Ajustes y

resolucin de
Ajustes
problemas
de y
Gabriel
resolucin
OSPF
de rea de
Briceo Angarit
Richard

Tipos de redes OSPF

Punto
a
punto:dos
routers
interconectados
por medio de un enlace
comn. No hay otros
routers en el enlace. Con
frecuencia, esta es la
configuracin
en
los
enlaces WAN .

Multiacceso
con
difusin:varios
routers
interconectados
por
medio
de
una
red
Ethernet (figura 2)

Desafos en redes de accesos mltiples

Creacin de varias adyacencias.

Saturacin intensa con LSA.

Mas routers = mas Adyacencias

En
la
topologa
anterior
observamos cuatro routers, los
cuales estn conectados a la
misma red Ethernet de accesos
mltiples. Sin algn tipo de
mecanismo
para
reducir
el
nmero
de
adyacencias,
colectivamente
estos
routers
formaran
seis
adyacencias:
4(4-1)/2=6, En la figura de la
izquierda , se muestra que, a
medida que se agregan routers a
la red, el nmero de adyacencias
aumenta
Es por eso que se designa un
DR ydrsticamente.
un BDR

DROthers

Nota:la eleccin de DR/BDR solo se

producen en las redes de accesos
mltiples y no en las redes punto a
punto

Eleccin del DR y BDR en OSPF en una red multiacceso

Los routers en la red
seleccionan como DR al
router con la prioridad
de interfaz ms alta.

show ip ospf interface

La
prioridad
predeterminada de las
interfaces de difusin de
accesos mltiples es 1
Los
routers
estn
conectados por medio
de una red multiacceso
con difusin comn,
OSPF
seleccion
automticamente
un
DR y un BDR. En este
ejemplo, se eligi al R3
como el DR porque la
ID
del
router
es
3.3.3.3, que es la ms
alta en la red. El R2 es
el BDR porque tiene la

Verificacin de las adyacencias del DR/BDR

Veamos esta situacin :

La eleccin del DR y el
BDR OSPF no se basa en
prelacin. Si se agregan a
la red un router nuevo con
una prioridad ms alta o
una ID del router ms alta
despus de la eleccin del
DR y el BDR, el router
agregado no se apropia de
la funcin de DR o BDR.
Esto se debe a que esas
funciones ya se asignaron.
La incorporacin de un
nuevo
Una vez que se elige el DR, permanece como
tal router
hasta no
queinicia
se un
proceso
de
produce una de las siguientes situaciones: nuevo
eleccin.

El DR falla.
El proceso OSPF en el DR falla o se detiene.
La interfaz de accesos mltiples en el DR falla o se apaga.

Ahora:

el R3 vuelve a unirse a
la red, despus de
varios minutos de no
estar
disponible.
Debido a que el DR y el
BDR ya existen, el R3
no ocupa ninguna de
las dos funciones. En
cambio, se convierte en
un DROther.

Ahorase agrega a
la red un nuevo
router (R4) con
una ID de router
ms alta. El DR
(R2) y el BDR (R1)
retienen
sus
funciones de DR y
BDR. El R4 se
convierte
automticamente
en DROther.

El R2 falla. El BDR (R1)

se
convierte
automticamente en
el DR, y un proceso de
eleccin selecciona al
R4 como el BDR, ya
que tiene la ID de
router ms alta.

La prioridad OSPF
1

Elvalorpuede
ser uno de los
Si las prioridades de
siguientes:
interfaz por defecto son
0:no
se
iguales en todos los
convierte en DR
routers, se elige al router
ni en BDR.
con la ID ms alta como
1a255:cuanto
DR. Es posible configurar
ms alto sea el
la ID del router para
valor
de
la
manipular la eleccin de
prioridad, habr
DR/BDR. Sin embargo, el
ms
proceso solo funciona si
probabilidades de
hay un plan riguroso para
que el router se
establecer la ID de router
convierta en el
de todos los routers. En
DR o el BDR de la
las redes grandes, esto
red.
puede
ser
engorroso.
En vez de depender de la ID del router, es mejor controlar la eleccin
mediante el establecimiento de prioridades de interfaz. Las prioridades
son un valor especfico de cada interfaz, lo que significa que proporcionan un
mejor control en una red de accesos mltiples. Esto tambin permite que un
router sea el DR en una red y un DROther en otra.

