보안세상
OSPF의 개요및 장점 세팅까지 본문
<OSPF(Open Shortest Path First)>
- Link-state 프로토콜
- 현재 사용되는 OSPF는 버전 2
- RFC2328에 규정되어 있으며 IP패킷에서 프로토콜 번호 89번을 사용한다.
- Classless 라우팅 프로토콜 (VLSM, CIDR을 지원)
- convergence(수렴) 시간이 빠르다.
- Multicast를 사용해 정보를 전달한다.
( 224.0.0.5 => DROTHER 사용, 224.0.0.6 => DR & BDR 사용
즉, DROTHER는 목적지 주소를 224.0.0.6으로 해서 DR,BDR에게 라우티 정보를 전송
DR은 목적지 주소를 224.0.0.5로 해서 DROTHER에게 라우팅 정보를 전송한다.
DROTHER는 목적지 주소가 224.0.0.5인 것만 수신하고 DR, BDR은 224.0.0.5, 224.0.0.6 모두를 수신한다.)
- 안정되고 다양한 기능이 있다.
- AD값은 110
- SPF(Shortest Path First)또는 Dijkstra(디지크스트라)라는 알고리즘을 이용해서
각 목적지까지의 최적 경로를 계산한다.
<장점>
- 대규모의 네트워크를 안정되게 운영할 수 있다.
- OSPF는 area 단위로 구성한다. 특정 에어리어에서 발생하는 상세한 라우팅 정보가
다른 에어리어로 전송되지 않아 큰 규모에서도 안정되게 운영할 수 있다.
- stub이라는 강력한 축약 기능이 있다.
기존 라우팅 프로토콜들은 연속되는 IP 주소를 사용하는 네트워크를 축약했지만
stub area는 연속되지 않아도 라우팅 테이블의 크기를 획기적으로 줄일 수 있다.
- EIGRP는 시스코 전용이지만 OSPF는 표준 라우팅 프로토콜이기 때문에 시스코 라우터에서만
사용이 가능하지만 OSPF는 대부분 라우터에서 사용이 가능하다.
<단점>
- 설정이 지금까지 공부했던 라우팅 프로토콜보다 조금 까다롭다.
(네트워크 종류에 따라 동작하는 방식이 다르다.)
* 네트워크 종류 : 브로드캐스트 멀티액세스
포인트 투 포인트 (CCNA는 포인트 투 포인트 방식으로 설정한다.)
포인트 투 멀티포인트
논브로드캐스트 멀티액세스 (NBMA)
- 라우팅 정보 계산 및 유지를 위해 CPU, DRAM과 같은 자원을 비교적 많이 사용한다.
=======================================================================================
<OSPF 패킷>
1. Hello packet
-> OSPF가 설정된 인접한 라우터간 네이버 관계를 형성하고 네이버 관계를 유지하는데 사용. OSPF가 설정된 인터페이스로 서로
hello packet을 교환하여 네이버를 맺는다. 네이버를 맺은 후에도 일정 주기(hello 주기)로 hello 패킷을 전송하고 정해진 주기안에
(dead 주기) 상대방에게 hello 패킷을 수신받지 못하면 해당 네이버에 문제가 생긴걸로 간주하고 네이버 관계를 끊는다.
=> 라우터ID, area ID, 인증 암호, 서브넷 마스크, hello 주기, dead 주기, stub area flag, 라우터 Priority, DR, BDR,
네이버 리스트의 정보를 담고 있다.
2. DBD (DDP)
-> OSPF의 네트워크 정보를 LSA(Link state advertisement)라고 부르는데 OSPF는 자신이 만든 LSA와 네이버에게서 받은 LSA를
link state 데이터 베이스에 저장한다. DBD는 OSPF 라우터의 link state 데이터 베이스에 있는 LSA들의 요약된 정보를 알려주는 패킷이다.
즉, 네이버간 LSA를 교환하기 전에 자신의 link state 데이터베이스에 있는 요약된 LSA목록을 상대방에게 알려주기 위해서 사용한다.
3. LSR (Link State Request)
-> 네이버에게 전송받은 DBD에 자신의 link state 데이터베이스에 정보가 없는 네트워크가 있다면 그 네트워크에 대한 상세정보(LSA)를
요청할 때 사용되는 패킷이다.
