Router ABR (Area Border Router) to kluczowe urządzenie stojące na granicy dwóch światów. Posiada on interfejsy w co najmniej dwóch różnych obszarach OSPF, przy czym jeden z nich musi być „kręgosłupem” sieci (Area 0). To on decyduje, jakie informacje o lokalnych trasach przekazać dalej do reszty firmy.

Jego rola jest podobna do roli tłumacza lub ambasadora — zamiast wysyłać tysiące drobnych szczegółów o każdym kablu, ABR tworzy zgrabne streszczenia (sumaryzację). Dzięki temu routery w odległych oddziałach nie muszą znać topologii całego biura w innym mieście, co oszczędza ich moc obliczeniową i stabilizuje pracę całej infrastruktury.

OSPF nie jest płaski — opiera się na inteligentnej, dwuwarstwowej strukturze. W centrum zawsze znajduje się Area 0 (Backbone), a dookoła niego „pływają” pozostałe obszary standardowe. Ważna zasada techniczna: każdy obszar musi mieć bezpośredni kontakt z Area 0.

Dzięki takiej architekturze ruch między różnymi działami firmy musi zawsze przejść przez kręgosłup sieci. Zapobiega to powstawaniu niebezpiecznych pętli routingu i pozwala administratorom na łatwe wprowadzanie zmian w jednym miejscu bez ryzyka, że odbije się to czkawką w całej globalnej sieci. To fundament skalowalności OSPF.

Pakiety LSA (Link-State Advertisement) to drobne porcje informacji, z których routery układają wielką interaktywną mapę sieci. Każdy router generuje własne LSA, opisując: „Cześć, to ja, mam takie porty i takich sąsiadów”.

W OSPF mamy kilka typów LSA (od 1 do 5). Każdy z nich służy do czegoś innego: jedne opisują routery, inne całe sieci, a jeszcze inne trasy wychodzące do Internetu. Zrozumienie, który typ LSA właśnie „przyleciał” do routera, pozwala inżynierowi na błyskawiczne zrozumienie, czy problem leży wewnątrz pokoju, czy może u dostawcy usług internetowych.

LSA typu 1 (Router LSA) to podstawowa informacja, którą produkuje absolutnie każde urządzenie w sieci OSPF. Można ją porównać do wizytówki: zawiera Router ID urządzenia oraz listę wszystkich jego aktywnych „rąk” (interfejsów) wraz z ich adresami IP i kosztami.

To ogłoszenie nigdy nie wychodzi poza granice własnego obszaru. Służy ono do budowania szczegółowego planu „naszego podwórka”. Dzięki typowi 1 każdy router w danym obszarze dokładnie wie, jak wygląda jego sąsiedztwo i którędy biec najkrótszą drogą do wyjścia.

W sieciach, gdzie do jednego przełącznika podpiętych jest wiele routerów (np. Ethernet), system OSPF upraszcza widok topologii. Zamiast rysować miliony połączeń „każdy z każdym”, wybierany jest lider grupy — Router Wyznaczony (DR).

To właśnie DR wysyła LSA typu 2. Opisuje w nim cały segment sieci jako jedną zbiorczą jednostkę i wymienia wszystkich, którzy są do niej wpięci. Dzięki temu mapa sieci pozostaje przejrzysta, a procesor routera nie musi tracić czasu na analizowanie setek identycznych połączeń wewnątrz jednego kabla.

Wyobraźmy sobie spotkanie dziesięciu osób, gdzie każdy chce każdemu coś opowiedzieć — powstanie szum. Router Wyznaczony (Designated Router) to taki przewodniczący zebrania. Wszyscy w segmencie Ethernet raportują zmiany do niego, a on ogłasza je całej reszcie.

Taki mechanizm radykalnie zmniejsza ruch w sieci. Zamiast setek pakietów kontrolnych, mamy uporządkowaną wymianę. Wszystkie routery (DROTHERs) rozmawiają tylko z DR-em. To on jest odpowiedzialny za to, aby każdy uczestnik miał najświeższą wersję mapy sieci w swojej pamięci.