Los
cambios
no
tienen
efecto
automticamente, debido a que el DR y
el BDR ya fueron seleccionados. Por lo
tanto, la eleccin de OSPF se debe
negociar mediante uno de los siguientes
mtodos:
Desactivar las interfaces del router y volver a habilitarlas de a una: primero el DR, luego el
BDR y despus todos los dems routers.

Restablecer el proceso OSPF mediante el comandoclear ip ospf processdel modo EXEC

privilegiado en todos los routers. Veamos:

En
OSPF, el router
conectado a Internet se
utiliza para propagar
una
ruta
predeterminada a otros
routers en el dominio de
routing OSPF. Este router
a veces se denomina
router perimetral, de
gateway o de entrada.
Sin embargo, en la
terminologa de OSPF, el
router ubicado entre un
dominio de routing OSPF
y una red que no es
OSPF
tambin
se
denomina
router
limtrofe del sistema
autnomo (ASBR).
Se usa para simular la conexin al proveedor de servicios, se usa una interfaz loopback con la
direccin IP 209.165.200.225

Configuracin de una ruta predeterminada en el R2

El
comandodefault-information
originatedel modo de configuracin del
router. Esto ordena al R2 que sea el origen
de
la
informacin
de
la
ruta
predeterminada y que propague la ruta
esttica
predeterminada
en
las
actualizaciones OSPF.
Esto lo podemos verificar con el comando show ip route

Propagacin de una ruta esttica predeterminada en OSPFv3

El proceso de
propagacin
de una ruta
esttica
predetermina
da en OSPFv3
es
casi
idntico al de
OSPFv2.

Se usa para simular la conexin al proveedor de servicios, se usa una interfaz loopback
con la direccin IP 2001:DB8:FEED:1::1/64.

Se
muestra
la
tabla de routing
IPv6 actual del R1.
Observe que en
dicha tabla no hay
registro de que se
conozca la ruta a
Internet.
Para propagar una ruta predeterminada,
configurarse con lo siguiente:

el

router

perimetral

(R2)

debe

Y luego se verifica con el siguiente

comando:

Intervalos de saludo y muerto de OSPF

Los intervalos de
saludo y muerto de
OSPF
pueden
configurarse
por
interfaz.
Los
intervalos de OSPF
deben coincidir, de
lo contrario, no se
crea
una
adyacencia
de
vecino.

mbin se puede verificar de una manera mas especifica filtrando la informacin con el coma

Tambin podemos hacer la

Se
usa
el
comandoshow ip
ospf neighboren
el R1 para verificar
que
el
R1
es
adyacente al R2 y el
R3. Observe en el
resultado que el
Tiempo
muerto
cuenta
regresivamente
a
partir de los 40
segundos.
De
manera
predeterminada,
este
valor
se

Con que finalidad se hace esto ?

Existen
razones
para
cambiar los temporizadores
de OSPF, por ejemplo para
que los routers detecten
fallas en las redes en menos
tiempo. Esto incrementa el
trfico, pero a veces la
Para restablecer los intervalos al valor
predeterminado utilice los comandos:
hello-interval
no ip ospf dead-interval

no ip ospf

necesidad
de
convergencia rpida

es ms importante que el
trfico adicional que genera.
Como muestra en el mensaje de adyacencia OSPFv2 , cuando el temporizador de
tiempo muerto en el R1 caduca, el R1 y el R2 pierden la adyacencia. Esto se
debe a que los valores solo se cambiaron en un lado del enlace serial entre el R1 y
el R2. Recuerde que los intervalos de saludo y muerto de OSPF deben coincidir
entre los vecinos.

