OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры (Dijkstra’s algorithm).
Для бизнеса использование данного протокола дает следующие преимущества:
-
Отказоустойчивость. В случаи выхода из строя любого из маршрутизаторов, обмен информацией мгновенно переключается на другой маршрут, что предотвращает простои в работе.
-
Экономия. Связь между узлами надежно резервируется, а изменение структуры не требует больших трудозатрат. Таким образом не нужно содержать много персонала, который будет обслуживать систему.
-
Снижение рисков. Использование данной технологии значительно снижает риски простоя, а также риск зависимости функционирования системы от обслуживающего персонала.
Для того чтобы понять принцип работы OSPF как протокола динамической маршрутизации, рассмотрим следующую конкретную схему.
Например, есть следующая структура:
3 различных офиса, шлюзами у которых являются маршрутизаторы Router 1, Router 2, Router 3. Между офисами происходит обмен информацией, но происходит это через промежуточный узел с целью сделать невозможным отслеживание факта связи этих офисов.
В качестве промежуточных узлов используется 2 маршрутизатора, расположенных в разных локациях: высокопроизводительный и более дорогой Router5, c широким каналом интернет и более дешевый Router 6 использующий дешевый канал интернет. Соответственно по умолчанию связь между всеми тремя филиалами должна происходить через Router5, если этот роутер выходит из строя – весь трафик в кратчайшее время переключается на Router 6, в случаи если оба промежуточных роутера вышли из строя – связь между филиалами осуществляется на прямую, поскольку простой в работе для данной компании важнее безопасности. В качестве роутеров используются CISCO 881 k9.
Для реализации заданной схемы построим между всеми узлами сети защищенные туннели IPSEC, через которые построим GRE туннели, это делается для того, чтобы шифровать весь трафик проходящий через туннель и в тоже время использовать для управления трафиком не политики IpSEC, а таблицы маршрутизации роутеров. Далее нам необходимо направить трафик так, как того требует условия задачи, для этого каждому сегменту маршрута присваивается стоимость и трафик пойдет по пути наименьшей стоимости. Логическая схема реализации представлена на рисунке ниже.
Рисунок 1 - Схема работы с зашифрованной базой данных
Техническая реализация OSPF на CISCO Router выглядит следующим образом (предполагается что туннели уже построены):
Активация и настройка протокола выполняется в режиме глобального конфигурирования:
router ospf 1 (активация протокола и присвоение идентификатора)
router-id 192.168.1.254 (задание ID роутера, используется адрес его интерфейса)
area 1 authentication message-digest (настройка аутентификации type 2 для зоны 1, пароль задается на интерфейсах)
network 192.168.1.0 0.0.0.255 area 1 (задание сетей для анонсирования)
Аналогичные операции выполняются на других роутерах и в результате каждый роутер будет передавать информацию о своих сетях другому. Таким образом в конечном итоге каждый маршрутизатор будет видеть любую сеть через любой из созданных туннелей.
Далее задаем стоимость маршрутов, чтобы направить трафик как нам необходимо (настройки выполняются в режиме конфигурирования интерфейса, в нашем случае это туннельные интерфейсы GRE):
interface Tunnel0 (заходим на интерфейс)
ip ospf authentication message-digest (задаем аутентификацию)
ip ospf message-digest-key 1 md5 Fkjf8i39fdks84l9 (вводим ключ аутентификации для нашей зоны)
ip ospf cost 5 (указываем стоимость прохождения трафика через указанный интерфейс)
ip ospf hello-interval 1 (указываем минимальный интервал обмена Hello пакетами, это позволяет минимизировать время обнаружения роутера)
ip ospf dead-interval 5 (указываем время в течении которого маршрут будет считаться мертвый, если от него не получено ответа)
ip ospf mtu-ignore (отключаем проверку MTU)
Аналогичные действия выполним на других интерфейсах с указанием соответствующей стоимости (значение cost, как указано на схеме).
В результате получим систему, которая обменивается трафиком согласно условия задачи:
- По умолчанию трафик между офисами пойдет по кратчайшему пути через Router5, стоимость маршрута будет 5+5=10
- Если Router5 не доступен, трафик пойдет через Router6, цена маршрута будет 10+10=20
- Если оба промежуточных узла выйдут из строя трафик пойдет прямо по туннелям между узлами, стоимость маршрута составит 25
Таким образом благодаря использованию динамической маршрутизации на базе OSPF мы получили отказоустойчивую филиальную структуру, которая обменивается трафиком по заданным нами правилам.
По умолчанию обмен происходит через наиболее быстрый и качественный, а также безопасный узел, в случае выхода его из строя, автоматически происходит переключение потока информации на 2-й промежуточный узел, он также защищенный, но связь через него не такая быстрая, как через первый, если же и он выйдет из строя – связь пойдет на прямую. Соответственно, если какой-то из узлов восстановится – связь снова автоматически пойдет через него.
Эта технология используется в удаленных серверах в решении Корпоративное облако.
EFSOL