Co się stanie, gdy najważniejszy w segmencie router (DR) nagle przestanie działać? Aby uniknąć chaosu i długiego czekania na nowe wybory, OSPF zawsze mianuje zastępcę — BDR (Backup Designated Router).

BDR to „milczący obserwator”. Podsłuchuje on wszystkie rozmowy między DR-em a resztą sieci i cały czas utrzymuje identyczną bazę wiedzy. Jeśli tylko zauważy, że DR „milczy” zbyt długo, w mgnieniu oka przejmuje jego rolę. Dzięki temu użytkownicy sieci nawet nie zauważą, że ich główny węzeł komunikacyjny właśnie uległ awarii.

Kto zostaje liderem? OSPF stosuje tu prostą i sprawiedliwą zasadę. Najpierw patrzy na priorytet (domyślnie 1). Router z najwyższym priorytetem wygrywa. Jeśli wszyscy mają ten sam, wygrywa ten, który ma wyższy identyfikator, czyli Router ID (najwyższy adres IP interfejsu lub loopback).

Możemy też oszukać system — ustawiając priorytet na 0, informujemy router: „Ty jesteś za słaby, nigdy nie bądź liderem". To ważna technika, bo chcemy, aby liderem (DR) był najmocniejszy sprzętowo router w firmie, a nie np. stary model, który akurat ma wysoki adres IP.

LSA typu 3 (Summary LSA) to raporty, które routery ABR wysyłają między obszarami. Zamiast wysyłać rysunek całego biura w Łodzi do biura w Londynie, ABR z Łodzi wysyła krótką informację: „U nas są takie i takie sieci, szukajcie ich przez moją bramę”.

Dzięki temu routery w Londynie nie muszą wiedzieć o każdym pojedynczym switchu w Łodzi. Widzą tylko „chmurę” podsieci. Drastycznie upraszcza to obliczenia algorytmu SPF i sprawia, że OSPF może stabilnie łączyć nawet tysiące urządzeń na różnych kontynentach bez ryzyka przeciążenia pamięci.

Wyobraźmy sobie, że jeden z routerów (ASBR) zna drogę do Internetu lub do innej sieci (np. BGP). Inne routery muszą wiedzieć, jak go znaleźć. Służy do tego LSA typu 4.

Jest to specyficzny drogowskaz generowany przez ABR-a, który mówi wszystkim: „Jeśli chcecie wysłać dane na zewnątrz, ten konkretny router ASBR w innym obszarze wie jak to zrobić, a dojdziecie do niego tędy”. Bez typu 4 routery wiedziałyby, że sieci zewnętrzne istnieją, ale nie miałyby pojęcia, do którego fizycznego gniazdka w innym mieście mają „kopnąć” pakiet.

LSA typu 5 (External LSA) niesie informacje o sieciach, które nie należą do naszej domeny OSPF — np. o trasach statycznych do partnera biznesowego lub o całym Internecie. Są one wrzucane do sieci przez router ASBR w procesie zwanym redystrybucją.

W przeciwieństwie do innych typów, LSA 5 „płynie” wszędzie, do każdego zakątka firmy (poza obszarami specjalnie odizolowanymi). Dzięki temu nawet najmniejszy router w biurze wie, że istnieje droga „na zewnątrz”, co pozwala pracownikom na korzystanie z zasobów niebędących częścią ich lokalnej infrastruktury IT.

Uruchomienie OSPF na sprzęcie Cisco to dwa proste kroki. Najpierw wpisujemy polecenie router ospf [ID]. Ten numer ID służy tylko nam wewnątrz urządzenia (możemy mieć kilka procesów naraz). Najważniejsze jest polecenie network, które wskazuje, na których interfejsach router ma zacząć „szukać przyjaciół".

