3 Prefix suppression v OSPFv3... 7

Transkript

1 Prefix suppression v OSPF 3 Marek Berger (BER0049) Abstrakt: Dokument shrnuje možnost využití funkce prefix suppression pro účely filtrování směrovacích záznamů v rámci protokolu OSPF verze 3. Byly použity vhodné vzorové topologie pro praktickou demonstraci manipulace s přenášenými směrovacími informacemi, a ukázány odlišnosti oproti verzi 2. Klíčová slova: Prefix suppression, OSPFv3, OSPFv2, optimalizace konvergence, LSA 1 Úvod Manipulace s LSA v protokolu OSPFv Manipulace s LSA v protokolu OSPFv Prefix suppression v OSPFv Konfigurace Analýza Prefix suppression v OSPFv Konfigurace Analýza Závěr Použitá literatura...13 Použité zkratky: IP Internet protocol OSPF Open Shortest Path First OSPFv2 Open Shortest Path First version 2 OSPFv3 Open Shortest Path First version 3 LSA Link-state advertisement DR Designated router BDR Backup designated router IOS Internetwork Operating System květen /13

2 1 Úvod Funkce prefix suppression slouží k zamezení propagace nadbytečných směrovacích informací skrz protokol OSPF. Tato funkce najde velké uplatnění u velkých sítí s velkým množstvím prefixů. Jejich limitací lze docílit jednak rychlejší konvergence protokolu, ale také zvýšit bezpečnost sítě, jelikož interní transportní uzly budou skryty a chráněny před IP směrováním. Možností jak filtrovat šíření směrovacích informací v OSPF sítích je více, lze například manuálně specifikovat distribuční seznamy na jednotlivých směrovačích apod. Funkce prefix suppression, po aplikaci na konkrétní směrovač, pracuje automatizovaně. Směrovač vyhodnotí všechny prefixy sítí, jež jsou k němu připojeny, a odebere patřičné informace z generovaných LSA. Ve výchozím stavu jsou z filtrace vynechávány prefixy, jež přísluší loopback rozhraní, sekundární adrese nebo pasivnímu rozhraní jelikož pro typický návrh sítě se předpokládá jejich dosažitelnost. Funkce prefix suppression je dostupná jak v OSPFv3 tak i v OSPFv2. Výsledná funkcionalita je u obou verzí stejná, nicméně u generování LSA jednotlivými směrovači lze nalézt několik odlišností, které budou v tomto dokumentu objasněny jak teoreticky, tak prakticky[1] [2]. 1.1 Manipulace s LSA v protokolu OSPFv2 LSA slouží pro výměnu směrovacích informací mezi jednotlivými směrovači v rámci OSPF. Šířením LSA si směrovače vyplňují své směrovací tabulky. Pro demonstraci funkce prefix suppression v OSPFv2 je nutné zmínit některé základní typy LSA: LSA typu 1 (Router LSA) Každý směrovač, v rámci náležící oblasti (area), šíří informace o svých sousedních uzlech případně sítích, které taktéž přísluší k dané oblasti. LSA typu 2 (Network LSA) Pro sdílené L2 segmenty je určen směrovač (DR, případně BDR), který jako jediný generuje tento typ LSA specifikující, které uzly tomuto segmentu náleží. Směrovač s aplikovanou funkcí prefix suppression ovlivňuje pouze LSA, které jsou generovány jím samotným. Informace, které obdrží od sousedních uzlů, jsou redistribuovány dále. V LSA typu 1 je šířena jak informace o sousedních směrovačích (link type 1 neboli point-to-point), obsahující identifikační číslo směrovače (router-id) a IP adresu připojeného rozhraní, tak informace o připojených sítích (link type 3 nebo stub network) obsahující jejich prefixy a masky. Připojení k sousednímu směrovači je tedy vždy popsáno oběma typy zmíněných informací. Funkce prefix suppression odstraňuje pouze informace o připojených sítích, informace o sousedních směrovačích zůstane v LSA vždy zachována. Další informace šířící se v LSA typu 1 je informace o připojeném sdíleném L2 segmentu (link type 2 neboli tranzit network), ve které je obsaženo identifikační číslo DR směrovače. DR směrovač šíří LSA typu 2, obsahující identifikační číslo všech směrovačů, připojených k danému segmentu, a masku sítě, která se po aplikaci funkce prefix suppression změní vždy na /32. Tímto způsobem je řešeno zamezení propagování cest v LSA 2, jelikož směrovače, které přijmou toto LSA, vyhodnotí masku sítě /32 jako neplatnou a záznam ignorují. Nevýhodou je, že směrovače nepodporující funkci prefix suppression, přidají záznam do směrovací tabulky i s maskou sítě /32 [4]. 1.2 Manipulace s LSA v protokolu OSPFv3 V OSPFv3 přibyly oproti OSPFv2 nové typy LSA. Z pohledu funkce prefix suppression jsou důležité zejména tyto: LSA typu 0x2001 (Router LSA) Ekvivalent LSA typu 1 v OSPFv2. LSA typu 0x2002 (Network LSA) Ekvivalent LSA typu 2 v OSPFv2. LSA typu 0x0008 (Link LSA) Směrovač šíří informace samostatně pro každý fyzický přípoj. Tyto LSA jsou šířeny pouze v lokálním rozsahu, to znamená pouze k sousedním směrovačům. LSA typu 0x2009 (Intra-Area-Prefix LSA) Směrovač šíří prefixy připojených sítí v rámci příslušné oblasti. Síťové adresy již nejsou šířeny v LSA typu 0x2001 a LSA typu 0x2002 jako tomu bylo u ekvivalentních LSA v OSPFv2. Tímto způsobem jsou šířeny pouze informace o topologii. Proces blokování IP prefixů je zde jednoduší, jelikož jsou všechny adresní informace šířeny v samostatném LSA typu 0x2009 eventuálně v LSA typu 0x0008 pro lokální rozsah, ze kterých je stačí jednoduše odebrat [3][1]. květen /13