4. LSU (Link State Update)
-> 네이버에게 LSA를 요청받는 LSR을 받거나 자신이 알고 있는 네트워크의 상태가 변했을 경우 해당 라우팅 정보를 전송할 때 사용하는 패킷.
즉, LSA를 실어나를 때 사용하는 패킷이다.
5. LS ACK (Link State Acknowledgment)
-> OSPF 패킷을 정상적을 수신했음을 알려줄 때 사용.
DBD, LSR, LSU 패킷을 수신하면 LS ACK 패킷을 사용하여 수신받았음을 알려준다.
=======================================================================================
<OSPF가 테이블을 만들고 유지하는 방법>
1) OSPF를 설정한 라우터끼리 hello 패킷을 교환해서 네이버 혹은 adjancent 네이버를 맺는다.
(OSPF는 모든 네이버가 라우팅 정보를 교환하는게 아니다. 라우팅 정보를 교환하는 네이버를 adjacent 네이버라고 부른다.)
2) adjacent네이버인 라우터간 라우팅 정보를 서로 교환, OSPF에서 라우팅 정보를 LSA(Link state advertisement)라고 한다.
전송받은 LSA를 link state 데이터베이스에 저장.
3) LSA를 모두 교환하고 SPF(shortest Path First)또는 Dijkstra알고리즘을 이용해서 각 목적지까지의 최적 경로를 계산하고
라우팅 테이블에 올린다.
4) 그 후에도 hello 주기에 따라 hello packet을 교환하며 정상적인 상태인지 확인한다.
5) 만약 네트워크의 상태가 변하면 다시 반복해서 라우팅 테이블을 만든다.
=======================================================================================
<OSPF 네트워크 분류>
- RIP과 EIGRP는 네트워크 타입별로 설정방식이 다르지 않고 동일하다.
하지만 OSPF는 네트워크 타입별로 설정 및 동작 형태가 다른다.
1. 브로드캐스트 네트워크 - 네이버 자동, DR 선출, 헬로 10초, 데드 40초 (ex. 이더넷, 토큰링, FDDI)
2. 포인트 투 포인트 네트워크 - 네이버 자동, DR 선출 X, 헬로 10초, 데드 40초 (ex. PPP, HDLC, F/R의 포인트 투 포인트 서브 인터페이스)
3. 포인트 투 멀티 포인트 네트워크 - 네이버 자동, DR 선출 x, 헬로 30초, 데드 120초
4. 논브로드캐스트 네트워크 - 네이버 지정, DR 선출, 헬로 30초, 데드 120초 (ex. 멀티포인트 서브인터페이스, F/R, ATM, X.25)
=======================================================================================
<OSPF 설정>
R1(config)#rotuer ospf <process-ID> // 프로세스 ID는 1 - 65535사이에 적당한 값을 사용
프로세스 ID는 동일한 라우터에서 복수개의 OSPF 프로세스를 동작시킬 때
서로 구분하기 위해서 사용. 일반적으로 하나의 라우터에서는 하나의
프로세스만 사용한다. 라우터간 서로 달라도 괜찮다.
R1(config-router)#router-id x.x.x.x // distance vector 라우팅 프로토콜(RIP, IGRP 등)들은 라우팅 정보 전송시
목적지 네트워크와 메트릭 값만을 알려주지만 Link state 라우팅 프로토콜들은
목적지 네트워크, 메트릭 값 이외에도 해당 라우팅 정보를 만든 라우터와
해당 라우팅 정보를 전송하는 라우터가 누구인지 알려주는데 그 때 사용되는 것이
라우터 ID 이다. -> 즉 식별자 역할을 한다. (그 외에도 여러 역할을 한다.)
설정하지 않을 경우 규칙에 따라 자동으로 설정되지만 수동으로 잡아주는 것이
더 확실하고 안정적이어서 좋다.
R1(config-router)#network y.y.y.y 0.0.0.0 area 0 // 자신에게 연결된 네트워크를 다른 라우터들에게 광고한다. wildcart mask를 사용
마지막에 area를 표시한다. (area 0는 백본 에어리어)
* 라우터 ID를 임의로 설정하지 않을 경우 루프백 인터페이스에서 가장 높은 IP주소가 설정.