Należy pamiętać: polecenie to nie tyle ogłasza sieć, co aktywuje protokół na konkretnych interfejsach. Gdy tylko interfejs „poczuje”, że pasuje do wpisanej sieci, zaczyna wysyłać pakiety Hello i słuchać, czy ktoś nie chce zostać jego nowym sąsiadem w OSPF.

W OSPF zamiast zwykłej maski podsieci używamy Maski Wildcard (odwrotnej). Jest to sposób, aby powiedzieć routerowi, które bity adresu go interesują (0), a które może zignorować (1). Dla popularnej maski 255.255.255.0 jej wersja Wildcard to 0.0.0.255.

Ta metoda daje administratorowi niesamowitą precyzję. Można za jej pomocą wskazać jeden konkretny adres komputera (maska 0.0.0.0) lub całkiem duży zakres IP jednym prostym poleceniem. To „scyzoryk inżyniera”, pozwalający na precyzyjne sterowanie tym, które części biura mają ze sobą rozmawiać.

Ostatnim elementem polecenia network jest wskazanie numeru obszaru (Area). Każdy interfejs routera może należeć tylko do jednego obszaru. Jeśli przypiszemy dwa interfejsy do różnych Area, ten router automatycznie stanie się routerem ABR i zacznie filtrować oraz sumować ruch między nimi.

W małych firmach najczęściej wszystko pakujemy do Area 0 (topologia Single Area). Dopiero gdy nasza sieć zaczyna „puchnąć” i routery stają się ociężałe, zaczynamy tworzyć Area 1, 2 itd., aby odciążyć CPU naszych urządzeń i zachować porządek w tablicach routingu.

Nie chcemy, aby w naszej sieci liderem (DR) został przypadek. Wyobraźmy sobie, że routerem wyznaczonym zostaje stary, słaby model tylko dlatego, że ma wysoki adres IP. Rozwiązaniem jest zmiana priorytetu interfejsu (domyślnie 1).

Inżynierowie zazwyczaj ustawiają priorytet 255 na najszybszym i najnowszym routerze w szafie. Wtedy mamy 100% pewności, że to on „weźmie na klatę” ciężar zarządzania komunikacją w segmencie Ethernet, co przełoży się na płynniejszą pracę całej sieci i stabilniejsze łącza dla pracowników.

Domyślnie OSPF jest ufny — dołączy do każdego, kto wyśle mu „Hello”. To ogromna dziura w bezpieczeństwie. Haker mógłby podpiąć swój laptop do gniazdka w ścianie i udając router, przejąć kontrolę nad tym, którędy płyną firmowe hasła czy przelewy.

Aby temu zapobiec, stosujemy uwierzytelnianie (najlepiej MD5). Wtedy routery, zanim zaczną wymieniać mapy, sprawdzają ukryte hasło. Jeśli „klucz” się nie zgadza, router po prostu ignoruje sąsiada. To absolutna podstawa przy projektowaniu bezpiecznych sieci bankowych czy rządowych.

Po co wysyłać pakiety OSPF Hello do drukarki lub laptopa prezesa? One i tak nie „mówią” w tym protokole. Co gorsza, haker może te pakiety podsłuchać i dowiedzieć się, jak wygląda nasza sieć. Tutaj z pomocą przychodzi polecenie passive-interface.

To polecenie mówi routerowi: „Wiem, że na tym interfejsie jest sieć 192.168.1.0 i ogłaszaj ją całemu światu, ale nie wysyłaj TAM żadnych technicznych komunikatów OSPF”. Dzięki temu sieć LAN jest widoczna dla wszystkich, ale nikt wewnątrz niej nie może manipulować pracą naszych routerów.

Czasami musimy połączyć OSPF z czymś innym — np. z trasami statycznymi lub innym działem firmy, który używa protokołu EIGRP. Ten proces nazywamy redystrybucją. Router, który to wykonuje (ASBR), musi umieć „przetłumaczyć” informacje z jednego języka na drugi.