3 2 Prefix suppression v OSPFv2 Funkce prefix suppression byla pro OSPFv2 testována pomocí virtuálního prostředí GNS3, ve kterém byl emulován IOS verze 12.4(15)T Konfigurace Pro testování funkce prefix suppression jak pro LSA typu 1, tak pro LSA typu 2 byla sestavena uvedená topologie (Obrázek 1). Obrázek 1 Topologie pro ověření prefix suppression v OSPFv2 OSPF směrování bylo konfigurováno pouze v rámci páteřní oblasti 0 (area 0). Na směrovačích RV, RW, RX byla mimo rutinní nastavení aplikována následující konfigurace: RV(config)#router ospf 1 RV(config-router)#prefix-suppression RV(config-router)#passive-interface fastethernet 0/1 RW(config)#router ospf 1 RW(config-router)#prefix-suppression RW(config-router)#passive-interface fastethernet 0/1 RW(config)#interface fastethernet 0/1 RW(config-if)#ip ospf prefix-suppression RX(config)#router ospf 1 RX(config-router)#prefix-suppression RX(config-router)#passive-interface fastethernet 0/1 Výpis 1 Konfigurace OSPFv2 Sítě S4 a S5 simulují transportní spoje mezi interními uzly, tedy není předpokládáno propagování jejich prefixů v rámci OSPF. Sítě S1, S2 a S3 jsou připojeny k pasivnímu rozhraní a představují tedy koncové sítě pro připojení klientů. Funkce prefix suppression lze aplikovat globálně na směrovač, případně na konkrétní rozhraní což má vždy vyšší prioritu. Pro demonstraci je funkce aplikována na rozhraní fastethernet 0/1 směrovače RW, tedy na síť S2. Správnou funkci lze ověřit zobrazením směrovacích tabulek: květen /13

