---
# System prepended metadata

title: Построение OSPF

---

# Построение OSPF
## 1. Строим топологию
![image](https://hackmd.io/_uploads/S1Dj8-eAxe.png)
Добавляем OSPF командой: 
*conf t
router ospf 1
 router-id 2.2.2.2
 network 192.168.30.0 0.0.0.255 area 0
 network 10.0.2.0 0.0.0.3 area 0
 network 10.0.3.0 0.0.0.3 area 0
end*

![image](https://hackmd.io/_uploads/Sk-C8-g0gx.png)

В топологии из трёх маршрутизаторов Router0, Router1 и Router2 реализована схема в форме треугольника. Межроутерные соединения выполнены через подсети /30: 10.0.1.0/30, 10.0.2.0/30 и 10.0.3.0/30, локальные подсети — 192.168.10.0/24, 192.168.20.0/24 и 192.168.30.0/24. На всех маршрутизаторах активирован OSPF (process-id 1) с объявлением всех интерфейсов в area 0. Проверка show ip route показала появление OSPF-маршрутов ко всем подсетям. Пинги между конечными хостами прошли успешно, что подтверждает корректность настройки динамической маршрутизации.
## 2. Какие параметры нужны для корректной работы OSPF
### OSPF должен отличать маршрутизаторы друг от друга. По умолчанию он берёт IP самого старшего интерфейса, но лучше задать вручную: 
*conf t
router ospf 1
 router-id X.X.X.X
end*
![image](https://hackmd.io/_uploads/rJaOEGxRlx.png)
###  Далее объявляем все участвующие сети: 
 *conf t
router ospf 1
 network 192.168.10.0 0.0.0.255 area 0
 network 10.0.1.0 0.0.0.3 area 0
 network 10.0.2.0 0.0.0.3 area 0
end*
Если хоть одна сеть не добавлена — маршруты из неё не будут распространяться.
### Совпадение таймеров Hello и Dead
 По дефолту у всех Cisco они одинаковые (Hello 10 сек, Dead 40 сек).
Но если кто-то их менял — соседи не поднимутся.

На всякий случай выставим их вручную одинаково на всех линках:
*conf t
interface g0/0
 ip ospf hello-interval 10
 ip ospf dead-interval 40
interface g0/1
 ip ospf hello-interval 10
 ip ospf dead-interval 40
end*
### Выключим соседства с клиентскими сетями (LAN)

На интерфейсах, где подключены ПК или свитчи, OSPF не нужен:
*router ospf 1
 passive-interface g0/2
end*

![image](https://hackmd.io/_uploads/r1HG3Mx0le.png)
Для корректной работы OSPF необходимо задать уникальные Router ID, объявить все интерфейсы в нужной области (area 0), синхронизировать таймеры Hello и Dead между соседями, отключить OSPF на клиентских интерфейсах (passive-interface) и при необходимости настроить стоимость интерфейсов для выбора предпочтительных путей. Выполненные настройки обеспечивают стабильное формирование соседств и корректное распространение маршрутной информации.
## 3. Авторизация OSPF
Включаем авторизацию OSPF аутентификацию на каждом роутере командой: 
*conf t
interface g0/0
 ip ospf message-digest-key 1 md5 ospfMD5key
 ip ospf authentication message-digest
interface g0/1
 ip ospf message-digest-key 1 md5 ospfMD5key
 ip ospf authentication message-digest
end*
![image](https://hackmd.io/_uploads/rJjzjWgRle.png)

На межроутерных интерфейсах включена MD5-аутентификация OSPF. Соседства формируются только при совпадении ключей, что блокирует неавторизованные узлы и защищает от подмены LSA.
## 4. Добавление роутеров в другие зоны
Добавим два новых роутера:

Router3 подключим к Router1 — они будут в новой area 1.

