khánh Huy – VnPro
Comment