Redystrybucja jest jak stacja przekaźnikowa. Pozwala nam ogłosić całemu OSPF-owi: „Słuchajcie, ja wiem jak dojść do sieci partnera, która nie używa OSPF. Wysyłajcie wszystko do mnie, a ja to tam przekażę”. To klucz do budowania hybrydowych, wielkich struktur sieciowych.

Gdy przechodzimy na IPv6, nasz stary OSPF musi ewoluować do wersji v3. Największa zmiana? Konfiguracja nie odbywa się już przez ogólne polecenia network, ale bezpośrednio wewnątrz konfiguracji konkretnego portu (interface command).

OSPFv3 jest bardziej samodzielny — do rozmowy z sąsiadami używa wyłącznie adresów Link-Local (tych startujących od fe80), co sprawia, że routing może zacząć działać w biurze nawet zanim operator przydzieli nam oficjalne, globalne adresy IP. Ponadto, v3 oddziela adresowanie od topologii, co czyni go znacznie bardziej odpornym na częste zmiany numeracji w sieciach IPv6.

Gdy OSPF „nie wstaje”, najważniejszym poleceniem jest show ip ospf neighbor. Jeśli nie widzisz tam sąsiada, oznacza to, że wasza „przyjaźń” utknęła na poziomie technicznym. Przyczyny? Najczęściej błąd w masce podsieci, inne hasło uwierzytelniania lub niedopasowane timery.

Pamiętaj: w OSPF routery muszą być jak lustrzane odbicia. Jeśli jeden chce wysyłać Hello co 10 sekund, a drugi co 30 — nigdy się nie dogadają. Diagnostyka to systematyczne sprawdzanie tych parametrów aż do momentu, gdy stan sąsiedztwa zmieni się na upragnione 'FULL'.

Zaprojektujmy sieć trzech routerów w układzie trójkąta. Jeśli jeden kabel zostanie przecięty, dane mają płynąć dłuższą drogą. W OSPF dzieje się to automatycznie. Naszym zadaniem jest tylko włączenie protokołu na wszystkich sześciu połączeniach i upewnienie się, że należą do Area 0.

Po minucie routery same zorientują się, które drogi są „najtańsze” (najszybsze). Jeśli teraz wyłączysz jeden port, zobaczysz jak w kilka sekund tablica routingu na pozostałych routerach zmieni się sama, wskazując nową, okrężną drogę do celu. To właśnie ta magia przyciąga firmy do wyboru OSPF.

W tej części zgłębiliśmy tajniki najbardziej zaawansowanego protokołu IGP. Wiemy już, że OSPF to nie tylko tablica tras, ale żywy organizm, który nieustannie wymienia cegiełki wiedzy (LSA) i wybiera liderów (DR/BDR) na poziomie lokalnym.

Nauczyliśmy się dzielić sieć na obszary, aby zachować wydajność, oraz zabezpieczać ją hasłami i pasywnymi portami. To kompletny zestaw narzędzi, który pozwala na zaprojektowanie nowoczesnej, odpornej na awarie sieci korporacyjnej. Przed nami ostatni wielki gracz — protokół EIGRP.

EIGRP (Enhanced Interior Gateway Routing Protocol) to duma inżynierów Cisco (dziś dostępny też dla innych). Nazywamy go „hybrydą”, bo łączy prostotę starych protokołów z potężną mocą obliczeniową nowoczesnych rozwiązań Link-State.

Dla administratora EIGRP jest jak sportowy samochód — jest niesamowicie szybki w działaniu (najszybsza konwergencja na świecie) i bardzo prosty w prowadzeniu (konfiguracja zajmuje kilka chwil). Jeśli w Twojej firmie padnie główne łącze, EIGRP przełączy się na zapasowe tak szybko, że nawet rozmowa na MS Teams nie zostanie przerwana.

Dlaczego warto wybrać EIGRP? Po pierwsze: oszczędność łącza. Protokół nie wysyła zbędnych śmieci — przesyła aktualizacje tylko wtedy, gdy coś się faktycznie zmieni. Po drugie: inteligencja. Jako jedyny potrafi wysyłać dane dwoma różnymi drogami naraz, nawet jeśli jedna jest nieco wolniejsza (Unequal Cost Load Balancing).