4 RV#show ip route C O O C C O /24 is subnetted, 1 subnets is directly connected, Loopback /32 is subnetted, 1 subnets [110/11] via , 00:10:12, FastEthernet0/ /32 is subnetted, 1 subnets [110/75] via , 00:10:12, FastEthernet0/ /30 is subnetted, 1 subnets is directly connected, FastEthernet0/ /24 is directly connected, FastEthernet0/ /24 [110/84] via , 00:10:12, FastEthernet0/0 RW#show ip route /32 is subnetted, 1 subnets O [110/11] via , 00:11:43, FastEthernet0/ /24 is subnetted, 1 subnets C is directly connected, Loopback /32 is subnetted, 1 subnets O [110/65] via , 00:12:13, Serial1/ /30 is subnetted, 2 subnets C is directly connected, FastEthernet0/0 C is directly connected, Serial1/0 O /24 [110/20] via , 00:11:43, FastEthernet0/0 C /24 is directly connected, FastEthernet0/1 O /24 [110/74] via , 00:12:17, Serial1/0 RX#show ip route /32 is subnetted, 1 subnets O [110/75] via , 00:13:15, Serial1/ /32 is subnetted, 1 subnets O [110/65] via , 00:13:54, Serial1/ /24 is subnetted, 1 subnets C is directly connected, Loopback /30 is subnetted, 1 subnets C is directly connected, Serial1/0 O /24 [110/84] via , 00:13:15, Serial1/0 C /24 is directly connected, FastEthernet0/1 Výpis 2 Směrovací tabulky RV, RW, RX v OSPFv2 Prefixy a respektive byly dle očekávání ze směrovacích tabulek odstraněny. Ostatní prefixy byly v tabulce zachovány, jelikož se jedná o adresy pasivních a loopback rozhraní, které jsou ve výchozím stavu vždy propagovány. květen /13

5 2.2 Analýza Směrovače RV, RW i RX šíří informace o sousedních uzlech případně sítích v LSA 1. Zde jsou vyobrazeny informace šířící se ze směrovače RX: RX#show ip ospf database router self-originate OSPF Router with ID ( ) (Process ID 1) Router Link States (Area 0) LS age: 295 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: Advertising Router: LS Seq Number: Checksum: 0x56CA Length: 60 Number of Links: 3 Link connected to: a Stub Network (Link ID) Network/subnet number: (Link Data) Network Mask: Number of TOS metrics: 0 TOS 0 Metrics: 1 Link connected to: another Router (point-to-point) (Link ID) Neighboring Router ID: (Link Data) Router Interface address: Number of TOS metrics: 0 TOS 0 Metrics: 64 Link connected to: a Stub Network (Link ID) Network/subnet number: (Link Data) Network Mask: Number of TOS metrics: 0 TOS 0 Metrics: 10 Výpis 3 LSA typu 1 směrovače RX Směrovač RX šíří informaci o sousedním směrovači s id (link type 1) ovšem odpovídající informace o náležící síti (link type 3) byla funkcí prefix suppression odstraněna. Obdobné chování nastává i u směrovače RW. Směrovač RV je označen jako DR a mimo LSA typu 1 šíří i LSA typu 2: RV#show ip ospf database network self-originate OSPF Router with ID ( ) (Process ID 1) Net Link States (Area 0) LS age: 20 Options: (No TOS-capability, DC) LS Type: Network Links květen /13

6 Link State ID: (address of Designated Router) Advertising Router: LS Seq Number: Checksum: 0x79A4 Length: 32 Network Mask: /32 Attached Router: Attached Router: Výpis 4 LSA typu 2 směrovače RV Maska sítě sdíleného L2 segmentu byla funkcí prefix suppression nastavena na /32 čímž upozorní směrovače přijímající tuto informaci, aby záznam nepřidávali do směrovací tabulky. U jednotlivých směrovačů byly pomocí příkazu debug ip ospf lsa-generation zaznamenány následující informace[2]: RV#debug ip ospf lsa-generation *Mar 1 00:32:19.171: OSPF: Suppressing /30 on FastEthernet0/0 from network LSA RW#debug ip ospf lsa-generation *Mar 1 00:04:09.939: OSPF: Suppressing /30 on Serial1/0 from router LSA *Mar 1 00:04:09.943: OSPF: Suppressing /24 on FastEthernet0/1 from router LSA RX#debug ip ospf lsa-generation *Mar 1 00:02:25.843: OSPF: Suppressing /30 on Serial1/0 from router LSA Výpis 5 Sledování generovaných LSA v OSPFv2 květen /13