루프백 인터페이스가 없을 경우 물리적 인터페이스에서 가장 높은 IP주소가 설정 (관리용)
라우터 ID를 OSPF 네트워크에 포함시키지 않아도 상관없다.
동일한 라우터에서 다른 라우팅 프로토콜에 포함된 IP주소를 사용해도 된다.
현재 라우터에 설정되어 있지 않는 IP주소를 ID로 사용해도 된다.
변동되지 않는 IP주소를 사용하는 것이 중요하다. => 주로 루프백 IP를 사용
라우터 ID를 변경하려면 OSPF 프로세스를 다시 시작한다. ('clear ip ospf process' -> 'y')
* 네트워크가 논브로드캐스트 멀티액세스(NBMA)일 경우 'R1(config-router)#neighbor x.x.x.x' 명령어로 서로 연결되는 OSPF 네이버를 지정해야 한다.
=======================================================================================
<OSPF 동작방식>
- 이더넷, NBMA 등의 멀티 엑세스 네트워크에 접속된 모든 라우터가 서로 1:1로 LSA를 교환하면 동일 네트워크에서 중복된 LAS와
ACK가 많이 발생하게 된다.
=> 때문에 LSA 중계 역할을 하는 DR(Designated Router)을 선출하고, DR에 이상이 생길경우를 대비해서 BDR(Backup DR)을 선출용한다.
즉, OSPF가 설정된 모든 라우터는 대표 중계 라우터인 DR에게만 LSA를 보내고 DR이 나머지 라우터에게 이를 중계하면 훨씬
효과적이다. (LSA와 ACK 패킷이 줄어든다.)
=> DR, BDR은 브로드캐스트 및 논브로드캐스트 네트워크에서만 사용되며, 포인트 투 포인트 네트워크에서 사용하지 않는다.
--------------------------------------------------------------------------------------
- DR 선출방법 -
1. 인터페이스 OSPF priority가 가장 높은 라우터가 DR이 된다. (다음으로 높은 라우터가 BDR이 된다.)
-> OSPF priority가 0이면 DR이나 BDR이 될 수 없다.
2. OSPF priority가 모두 동일하면 라우터 ID가 높은 것이 DR, BDR이 된다.
3. DR, BDR이 선출된 후에 더 높은 우선 순위의 라우터가 추가되어도 DR, BDR이 변하지 않는다.
(라우터를 재부팅하거나 clear ip ospf process 명령어를 사용해야 다시 선출한다.)
4. DR이 다운되면 BDR이 DR이 되고 BDR을 새로 선출, BDR이 다운되면 BDR을 새로 선출한다.
DR이 아닌 라우터를 DROTHER라고 부른다. (확인은 show ip ospf neighbor 혹은 show ip ospf interface로 할 수 있다.)
=======================================================================================
<OSPF adjacent 네이버>
- OSPF 라우팅 정보(LSA)를 서로 주고 받는 네이버를 adjacent 네이버라고 한다.
- DR과 다른 라우터들
- BDR과 다른 라우터들
- 포인트 투 포인트 네트워크로 연결된 두 라우터
- 포인트 투 멀티 포인트 네트워크로 연결된 라우터들
- virtual-link로 연결된 두 라우터
=> 확인은 다른 라우터와 연결된 인터페이스에서 'show ip ospf serial 0/0'
=======================================================================================
<OSPF 네이버 상태 변화>
- 일반적으로 down 상태에서 시작해서 네이버와 라우팅 정보 교환을 끝낸 full상태로 변한다.
1) 다운(down)상태 : OSPF가 설정되고 hello 패킷을 전송했지만 아직 상대방 라우터에게 hello 패킷을 받지 못한 상태
full 상태 후에도 dead 주기 동안 OSPF hello 패킷을 받지 못하면 다시 다운 상태가 된다.
2) attempt 상태 : 논브로드캐스트 네트워크에서만 적용되는 상태. OSPF 설정에서 neighbor 명령어를 사용하여 지정한 네이버에게서
헬로 패킷을 수신하지 못한 상태를 의미.
3) init 상태 : 네이버에게 hello 패킷을 받았으나 상대 라우터가 아직 내가 전송한 hello 패킷을 아직 수신하지 못한 경우
(상대방이 보낸 hello 패킷 안의 네이버 리스트에 내 라우터 ID가 없는 경우)
4) two-way 상태 : 네이버와 쌍방향 통신이 이루어진 상태. 멀티액세스 네트워크라면 이 단계에서 DR과 BDR을 선출한다.