Ponadto EIGRP ma wbudowany „wykrywacz pętli”. Dzięki zaawansowanej matematyce router ma pewność, że droga, którą wybrał, nie zapętli pakietu. To sprawia, że sieć jest niezwykle stabilna nawet przy bardzo skomplikowanych i gęstych połączeniach między budynkami.

Sercem EIGRP jest algorytm DUAL (Diffusing Update Algorithm). To on odpowiada za magię „natychmiastowej naprawy sieci”. Zamiast czekać na awarię i wtedy myśleć co zrobić, DUAL cały czas trzyma w pamięci plan awaryjny — tzw. Feasible Successor.

To tak, jakbyś jadąc samochodem, cały czas miał włączoną drugą nawigację z ustawioną trasą alternatywną. Gdy tylko zobaczysz korek, po prostu skręcasz w bok bez zatrzymywania się i szukania nowej drogi. To właśnie dlatego EIGRP jest uznawany za najbardziej niezawodny protokół w krytycznych systemach bankowych.

W EIGRP trasy mogą być w dwóch stanach. Stan 'Passive' (Pasywny) to stan idealny — trasa działa, router odpoczywa, dane płyną. Nie daj się zwieść nazwie — pasywny w EIGRP oznacza „wszystko jest super, trasa jest wyliczona i stabilna”.

Stan 'Active' (Aktywny) to stan alarmowy. Oznacza, że router właśnie stracił najlepszą drogę, nie ma planu zapasowego i gorączkowo pyta sąsiadów: „Hej, czy ktoś z was wie, jak dojść do tej sieci?”. Jako administrator nigdy nie chcesz widzieć literki 'A' przy swoich trasach zbyt długo, bo oznacza to przerwę w komunikacji.

Podobnie jak w OSPF mieliśmy Area, w EIGRP musimy zdefiniować numer AS (Autonomous System). To bardzo ważne: routery nawiążą sąsiedztwo TYLKO wtedy, gdy mają wpisany identyczny numer AS. To zamyka naszą domenę routingu w jednej, spójnej całości.

W przeciwieństwie do BGP, tutaj ten numer wybieramy sami (np. AS 100). Służy on jako wspólny mianownik dla wszystkich routerów w firmie. Jeśli pomylisz numer na jednym z urządzeń, stanie się ono „samotną wyspą” i nie wyśle ani nie odbierze żadnych informacji o trasach od reszty kolegów.

EIGRP używa pięciu rodzajów komunikatów. Hello (odkrywanie sąsiadów), Update (przesyłanie tras), Query (pytania przy awarii), Reply (odpowiedzi na pytania) oraz Ack (potwierdzenia odbioru). Co ważne, EIGRP ma własny system transportu (RTP), który dba o to, aby żaden ważny Update nie zginął po drodze.

Najciekawsze są pakiety Query. Jeśli router straci drogę, wysyła „krzyk” do wszystkich: „Czy ktoś zna drogę do sieci X?”. Sąsiedzi sprawdzają swoje tablice i odkrzykują Reply. Ta dynamiczna dyskusja sprawia, że sieć EIGRP potrafi się przeorganizować w ułamku sekundy bez udziału człowieka.

EIGRP nie jest naiwny — przy wyborze drogi bierze pod uwagę dwa parametry: najwęższe gardło na trasie (najniższy Bandwidth) oraz sumę wszystkich opóźnień (Delay). Dzięki temu wybierze drogę, która jest nie tylko szybka, ale też nie ma „lagów”.

Inne protokoły patrzą tylko na jeden parametr, a EIGRP miesza je w specjalnym wzorze. To tak, jakbyś wybierał drogę do pracy biorąc pod uwagę nie tylko odległość w kilometrach, ale też liczbę świateł i korki. Wynikiem jest niesamowicie precyzyjny dobór ścieżki, który oszczędza pieniądze firmy na drogich łączach.

