LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> OSPF - 2

Konfigurace pokročilých nastavení v protokolu OSPF: MD5 autentifikace a její problémy, exporty a rychlost linek.

23.1.2008 07:00 | Radim Kolář | Články autora | přečteno 9094×

OSPF - Pokročilá nastavení

OSPF a Autentifikace

V přechozím příkladě nemáme nastavenou žádnou autentifikaci. Pro nasazení do produkce se doporučuje autentifikaci použít, abychom stabilitu sítě ochránily před chybně, nedostatečně nebo záměrně špatně nakonfigurovanými routery.

Protokol OSPF umí dva druhy autentifikace. Plain password a MD5 hash. Pokud použijeme plain heslo tak toho heslo bude uvedeno v každém paketu v plain formátu a tedy dostupné každému, kdo si na síti spustí tcpdump. Plain heslo je pořád lepší než žádné heslo, protože chrání síť před případem, kdy se do sítě připojí počítač (typicky unix notebook) se spuštěným OSPFd exporujícím statický routing.

Praktické problémy s MD5 hesly

MD5 hesla jsou sice bezpečnější ale mají dvě zásadní nevýhody. V první řadě je neumí OSPF router vestavěný ve Windows a některé lowend inteligentní switche. V druhé řadě jsou naneštěstí MD5 hashe chráněné pomocí časových značek proti replay attackům. OSPF protokol synchronizované hodiny na routerech nevyžaduje. Mělo by jen stačit aby se hodiny vždy pohybovaly na časové ose směrem vpřed, ale implementace synchronizace routerů je v různých programech pojata různě. Například OpenOSPFd je poměrně vybíravý a stává se, že se v některých případech nikdy nesyncne nebo jen syncne částečně, což je mnohem horší protože se to prakticky nedá bez podrobného studia routovacích tabulek zjistit. Na problémy OpenOSPFd se podíváme podrobněji.

OpenOSPFd a problémy s MD5 hesly

Rozborem síťového provozu jsem zjistil, že OpenOSPFd reaguje na packety s chybou časovou značkou (např. hodiny posunuté dozadu) tak, že změní svůj interní stav a vyšle žádost o resend. Ostatní programy t.j. XORP a Quagga mají lepší obsluhu chyb a tento packet prostě ignorují. Oba dva tyto programy se ale už nesyncnou pokud posunete hodiny na druhém routeru dozadu, zato OpenOSPFd ano. Postup XORPu a Quaggy je lepší, protože je odolnější vůči chybám a stačí se naučit při každé změně hodin restartovat ospfd.

OpenOSPFd má další problém. Pokud dostane jeden packet od druhého routeru (přesněji řečeno stačí packet se stejným router-id a seriovým číslem) vícekrát tak duplicitní kopii považuje za packet v minulosti. Následně změní svůj interní stav a bude se chtít resyncnout, což se mu nepovede protože každý packet dostane dvakrát. Typicky k této situaci dochází pokud máme v síti vzniklou routing loop (na základě statického routingu, který používáme k OSPF navíc a buďto ho úplně máme chybně nebo jej neexportujeme či chybně nastaveným firewallem filtrujeme OSPF packety) nebo pokud nám v jedné broadcast domain běhá více sítí než jsme v konfiguraci OpenOSPFd oznámili.

OpenOSPFd 4.2 je oproti verzi 4.1 vůči více neznámým sítím výrazně odolnější, nedělá už packet storm při desynchronizaci, ale resenduje žádost o resync každých 5 sekund. Je to sice dost výrazné zlepšení stavu, ale pořád nedosahuje odolnosti softwaru kategorie XORP či Quagga.

Konfigurace hesla

do /etc/ospfd.conf přidejte:

#md5 varianta
auth-type crypt
auth-md 1 "secretpassword"
auth-md-keyid 1
#plain text varianta
auth-type simple
auth-key "osmznaku"

Heslo se dá v případě potřeby konfigurovat i per netmaska, v příkladu je ale pro jednoduchost uvedena jeho globální konfigurace. Globální konfigurace má tu výhodu, že při předrátování sítě na switchi není potřeba přenastavovat na routerech hesla fyzicky sousedících sítí.

Konfigurace exportů

V OpenOSPFd můžeme konfigurovat pravidla co se má exportovat. Standardní nastavení je:

redistribute connected
no redistribute default
no redistribute static

Nastavením redistribute connected OSPFd oznámí ostatním routerům ke kterým sítím je přímo připojen. Doporučuji toto nastavení ponechat, jen v případě že chcete oznámit default routing (pro připojení sítě do Internetu) nastavit redistribute default.

U protokolu OSPF se narozdíl od BGP nedá použít routovací politika pomocí import filtrů - každý router musí routovat všechny IP pakety a oznamovat dál všechny údaje, které se pomocí OSPF dozvěděl. Protokol OSPF to potřebuje ke své správné činnosti, bez toho není schopen nastavit správně routing v celé síti. Proto je bezpodmínečně nutné mít dobře nakonfigurovaný firewall a nefiltrovat žádné OSPF pakety.

Konfigurace rychlosti linek

Hezkou vlastností protokolu OSPF je zohlednění rychlosti linky při kalkulaci optimální trasy. Slouží k tomu klíčové slovo metric spolu s číselnou hodnotou v rozsahu 1-65535 připojené k danému rozhraní. Pokud k cíli vedou dvě stejně ohodnocené cesty, ospf protokol může použít IP multipathing a rozdělit tak zátěž.

area 0.0.0.1 {
  interface de0 {
      metric 10
  }
  interface de1 {
      metric 100
  }
}

V každé síti je potřeba použít jednotnou politiku převodu rychlosti linky na hodnotu metric abychom měli konzistentní routing. Příklad převedení rychlosti linky na hodnotu metric:

metric  rychlost linky
1        1Gbit
10       100Mbit
100      10Mbit
500      2Mbit

Konfigurace rychlosti oznamování

OSPF router periodicky oznamuje ostatním svou přítomost. K tomu slouží konfigurační parametr hello-interval. Pokud o routeru není slyšet více než router-dead-time, je prohlášen za nedostupný a routing v síti je příslušným způsobem upraven. Standardní hodnoty jsou 10 a 40 sekund. To je na dnešní sítě docela dost a proto doporučuji prozačátek polovinu t.j. hello po 5 ti sekundách a dead time po 4x5+1(kvůli zaokrouhlování) 21 sekundách.

U nespolehlivých WiFi, Point to point či satelitních sítí se doporučuje dead time patričně zvětšit, abychom eliminovali jev odborně nazývaný route flap při kterém linka rychle mění svůj stav (up/down). Route flap v protokolu OSPF není narozdíl od BGP příliš problém, protože díky Dijkstra algoritmu výpočet routingu v síti rychle konverguje.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze