Ospfv3
Last updated
Last updated
Ospfv2 de 'pv6 desteği yok. Mecburen yeni bir protokole geçiş yapılmış. Rip'de de böyledir. Ripv2, ipv4 desteklerken Ripng ipv6 destekler. Bgp önceden bgpv4 idi. Şimdi multi protokol bgp oldu. Ekstra bir desteği geldi ipv6 desteği için.
Ospfv3, hem ipv4 hem de ipv6 destekliyor. Yeni LSA tipleri eklenmiş. Ospf updatelerinde, anonsu yapan routerın hangi ip aralığına sahip, hangi subnete sahip bilgisi paylaşılırken günümüzde temel updatelerin içinde bu türden bilgiler yer almıyor. Ayrıca bir LSA var onunla anons yapıyor. Yani hello paketi vs yollanınca bu türden bilgiler vs. yer almıyor.
İpv6 devreye almazsanız. hem routerın kendisinde hem de interfacenin kendisinde orda ospfv3 çalışmıyor.
ospfv3 paketleri ipv6 ile taşınıyor. İpv4 ile taşınmıyor. Kriptolamada ipsec kullanıyorlar. Nedir ? ipsec, site-to-site vpn için bugün kullanılan en popüler protokoldür.
Komşuluk kurmada ve tüm haberleşmede link local adresleri ile gerçekleştiriliyor. Ospfv2 de interfaceye verdiğini unicast ip adresleri ile kaynak ip olarak kullanıyordu. Yani 10.0.0.1 diyordun, adam kaynak ip olarak 10.0.0.1 diyordu. Hedef multicast adresi yolluyordu anonsu. Bu adamlar onu yapmıyor. Mutlaka link local adresi kullanıyorlar. Aksi yok. Link local kullanıyor. Zaten link local adres yoksa anons yok. İpv6 yoksa anons yok.
Ospfv2 de anonslar network adresi ile yapılıyordu. ipv6 da link local adres kullanıyorlar. Link local adresin özelliği bu adrese başka yerden erişemezsin. Aynı networkteki cihaz erişebilir başkası erişemez. Network bilgisine gerek yok. Ben bir routera en kısa nereden gideceğimi biliyorsam, networkü ucuna ekleriz. Aynı bir şehir gibi. Şehir içinde kimin yaşadığı umrumda değil A kişisi ya da B kişisi. Ben Ankara'dan İstanbul'a en yakın nasıl giderim orası önemli şehir içinde kimin yaşadığı A kişisi ya da B kişisi olduğu önemli değil. A kişisi Ankaradan taşınmış. Ama Ankaradan istanbula en yakın link bilgisi değişti mi ? Hayır . Onun yerine C kişişi taşınmış. Ankaradan istanbulun mesafesi değişti mi ? Hayır. Hala en kısa yol üsteki yol.
Adamlar network bilgilerini type 1 LSA den çıkarmışlar. Çünkü Type 1 LSA'ler çercevesinde network bilgisinden arınmış bir harita çiziyorlar. Bu bize ne sağlıyor. ? A kişisi taşındı C kişisi geldi harita değişmedi. 10.0.0.0 networkü vardı down oldu ama harita yine aynı. Bir daha SPF hesabı yapmaya gerek yok.
Link çökerse o zaman SPF hesabı yapar. Çünkü adamın baktığı şey linkler, networkler değil. Peki o networklerin nerde olduğunu nasıl bilecek?. Ankara'da hangi networkler neler var? Intra-area prefix diye yeni bir, Prefix LSA diye bir LSA eklemişler. Bu yeni LSA, aynı Area içindeki bu networklerin öğretilmesini sağlıyor. Yani bu 1.1.1.1 routerı bir anons çakıyor. Ayrı bir tip ile benim üstümde şu şu networkler var diyor. Tip 1 LSA ile kendisini öğretiyor. Link bilgilerini öğretiyor. Tip 1 LSA ile sen bu temel haritayı çizebiliyorsun. Yeni eklenen bu LSA ile de, sen o routerda hangi networkler olduğunu biliyorsun.
Link-local LSA ==> Sen İstanbul'dasın Ankara senin ucunda. Haritadan bunu sen görebiliyorsun. Çünkü update de sana söylüyor. Ben Ankara'yım ucunda İstanbul var. Aradaki cost 3 diyor. Tamam o zaman ben Ankaraya doğrudan paket yollayabileceğim. Super. Ama Ankaranın link local adresi ne ? bilmiyorum ki bunu öğrenmesi lazım. Bunu öğrenmesi için de ayrı bir LSA yapmışlar.
0x200. ===> Buradaki 2 olması aynı area içinde kalacak. 0 olması aynı link içinde kalacak.Başka kimseye anons edilmeyecek. 4 olması tüm arealara basılacak (tüm otonom sistem)
FF02 adresi ipv6 da multicast'in başladığı adres oluyor.
Routerlar kendi interfacelerine bir interface numara belirler ve bunu, link state update ile öğretir. Buradaki interfaceye 3 numarası vermiş. Bunu gidip öğretiyor. Benim üzerimde id 3 ve 2 var biz buradan anlıyoruzki, bu adamın üzerinde 2 tane interface ve 2 ayrı router ile konuşuyor.
sh ipv6 route ile routing tablosunu görüyorsunuz. Sonuna ospf dersek, ospf ile ilgili satırları getiriyor.
router ospfv3 1 altında doğrudan passive interface komutunu yazarsanız. Hem ipv4 hem de ipv6 için konfig yapmış olursunuz. Buradaki komutta hem ipv4 hem de ipv6 için gig0/1'i passive interfaceye çekti.
Summarization için kural yine aynı Border routerda yapılıyor. /64 ten bir sürü interface var. Biz bunları /48 olarak tek bir satır olarak anons edebiliriz.
Timerlar eşit değilse yine komşuluk kuramıyorlar aynı.
Ipsec de bir tane kripto seçiyorsun. Örnek olarak AES olsun veya hash yapacaksın MD5 seçiyorsun. Bunlar güvenliği sağlayan kripto mekanizmaları ve nihayetinde sen bir tünelleme oluşturuyorsun ve bu tünelin ucunuda karşı taraf açacak. Bunun böyle bir Ipsec tüneli olduğunu belirten. Ekstra bir protokol var. Nasıl GRE denilen bir protokol var. Tünelleme protokolüdür. Kendine ait bir başlık ekler. Aynı felsefede ipsec'in de bir başlığı vardır. Bu başlık tüm data'nın kriptoklanıp taşınmasını sağlar. Ipsec'de 2 tane protocol var. Eski protocol AH (Authentication Header) diye geçiyor. Yeni protokol ESP. (encapsulated security payload). Bugün günümüzde AH tekniği kullanılmıyor. Cisco hala destekliyor. Kısıtlama var içinde payload'ın data kısmını kriptolomada yetersiz.
AH'ın yaptığı şey kimlik denetimi, authentication yapıyor bir de bütünlük yapıyor. Kimlik denetimi ve verinin kaynaktan çıktıktan sonra değişip değişilmediğini anlıyor ve değiştirildiyse çöpe atılmasını sağlıyor. Yetkisiz bir router bize anons yapılmasın bizim asıl amacımız bu.
Günümüzde IPsec de ESP kullanıyor. Çünkü ESP hem kimlik denetimi yapıyor. Integrity sağlıyor hem de kripto yapıyor.
Ospfv3, IKE destelemez diyor. 2 router arasında standart ipsec yaptırıyorsanız. Bu adamlar ilk session açıldığı anda Phase 1 haberleşmedi diye bir işlem gerçekleştirirler ve bu Phase 1 haberleşmesinde nasıl kripto yapacaklar. Daha sonraki phase'ların kriptolanmasında kullanılacak kriptolu anahtarı ne olacak vs. Bu anahtarı birbirleriyle paylaşıyorlar vs . Bunları otomatik türetiyorlar ve birbirleriyle paylaşıyorlar. Bunu sağlayan mekanizmanın adına IKE deniliyor. Internet key exchange. Ospf bu ipsec kriptografide IKE desteği yok. Yani bu şu demek . Bütün bu parametreleri biz manuel olarak belirtmek zorundasın. sh crypto ipsec sa => Site to site vpn yapıyorsanız, 2 router arasında vpn yapıyorsanız da kullandığımız en baba komutlardandır. İpsec'in phase 2'inin oturup oturmadığını kontrol ettiğimiz komuttur. SA(Security Association), Ipsec kriptolomanın karşılıklı anlaşılmış detayları nelerdir göster.
sadece auhentication yazarsanız (AH) kullanıyorsunuz anlamına geliyor. ospf encryption yazarsanız bu da ESP kullanıyorsunuz anlamına geliyor.
ipv6 ospf yazmışlar ama yazarken ospfv3 daha çok tercih ediliyor. Farkı yok.