7 3 Prefix suppression v OSPFv3 V OSPFv3 byla funkce prefix suppression testována na reálných směrovačích CISCO 2901 s operačním systémem IOS verze Konfigurace Byla použita obdobná topologie jako u OSPFv2. IPv4 adresy byly nahrazeni adresami IPv6. Obrázek 2 - Topologie pro ověření prefix suppression v OSPFv3 OSPF směrování bylo konfigurováno pouze v rámci páteřní oblasti 0 (area 0). Na směrovačích RV, RW, RX byla mimo rutinní nastavení aplikována tato konfigurace: RV(config)#router ospfv3 1 RV(config-router)#prefix-suppression RV(config-router)#passive-interface GigabitEthernet0/1 RW(config)#router ospfv3 1 RW(config-router)#prefix-suppression RW(config-router)#passive-interface GigabitEthernet0/1 RW(config)#interface GigabitEthernet0/1 RW(config-if)#ipv6 ospf prefix-suppression RX(config)#router ospfv3 1 RX(config-router)#prefix-suppression RX(config-router)#passive-interface GigabitEthernet0/1 Výpis 6 Konfigurace OSPFv3 I zde sítě S4 a S5 představují transportní sítě a sítě S1, S2 a S3 koncové sítě. U směrovače RW je opět demonstrována priorita použití funkce na konkrétní rozhraní. Správnou funkci dokazují směrovací tabulky: RV#show ipv6 route C 1001::/64 [0/0] via GigabitEthernet0/0, directly connected L 1001::1/128 [0/0] via GigabitEthernet0/0, receive květen /13

8 C 1111::/64 [0/0] via Loopback0, directly connected L 1111::1/128 [0/0] via Loopback0, receive O 2222::1/128 [110/1] via FE80::6273:5CFF:FEAD:6EA8, GigabitEthernet0/0 O 3333::1/128 [110/65] via FE80::6273:5CFF:FEAD:6EA8, GigabitEthernet0/0 C FC00:1::/64 [0/0] via GigabitEthernet0/1, directly connected L FC00:1::1/128 [0/0] via GigabitEthernet0/1, receive O FC00:3::/64 [110/66] via FE80::6273:5CFF:FEAD:6EA8, GigabitEthernet0/0 L FF00::/8 [0/0] via Null0, recese RW#show ipv6 route C 1001::/64 [0/0] via GigabitEthernet0/0, directly connected L 1001::1/128 [0/0] via GigabitEthernet0/0, receive C 1002::/64 [0/0] via Serial0/0/0, directly connected L 1002::1/128 [0/0] via Serial0/0/0, receive O 1111::1/128 [110/1] via FE80::32F7:DFF:FE5E:4908, GigabitEthernet0/0 C 2222::/64 [0/0] via Loopback0, directly connected L 2222::1/128 [0/0] via Loopback0, receive O 3333::1/128 [110/64] via FE80::6273:5CFF:FE8F:EB68, Serial0/0/0 O FC00:1::/64 [110/2] via FE80::32F7:DFF:FE5E:4908, GigabitEthernet0/0 C FC00:2::/64 [0/0] via GigabitEthernet0/1, directly connected L FC00:2::1/128 [0/0] via GigabitEthernet0/1, receive O FC00:3::/64 [110/65] via FE80::6273:5CFF:FE8F:EB68, Serial0/0/0 L FF00::/8 [0/0] via Null0, receive květen /13