DROTHER간은 라우팅 정보를 교환하지 않으므로 즉, 어드제이션시를 맺지 않으므로 네이버 상태가 투 웨이 상태로
남는다.
5) exstart 상태 : 어드제이션트 네이버가 되는 첫 단계. 마스터와 슬레이브 라우터를 선출 (라우터 ID가 높은것이 마스터)
6) exchange 상태 : 각 라우터에서 자신의 link state 데이터베이스에 저장된 LSA 헤더만을 DBD라고 부르는 패킷에 담아
상대방에게 전송한다. DBD 패킷을 수신한 라우터는 자신의 link state 데이터베이스의 내용과 비교해 보고
자신에게 없거나 자신의 정보가 더 오래된 것이면 상대방에게 상세한 정보를 요청하기 위해 link state request
list에 기록. DBD를 수신받고 그 안에 자신에게 없는 정보가 없으면 바로 full 상태가 된다.
7) loading 상태 : 상대로부터 DBD수신이 끝나고 자신에게 없는 정보를 LSR로 요청한다. 요청받은 라우터는 해당 정보를 LSU로 전송
해준다.
8) full 상태 : 어드제이션트 라우터들간에 정보 교환이 모두 끝나서 어드제이션트 네이버간 link state 데이터베이스 내용이 모두
일치된 상태이다.
===> 네트워크 종류에 따라서 몇 단계를 건너뛰기도 한다. (debug ip opsf adj)을 실행하고 ospf를 설정하면 네이버간의 상태변화를
확인할 수 있다.
=======================================================================================
<OSPF 메트릭>
- OSPF 메트릭은 cost라고 부른다.
- 10^8/bandwidth(bps) = cost
- 코스트 계산시 소수점이하는 전부 버린다. 하지만 1 미만이면 1로 계산한다.
- 인터페이스에서 명령어로 코스트를 변경할 수도 있다. (ip ospf cost ?)
=======================================================================================
<OSPF area>
- OSPF는 복수개의 area로 나눠서 설정
- 규모가 작을때는 하나의 area만 사용해도 된다
- area가 하나일 경우에는 area 번호로 아무거나 사용해도 된다.
하지만 area가 두 개 이상일 경우 하나는 반드시 0으로 써야 한다.
- area 0은 백본 에어리어라 불리며 기본적으로 다른 area 들은 area 0과 물리적으로 직접 연결돼야 한다.
- area로 나눠서 구성하면 안정된 대규모 네트워크를 운영할 수 있다.
=> OSPF 라우팅 정보를 LSA라면 여러 종류가 있다. type 1과 2는 동일한 area 내부로만 전달
즉, area가 다르면 이 두가지 LSA는 다른 area로 전달되지 않는다. 결과적으로 토폴로지의 변화가 심한 불안정한 네트워크라도
그 영향을 자신의 area 내부에 국한시킬 수 있다.
OSPF는 RIP이나 EIGRP처럼 임의 라우터에서 축약하는 것이 아니라 area별로 축약을 설정한다. 따라서 특정 area에 소속된
네트워크를 축약함으로 특정 area 네트워크 정보를 전송하는 LSA type 3의 전송을 최소화할 수 있다.
즉, 특정 area에서 발생하는 토폴로지 변화가 다른 area에 미치는 영향을 최소화한다.
OSPF 외부 네트워크 또는 다른 에어리어의 라우팅 정보가 모두 차단되어 라우팅 테이블을 획기적으로 줄이는 stub area 기능이 있다.