Administrator może decydować, które cechy łącza są dla niego ważne, zmieniając tzw. K-values. Domyślnie bierzemy pod uwagę tylko pasmo (K1) i opóźnienie (K3). Można jednak kazać routerowi sprawdzać też niezawodność (K4/K5) lub obciążenie (K2).

Uwaga: w 99% przypadków zostawiamy to w spokoju. Jeśli zmienisz wartości K na jednym routerze, a na sąsiedzie zostawisz domyślne — routery przestaną ze sobą rozmawiać. To potężne narzędzie, ale wymagające żelaznej dyscypliny i równej konfiguracji w całej domenie EIGRP.

Obliczanie metryki EIGRP daje w efekcie bardzo duże liczby (np. 3205120). To celowe — im większa rozpiętość liczb, tym łatwiej routerowi rozróżnić drobne różnice między łączami (np. łącze 100 Mb/s od 105 Mb/s).

Jako inżynier rzadko będziesz to liczył na kartce, ale musisz rozumieć zasadę: im mniejszy wynik wzoru, tym lepsza trasa. Jeśli chcesz wymusić na routerze inną drogę, po prostu „oszukaj” go, podnosząc opóźnienie (delay) na danym interfejsie — EIGRP od razu „poczuje”, że ta droga jest gorsza i znajdzie inną, co jest eleganckim sposobem sterowania ruchem.

EIGRP operuje na dwóch wartościach dystansu. Feasible Distance (FD) to całkowity koszt od NAS do celu. Reported Distance (RD) to informacja od sąsiada: „Mnie do celu zostało jeszcze tyle drogi”.

Porównanie tych liczb jest kluczem do bezpieczeństwa. Jeśli sąsiad twierdzi, że ma do celu dalej niż my (wysoki RD), router staje się podejrzliwy — może ten sąsiad tak naprawdę idzie przez NAS? To proste porównanie matematyczne chroni sieć przed pętlami, w których pakiety mogłyby kręcić się w kółko bez końca.

Najlepsza trasa w EIGRP to Successor (Następca) — ląduje ona w tablicy routingu i to nią płyną Twoje maile. Ale prawdziwy skarb EIGRP to Feasible Successor (FS) — trasa zapasowa, która spełnia rygorystyczny warunek bezpieczeństwa.

Dzięki posiadaniu FS w tablicy topologii, router w razie awarii głównego łącza nie pyta nikogo o zdanie i nie przelicza topologii — on już ma gotową odpowiedź. Przełączenie następuje w czasie mniejszym niż sekunda. To właśnie ta funkcja sprawia, że EIGRP jest bezkonkurencyjny w szybkim ratowaniu łączności.

Większość protokołów potrafi rozdzielać ruch tylko na identyczne łącza. EIGRP potrafi więcej — dzięki funkcji Variance może wysyłać np. 70% danych szybkim światłowodem i 30% wolniejszym łączem miedzianym jednocześnie.

To pozwala na maksymalne wykorzystanie wszystkich kabli, za które firma płaci pieniądze. Zamiast mieć drogie łącze zapasowe, które „stoi i czeka na awarię”, w EIGRP możesz zaprząc je do pracy na co dzień, co wyraźnie podnosi komfort pracy użytkowników i przepustowość całej sieci biurowej.

Podstawowa konfiguracja EIGRP to zaledwie trzy linijki: router eigrp [AS], potem network [sieć] i bardzo ważny dodatek: no auto-summary. Ten ostatni wyłącza stary mechanizm, który mógłby nam błędnie „poukładać” sieci w folderach (klasach).

Po wpisaniu tych komend routery od razu zaczną się witać i wymieniać informacjami. Cała trudność EIGRP leży w zrozumieniu jak on działa pod maską — sama konfiguracja jest tak intuicyjna, że nawet początkujący administrator poradzi sobie z nią w kilka minut, tworząc stabilną i nowoczesną sieć.