9 RX#show ipv6 route C 1002::/64 [0/0] via Serial0/0/0, directly connected L 1002::2/128 [0/0] via Serial0/0/0, receive O 1111::1/128 [110/65] via FE80::6273:5CFF:FEAD:6EA8, Serial0/0/0 O 2222::1/128 [110/64] via FE80::6273:5CFF:FEAD:6EA8, Serial0/0/0 C 3333::/64 [0/0] via Loopback0, directly connected L 3333::1/128 [0/0] via Loopback0, receive O FC00:1::/64 [110/66] via FE80::6273:5CFF:FEAD:6EA8, Serial0/0/0 C FC00:3::/64 [0/0] via GigabitEthernet0/1, directly connected L FC00:3::1/128 [0/0] via GigabitEthernet0/1, receive L FF00::/8 [0/0] via Null0, receive Výpis 7 Směrovací tabulky RV, RW, RX v OSPFv3 Ze směrovacích tabulek byly odstraněny prefixy sítí fc00:2::0 a 1001::0 respektive 1002:: Analýza LSA typu 0x2001 a 0x2002 obsahují pouze informace o topologii a jsou tedy generovány bez ohledu na aplikovanou funkci prefix suppression. Zde je jako příklad uvedeno LSA typu 0x2002 generované směrovačem RV (Výpis 8) a LSA typu 0x2001 generované směrovačem RX (Výpis 9): RV#show ipv6 ospf database network self-originate OSPFv3 Router with ID ( ) (Process ID 1) Net Link States (Area 0) LS age: 1194 Options: (V6-Bit, E-Bit, R-bit, DC-Bit) LS Type: Network Links Link State ID: 4 (Interface ID of Designated Router) Advertising Router: LS Seq Number: Checksum: 0x31C3 Length: 32 Attached Router: Attached Router: Výpis 8 LSA typu 0x2001 směrovače RV RX#show ipv6 ospf database router self-originate OSPFv3 Router with ID ( ) (Process ID 1) květen /13

10 Router Link States (Area 0) LS age: 1109 Options: (V6-Bit, E-Bit, R-bit, DC-Bit) LS Type: Router Links Link State ID: 0 Advertising Router: LS Seq Number: Checksum: 0xBFDC Length: 40 Number of Links: 1 Link connected to: another Router (point-to-point) Link Metric: 64 Local Interface ID: 7 Neighbor Interface ID: 7 Neighbor Router ID: Výpis 9 LSA typu 0x2002 směrovače RX Funkce prefix suppression v OSPFv3 pracuje s LSA typu 2x0008 a 2x2009. V případě LSA typu 2x0008 směrovače RV, RW i RX rozesílají informace v rámci každého fyzického připojení v lokálním rozsahu a to včetně prefixu náležící sítě, který bude z LSA odstraněn. Jestliže tedy směrovač RV disponuje dvěmi aktivními přípoji, vytvoří LSA jak pro rozhraní GigabitEthernet0/0 tak pro GigabitEthernet0/1 u kterého bude prefix sítě S1 zachován jelikož jde o pasivní rozhraní. Výpis 10 zobrazuje generované LSA typu 2x0008 pro všechna aktivní rozhraní směrovače RV. Obdobné chování vykazují směrovače RX i RW u kterého je navíc odstraněn prefix sítě S2 kvůli vyšší prioritě funkce prefix suppression aplikované na konkrétní rozhraní[1]. RV#show ipv6 ospf database link self-originate OSPFv3 Router with ID ( ) (Process ID 1) Link (Type-8) Link States (Area 0) LS age: 1239 Options: (V6-Bit, E-Bit, R-bit, DC-Bit) LS Type: Link-LSA (Interface: GigabitEthernet0/1) Link State ID: 5 (Interface ID) Advertising Router: LS Seq Number: Checksum: 0x63F7 Length: 56 Router Priority: 255 Link Local Address: FE80::32F7:DFF:FE5E:4909 Number of Prefixes: 1 Prefix Address: FC00:1:: Prefix Length: 64, Options: None LS age: 1256 Options: (V6-Bit, E-Bit, R-bit, DC-Bit) LS Type: Link-LSA (Interface: GigabitEthernet0/0) Link State ID: 4 (Interface ID) květen /13