=======================================================================================
<OSPF 라우터의 종류>
1. 백본 라우터 : 백본 에어리어(area 0)에 소속된 라우터
2. 내부 라우터 : 하나의 에어리어에만 소속된 라우터
3. ABR : 두개 이상의 에어리어에 소속된 에어리어 경계 라우터를 의미
4. ASBRP : OSPF 네트워크와 다른 라우팅 프로토콜이 설정된 네트워크를 연결하는 AS경계 라우터를 의미
=======================================================================================
<OSPF 경로>
-----------------------------------------------------------------------------------
| 우선 순위 | 코드 | 경로 타입 | 내용 |
-----------------------------------------------------------------------------------
| 1 | O | 에어리어 내부 경로 | 동일 AREA에 소속된 경로 | -> intra area route
------------------------------------------------------------------------------------
| 2 | O IA | 에어리어 간 경로 | 다른 AREA에 소속된 경로 | -> inter area route
------------------------------------------------------------------------------------
| 3 | O E1 | | 변동 코스트 값을 가지는 외부 경로 | -> 외부에서 OSPF로 재분배된 네트워크
---------------------- -----------------------------------------
| 4 | O N1 | 도메인 외부 경로 | 변동 코스트 값을 가지는 NSSA 외부 경로| -> 외부에서 OSPF로 재분배된 네트워크
---------------------- -----------------------------------------
| 5 | O E2 | | 고정 코스트 값을 가지는 외부 경로 | -> 외부에서 OSPF로 재분배된 네트워크
---------------------- -----------------------------------------
| 6 | O N2 | | 고정 코스트 값을 가지는 NSSA 외부 경로| -> 외부에서 OSPF로 재분배된 네트워크
-----------------------------------------------------------------------------------
=> OSPF경로의 AD는 모두 110, 하지만 OSPF 경로간에는 우선순위가 존재한다.
OSPF 메트릭인 cost가 나빠도 코드의 우선 순위가 높으면 더 우선한다.
라우팅 테이블을 확인하면 정보에 라우팅 정보에 따라 코드를 확인할 수 있다.
=======================================================================================
<LSA와 link state database>
- OSPF가 사용하는 라우팅 정보를 LSA라고 한다.(Link state advertisement)
- 모두 type 1부터 type 11까지 11 종류의 LSA를 이요하여 라우팅 정보를 전송
- OSPF는 수신한 LSA를 모두 link state database에 저장한 후 최적 경로를 선출해서 라우팅 테이블에 올린다.
------------------------------------------------------------------------------------
| type | 이름 | 생성 라우터 | 내용 | 확인 명령어 | 전송범위 |
------------------------------------------------------------------------------------
| 1 | router | 모든 라우터 | 인터페이스와 연결된 상태 | router | area |
------------------------------------------------------------------------------------
| 2 | network | DR | DR과 연결된 라우터 ID | network | area |
------------------------------------------------------------------------------------
| 3 | summary | ABR | 타 에어리어 네트워크 | summary | area |
------------------------------------------------------------------------------------
| 4 | summary | ABR | ASBR 라우터 ID | asbr-summary | area |
------------------------------------------------------------------------------------
| 5 | AS-external | ASBR | 외부 네트워크 | external | AS |
------------------------------------------------------------------------------------
| 7 | AS-external | NSSA ASBR | NSSA 외부 네트워크 | nssa-external | AS |
------------------------------------------------------------------------------------
=> 많이 사용되는 OSPF LSA type
=> link state database에 저장된 LSA를 확인하려면 'show ip opsf datebase'명령어를 사용한다.
=> link state database는 에어리어별로 관리되며 동일한 area의 내부 라우터들은 link state database 내용이
모두 동일하다.
1) type 1 : OSPF가 동작하는 모든 라우터가 생성하고 동일 area 내의 모든 라우터에게 전달된다.
링크 데이터의 정보와 각 인터페이스의 cost를 다른 라우터에게 알려주는 역할
2) type 2 : DR이 만들며 동일 area내의 모든 라우터에게 전달.
DR과 연결된 라우터들의 라우터 ID를 표시한다.
3) type 3 : ABR이 만들며 다른 area에 소속된 네트워크를 현재의 area에 소속된 라우터들에게 알리기 위해 사용
4) type 4 : 다른 area에 소속된 ASBR 라우터 ID와 그 ASBR까지의 cost를 현재 area에 소속된 라우터들에게 알리기 위해 사용
5) type 5 : ASBR이 만들며 OSPF 도메인 외부 네트워크를 OSPF 도메인 내부의 라우터들에게 알리기 위해 사용된다.
=======================================================================================
<OSPF 네트워크 summary(축약)>
- RIP과 EIGRP의 경우에는 라우팅 경로를 전달하는 라우터의 인터페이스에서 축약을 설정했었다.