Spi numarası en küçük 256 oluyor. Sonrasında hangi hash algoritmasını kullanacağı var. MD5 ya da SHA, sonrasında ise encryption anahtarını yazıyorsunuz. Hexadecimal 40 karakter olarak. Bunu yazdığınızın aynısını karşı routerda da yazıyorsunuz.
Gerçekte çalışı çalışmadığını kırmızılı yerdeki paket sayısının artıp artmadığından anlarsın.
İsterseniz ise yalnızca interface altında değil. Tüm area için de açabilirsiniz. Burada bu şekilde yaparsanız hem ipv4 hem de ipv6 anonsları için açmış olursunuz.
İnterfacelerde global ipv6 adresleri kaldırmış.
routerların yukardaki bu interfacelerinde(R2 ninin gig0/1 ve 0/3'ünde, R3'ün gig0/2 ve gig0/4ünde) global ip adresleri kaldırıyor. Ama R4deki birisi R1 e ulaşabiliyor. Link local adresleri ile oluyor. Link local adresi oluşturan global adres.
S2 ve S1 , Scope olarak geçiyor. Bu gelen link state update'i nereye gidecek. 2side 0 oluyorsa. Link local bir adres olduğunu anlıyoruz. Bu şu demek sen alacaksın ama başkasına yollamayacaksın. Routerlar link local adreslerini karşılıklı birbirlerine öğretiyorlar, Orda kalıyor. Yeni bir LSA tipi çıkmıştı. Link local'e özel. Özelliği normalde ospfde databaseler birebir aynıdır. ospfv3 de sadece link localler hariç geri kalanlar birebir aynı. Link localler sadece bu 2 peer router arasında kalıyor.
Başka areaya yollanmıyor. Eğer S2 1, S1 0 ise tüm topolojiye yollanıyor.
database'de router dediği type 1 demek. type 1 Router LSA olarak geçiyor.. Self origianate ise kendisinin type 1 anonsunu göster demek anlamına geliyor. Advertising router dediği, router'ın idsi.Routerın adı yani. Link connected to : Transit Network yani Transit network olanlar gözüküyor. Yani ucunda başka bir router varsa. Ucunda farklı router olan tek bir tane portu varmış. O portun numarasını 4 olarak belirlemiş. Metriği 1 miş.
Self originate ile kendisinkini görüyoruz. Ama başka bir routerınkini görmek istersek ise, adv-router ve routerın idisni yazıyorsunuz. Burada 3 nolu routerın yolladığı tip 1 LSA'ların database'de çıktıklarını gösteriyor.
link countları gözüküyor. Yani herbirinde kaç tane link var. Burada şey gözükmüyor. Bu anons içinde sahip oldukları prefixler yani network bilgileri barınmıyor.
Gördüğünüz gibi her area için ayrı bir database oluşturuyor Hem area 0 hem de area 34 için.
Border router ise burada B harfi olarak belirtiyor. Router link dediği Type 1
Referans: https://www.networkfuntimes.com/ospfv3-the-new-lsa-types-in-ipv6-ospf/ Referans: https://www.networkfuntimes.com/ospfv3-how-to-read-ipv6s-ospf-database/
Type 9 (Intra Area) ==>Aynı area içindeki prefix(network)'lerin öğretildiği tip idi.
Type 8 ==>Link local için. Type 8'ler öğretiliyor diğer routera, diğer router başka kimseye anons etmiyor.
10.0.0.1/24 ==>Buna prefix deniliyor. Yani elimde 2 tane prefix var demek. 2 tane network'üm var demek.
Ospf ile ilgili daha detay almak isterseniz ise , sh ipv6 ospf bunun yerine sh ospfv3 de yazabiliriz.
sh ipv6 ospf interface brief bu komutun yerine sh ospfv3 interface brief de yazabiliriz. Bu komut ile interfaceleri özet şeklinde gösteriyor. PID( Process ID). hangi arealara bağlı. ospfv3 interfacelere bir ID numarası veriyordu. Id numaraları ne (Int ID) ?. vs
sh ospfv3 komutu ile hem ipv4 hem de ipv6 adres family ile ilgili detaylar çıkıyor. sh ipv6 interface brief komutu yerine kullanılabilir. 2 adres family ile ilgili bilgiler elde etmek için.
Eğer S2 0 ve S1 1 ise aynı area içinde yollanıyor.