11 Advertising Router: LS Seq Number: Checksum: 0x9E0A Length: 44 Router Priority: 1 Link Local Address: FE80::32F7:DFF:FE5E:4908 Number of Prefixes: 0 Výpis 10 LSA typu 2x0008 směrovače RV V případě LSA typu 2x2009 směrovače RV, RW i RX šíří prefixy všech připojených sítí, tedy i sítí lokálních rozhraní a to v rámci celé příslušné oblasti. Funkce prefix suppression se zde chová podobně jako v případě LSA typu 2x0008, tedy při generování LSA směrovačem RV (Výpis 11) respektive RX odstraní prefix sítě S4 respektive S5 a ponechá pouze prefixy pasivního i lokálního rozhraní a při generování LSA směrovačem RW (Výpis 12) odstraní všechny prefixy kromě prefixu lokálního rozhraní[1]. RV#show ipv ospf database prefix self-originate OSPFv3 Router with ID ( ) (Process ID 1) Intra Area Prefix Link States (Area 0) Routing Bit Set on this LSA LS age: 1259 LS Type: Intra-Area-Prefix-LSA Link State ID: 0 Advertising Router: LS Seq Number: Checksum: 0x63A0 Length: 64 Referenced LSA Type: 2001 Referenced Link State ID: 0 Referenced Advertising Router: Number of Prefixes: 2 Prefix Address: 1111::1 Prefix Length: 128, Options: LA, Metric: 0 Prefix Address: FC00:1:: Prefix Length: 64, Options: None, Metric: 1 Výpis 11 LSA typu 2x2009 směrovače RV RW#show ipv ospf database prefix self-originate OSPFv3 Router with ID ( ) (Process ID 1) Intra Area Prefix Link States (Area 0) Routing Bit Set on this LSA LS age: 760 LS Type: Intra-Area-Prefix-LSA Link State ID: 0 Advertising Router: LS Seq Number: Checksum: 0x53D3 Length: 52 květen /13

12 Referenced LSA Type: 2001 Referenced Link State ID: 0 Referenced Advertising Router: Number of Prefixes: 1 Prefix Address: 2222::1 Prefix Length: 128, Options: LA, Metric: 0 Výpis 12 LSA typu 2x2009 směrovače RW U jednotlivých směrovačů byly pomocí příkazu debug ipv6 ospf lsa-generation zaznamenány následující informace[1]: RV#debug ipv6 ospf lsa-generation *Apr 28 08:07:06.639: OSPFv3-1-IPv6 LSGEN: Suppress prefix 1001::/64 from Link LSA on interface GigabitEthernet0/0 *Apr 28 08:07:06.643: OSPFv3-1-IPv6 LSGEN: Suppressing prefixes on GigabitEthernet0/0 from prefix stub LSA RW#debug ipv6 ospf lsa-generation *Apr 28 08:02:03.923: OSPFv3-1-IPv6 LSGEN: Suppress prefix 1002::/64 from Link LSA on interface Serial0/0/0 *Apr 28 08:02:03.927: OSPFv3-1-IPv6 LSGEN: Suppress prefix 1001::/64 from Link LSA on interface GigabitEthernet0/0 *Apr 28 08:02:03.927: OSPFv3-1-IPv6 LSGEN: Suppressing prefixes on Serial0/0/0 from prefix stub LSA *Apr 28 08:02:03.927: OSPFv3-1-IPv6 LSGEN: Suppressing prefixes on GigabitEthernet0/1 from prefix stub LSA *Apr 28 08:02:03.927: OSPFv3-1-IPv6 LSGEN: Suppressing prefixes on GigabitEthernet0/0 from prefix stub LSA RX#debug ipv6 ospf lsa-generation *Apr 28 07:55:30.603: OSPFv3-1-IPv6 LSGEN: Suppress prefix 1002::/64 from Link LSA on interface Serial0/0/0 *Apr 28 07:55:30.607: OSPFv3-1-IPv6 LSGEN: Suppressing prefixes on Serial0/0/0 from prefix stub LSA Výpis 13 - Sledování generovaných LSA v OSPFv3 květen /13

13 4 Závěr V dokumentu byl objasněn princip fungování prefix suppression jak teoreticky, tak prakticky. Byla sestavena vzorová topologie pro OSPFv3 i OSPFv2 pro prezentaci rozdílů při manipulaci s LSA. Na takto malé topologii nevyniknou výhody užívání prefix suppression, nicméně u rozsáhlé sítě může snížení počtu prefixů vést k rychlejší konvergenci OSPF protokolu a větší bezpečnosti. 5 Použitá literatura [1] Prefix Suppression Support for OSPFv3. CISCO. [online]. [cit ]. Dostupné z: [2] OSPF Mechanism to Exclude Connected IP Prefixes from LSA Advertisements. CISCO. [online] [cit ]. Dostupné z: [3] OSPFv3 LSA Types. KNOWLEDGE BASE. [online]. [cit ]. Dostupné z: [4] OSPF Prefix Suppression. BHASIN, Nic. PRIME IP. [online] [cit ]. Dostupné z: květen /13