- 하지만 OSPF는 RIP과 EIGRP와는 달리 축약을 할 수 있는 위치가 고정되어 있다.
- 자신이 속한 area의 네트워크들을 축약하여 다른 area로 전송시키려면 그 area 사이에 있는 ABR에서 축약을 하고
외부에서 재분배된 네트워크를 축약하려면 ASBR에서 축약해야 한다.
- 축약시 얻을 수 있는 장점은 좀더 안정된 네트워크를 유지할 수 있다는 것이다.
축약에 포함된 상세 네트워크의 변화가 (up, down)전체 네트워크에 미치는 영향을 최소화 시킬 수 있다.
또 축약에 의해 LSA(라우팅 정보)의 수량과 라우팅 테이블의 크기가 줄어들고 bandwidth 및 라우터의 메모리와
CPU가 절약된다. -> 라우팅 테이블 검색 속도가 빨라지고 통신 속도도 좋아진다.
- 축약에는 ABR에서의 축약과 ASBR에서의 축약이 있다.
--------------------------------------------------------------------------------------
1) ABR에서 축약
<설정>
R3(config)#router ospf 1 // 축약할 네트워크가 있는 라우터가 아니라
R3(config-router)#area 2 range x.x.x.x y.y.y.y 축약한 정보를 넘기는 area의 ABR에서 설정한다.
--- ------- -------
1 2 3
=> 1 : 축약하는 정보가 있는 area ID
2 : 네트워크를 축약한 IP
3 : 축약한 네트워크의 서브넷 마스크
- 축약을 설정한 라우터에도 null 0로 축약 네트워크가 광고되어 진다. => EIGRP와 마찬가지로 루핑을 방지하기 위해서
- R1에서 확인하면 축약된 정보로 광고되어 진다.
--------------------------------------------------------------------------------------
2) ASBR에서 축약
- 외부에서 재분배된 네트워크르르 축약하려면 ASBR에서 축약을 해야한다.
<설정>
R2(config)#router ospf 1
R2(config)#summary-address x.x.x.x y.y.y.y
------- -------
1 2
=> 1 : 네트워크를 축약한 IP
2 : 축약한 네트워크의 서브넷 마스크
- ABR에서 축약과 마찬가지로 축약을 설정한 라우터에도 루핑방지를 위해 null 0로 축약 네트워크가 광고되어 진다.
- R1에서 확인하면 축약된 정보로 광고되어 진다.
=======================================================================================
<OSPF 네트워크 인증>
- OSPF는 RIP, EIGRP와는 달리 인접한 네이버간의 네이버 인증외에도 특정 area전체를 인증할 수도 있다.
- 인증을 하지 않는 것은 type 0, 평문 인증은 type 1, MD5 인증은 type2 인증이라고 한다.
(MD5로 인증하는 것이 보안성이 더 좋다.)
--------------------------------------------------------------------------------------
1) AREA 인증
- OSPF area 인증이란 동일한 area에 소속된 모든 라우터가 OSPF 인증을 하게 하는 것
- 동일한 area에 속한 모든 라우터의 인증 방식은 동일해야 하고 인증키는 네이버간에만 일치하면 된다.
<설정>
- MD5 인증 -
R1(config)#router ospf 1
R1(config-router)#area 1 authentication message-digest
R1(config)#interface serial 0/0
R1(config-if)#ip ospf message-digest-key <key 값> md5 <word> //md5로 인증, 인증키와 word는 네이버간 일치하면 된다.
- 평문 인증 -
R1(config)#router ospf 1
R1(config-router)#area 1 authentication
R1(config)#interface serial 0/0
R1(config-if)#ip ospf authentication-key <word>
=> 설정하고 'debug ip ospf adj'로 디버깅하면 인증 내용들이 디버깅돼서 보인다.
--------------------------------------------------------------------------------------
2) 네이버 인증
- 네이버 인증은 네이버와 연결된 인터페이스에서 인증방식과 키를 설정하면 된다.
<설정>
- 평문 인증 -
R1(config)#interface serial 0/1
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key <word>
R3(config)#interface serial 0/0
R3(config-if)#ip ospf authentication
R3(config-if)#ip ospf authentication-key <word>
- MD5 인증 -
R1(config)#interface serial 0/1
R1(config-if)#ip ospf authentication message-digest
R1(config-if)#ip ospf message-digest-key <key 값> md5 <word>
R3(config)#interface serial 0/0
R3(config-if)#ip ospf authentication message-digest
R3(config-if)#ip ospf message-digest-key <key 값> md5 <word>
=> 설정하고 'debug ip ospf adj'로 디버깅하면 인증 내용들이 디버깅돼서 보인다.