OSPF SEGURA
la informacin de
routing falsificada
se puede usar
para causar que
los
sistemas
intercambien
informacin
errnea
(se
mientan),
provoquen
un
ataque
por
denegacin
de
servicio (DoS) u
ocasionen que el
trfico tome una
ruta
que
normalmente no
Una ruta con una mscara de subred coincidente ms larga seseguira
considera superior a
una ruta con una mscara de subred ms corta. En consecuencia, cuando un router
recibe un paquete, selecciona la mscara de subred ms larga, debido a que se
trata de una ruta ms precisa hacia el destino.

Para mitigar los ataques a los protocolos de

routing, puede configurar la autenticacin
de OSPF.
OSPF admite tres tipos de autenticacin:
Null (nula):este

es el mtodo predeterminado y significa que no

se usa ninguna autenticacin para OSPF.

Simple password autenticacin (autenticacin por

contrasea simple):tambin se conoce como autenticacin
con texto no cifrado, porque la contrasea en la actualizacin se
enva como texto no cifrado a travs de la red. Este mtodo se
considera un mtodo antiguo de autenticacin de OSPF.

MD5 autenticacin (autenticacin MD5): se

trata del
mtodo de autenticacin ms seguro y recomendado. La autenticacin
MD5 proporciona mayor seguridad, dado que la contrasea nunca se
intercambia entre peers. En cambio, se calcula mediante el algoritmo
MD5. La coincidencia de los resultados autentica al emisor.
Nota:RIPv2, EIGRP, OSPF, IS-IS y BGP admiten varias formas de autenticacin MD5 .

El R1 combina el mensaje de
routing con la clave secreta
previamente
compartida
y
calcula
la
firma
con
el
algoritmo
MD5.
La
firma
tambin se conoce como valor
de hash.

El R1 agrega la firma al mensaje de routing y lo enva al R

R2 abre el paquete, combina el

mensaje de routing con la clave
secreta previamente compartida y
calcula la firma con el algoritmo
MD5.
Si las firmas coinciden, el R2 acepta
la actualizacin de routing.
Si las firmas no coinciden, el R2
descarta la actualizacin.

OSPFv3 (OSPF para IPv6) no incluye ninguna capacidad de autenticacin propia. En

cambio, depende por completo de IPSec para proteger las comunicaciones entre
vecinos con el comandoipv6 ospf authentication ipsec spidel modo de
configuracin de interfaz. Esto resulta beneficioso, ya que simplifica el protocolo
OSPFv3 y estandariza su mecanismo de autenticacin

Configuracin de la autenticacin
MD5 de OSPF

La autenticacin MD5 se
puede
habilitar
globalmente para todas
las interfaces o para cada
interfaz deseada.

Se
muestra
cmo
configurar el R1 para
habilitar la autenticacin
MD5 de OSPF en todas las
interfaces. Observe que los
mensajes
informativos
indican
que
las
adyacencias de vecinos
OSPF con el R2 y el R3
cambiaron
al
estadoDown(inactivo),
porque todava no se
configuraron el R2 ni el R3
para
que
admitan
autenticacin MD5.
Este mtodo impone la autenticacin en todas las interfaces con OSPF
habilitado. Si una interfaz no est configurada con el comandoip ospf
message-digest-key, no podr establecer adyacencias con otros vecinos
OSPF.

Como una alternativa a la

habilitacin global de la
autenticacin MD5, en el
ejemplo de la figura2 se
muestra cmo configurar el
R1
para
habilitar
la
autenticacin MD5 de OSPF
por interfaz. Observe que,
tambin en este caso, las
adyacencias
de
vecinos
OSPF
cambiaron
al
estadoDown.

Al verificar que la tabla de routing est completa, se puede confirmar que la

autenticacin se realiz correctamente.