=======================================================================================
<stub area>
- OSPF의 장점 중 하나가 stub area
- stub area의 ABR이 내부 라우터에게 외부 경로(E1, E2)에 대한 LSA를 차단하고 대신에 defaul route를 전달한다.
- 결과적으로 라우팅 테이블의 크기가 크게 줄어들고 네트워크의 안정성이 높아진다.
- stub의 종류는 stub area, totally stub(완전 stub), NSSA(Not-so-stubby area)가 있다.
- area 0(백본 area), transit area는 stub area가 될 수 없다. (NSSA를 제외하고는 내부에 ASBR을 둘 수 없다.)
<stub area 설정>
R1(config)#router ospf 1
R1(config-router)#area 1 stub // stub area에 속한 모든 라우터(ABR 포함)에게 이 명령어를 입력한다.
R2(config)#router ospf 1
R2(config-router)#area 1 stub // stub area에 속한 모든 라우터(ABR 포함)에게 이 명령어를 입력한다.
=> 설정후 area 1 내부 라우터의 라우팅 테이블을 보면 도메인 외부 네트워크의 정보가 없고 ABR이 만들어 보낸 디폴트 루트가 저장된다.
(즉, E1, E2 경로를 모두 차단, 하지만 O IA 정보는 넘어온다.)
<totally stub area>
- totlly stub area는 OSPF 외부 도메인 네트워크 (E1, E2)뿐 아니라 다른 area에 소속된 경로 (IA)도 차단한다.
<totally stub area 설정>
R1(config)#router ospf 1
R1(config-router)#area 1 stub // totally stub area에 속한 내부 라우터에게 이 명령어를 입력한다.
R2(config)#router ospf 1
R2(config-router)#area 1 stub no-summary // totally stub area의 ABR 라우터에게 이 명령어를 입력한다.
=> totally stub area의 ABR이 stub area 내부로 외부 경로(E1, E2) 및 다른 area 경로(IA) 모두를 차단하고 대신 default 루트를 만들어서 전송
=======================================================================================
<virtual link>
- 기본적으로 OSPF의 모든 area는 area 0(백본 area)와 연결되어 있어야 하는데 네트워크를 변경하거나, 특정 링크가 다운되거나 혹은
두개의 회사가 합병하는 등의 특별한 경우에는 area 0와 연결되지 못한 area가 생길 수 있다.
=> 이러한 경우를 해결하기 위해서 사용하는 것이 virtual-link이다.
- 즉, area 0와 떨어진 area 사이에 가상의 링크를 만들어서 네이버 관계를 맺어 서로 라우팅 정보를 교환할 수 있게 해준다.
- area 0(백본 에어리어)와 떨어진 area 사이에서 virual-link가 통과하는 중간에 있는 area를 transit area라고 한다.
<설정>
R1(config)#router ospf <process-ID>
R1(config-if)#area <transit area ID> virtual-link <virtual-link로 연결한 area의 ABR 라우터 ID>
// transit area ID를 쓰고 떨어진 상대측 area의 ABR의 라우터 ID를 지정한다.
(ex. area 1 virtual-link 3.3.3.3)
R3(config)#router ospf <process-ID>
R3(config-if)#area <transit area ID> virtual-link <virtual-link로 연결한 area의 ABR 라우터 ID>
=> show ip ospf virtual-link로 확인
=> 만약 area 0에 area 인증을 했다면 virtul-link로 연결한 area도 같이 area 인증을 해줘야 네이버를 맺는다.
=======================================================================================
'공부' 카테고리의 다른 글
NAT방식과 PAT방식 예제 (0) | 2015.06.21 |
---|---|
NAT와 PAT 기본 세팅 및 명령어 (0) | 2015.06.20 |
패킷트레이서를 이용해서 dscp 실습 (0) | 2015.06.20 |
리눅스 네임서버 구축 (0) | 2015.01.11 |
구글 검색 Tip (0) | 2015.01.10 |