Router4 подключим к Router2, тоже в area 1.
![image](https://hackmd.io/_uploads/Syk6cXeAxg.png)

Router1 и Router2 станут ABR, потому что у них будет area 0 (старый треугольник) и новая area 1.
(P.S. на этом этапе столкнулся с проблемой отсутствия свободных портов на роутерах, пришлость ставить допом HWIC)
Добавляем зону 1 и линк к R3:
(на R1)
*conf t
interface g0/3
 ip address 10.1.13.1 255.255.255.252
 no shutdown
!
router ospf 1
 network 10.1.13.0 0.0.0.3 area 1
end
wr*
(на R3)
*conf t
interface g0/0
 ip address 10.1.13.2 255.255.255.252
 no shutdown
!
router ospf 1
 router-id 4.4.4.4
 network 10.1.13.0 0.0.0.3 area 1
end
wr*

Также добавляем связь с R4 в новую зону 1:
(на R2)
*conf t
interface g0/3
 ip address 10.1.24.1 255.255.255.252
 no shutdown
!
router ospf 1
 network 10.1.24.0 0.0.0.3 area 1
end
wr*
(на R4)
*conf t
interface g0/0
 ip address 10.1.24.2 255.255.255.252
 no shutdown
interface f0/3/0
 ip address 203.0.113.1 255.255.255.0
 no shutdown
!
ip route 0.0.0.0 0.0.0.0 203.0.113.2
!
router ospf 1
 router-id 5.5.5.5
 network 10.1.24.0 0.0.0.3 area 1
 default-information originate
end
wr*
![image](https://hackmd.io/_uploads/HyAUCQeCgg.png)
Добавлены маршрутизаторы R3 и R4 в новую область OSPF (area 1).
R1 и R2 выполняют роль ABR, соединяя area 0 и area 1.
На R4 настроен статический маршрут по умолчанию в сторону внешней сети и распространён в OSPF командой default-information originate.
После проверки все маршруты успешно обменялись, а дефолт 0.0.0.0/0 появился во всех зонах, что подтверждает корректную работу многоуровневой маршрутизации.
## 5.
OSPF — это протокол, который постоянно обменивается служебными пакетами (Hello, LSА) между роутерами.
Если кто-то воткнёт свой «левый» роутер в сеть без защиты, он может:
прикинуться соседом,
накидать фейковых LSА,
и вообще развалить маршрутизацию.

Аутентификация делает так, что только роутеры с правильным ключом могут участвовать в обмене маршрутами.
Пакеты без правильного ключа просто игнорируются
Это гарантирует, что только устройства, обладающие корректным ключом, могут участвовать в обмене маршрутной информацией. Использование OSPF с аутентификацией предотвращает подделку служебных пакетов, защищает топологию от несанкционированного доступа и обеспечивает целостность маршрутов в корпоративной сети.
#  Криптоанализ

1) 512-битный хэш может принимать 2^512 различных значений.
Формула: N = 2^n, где n = 512.
Численно: 2^512 ≈ 1.3407807929942597×10^154.
Это единица и 154 нуля — число немыслимо огромное.

2) Теоретическая вероятность угадать конкретное значение 512-битного хэша с одной попытки:
P = 1 / 2^512 ≈ 7.458340731200207×10^-155.
То есть шанс хуже, чем выиграть во все лотереи мультивселенной разом — практически ноль.

3) Оценка времени полного перебора при 1 триллионе (10^12) хэшей в секунду.
В среднем нужно половина пространства: 2^511 попыток.
Время в секундах: T = 2^511 / 10^12.
Переводим в годы: T ≈ 2.124×10^134 лет.
Для масштаба: возраст Вселенной ~1.38×10^10 лет.
Перебор занял бы в ~1.54×10^124 раз дольше. Проще дождаться тепловой смерти Вселенной, воскреснуть и подождать ещё:)

4) Почему перебором взлом невозможен «даже при бурном росте мощности».
Потому что пространство ключей растёт экспоненциально, а вычислительная мощность — максимум полиномиально (и упирается в физику: ограничение по энергии, теплу, скорости света, пределы параллелизма и даже предел Ландауэра на стирание бита информации).
Для 512 битов ни классические, ни ближайшие квантовые компьютеры не спасают:
- «Добыча» точного предобраза всё равно требует порядка 2^512 (в среднем 2^511) шагов;
- По коллизия м действует «день рождения»: нужно порядка 2^256 ≈ 1.16×10^77 хэшей — это всё ещё за гранью любых реальных ресурсов.
Иными словами, даже если ускориться на миллиарды раз, экспонента съедает любое ускорение: задача остаётся вне досягаемости по времени и по энергии.

# Анализ сетевого трафика
1. Диапазон LAN — 10.1.17.0/24 ( 10.1.17.1 - 10.1.17.254 ).
 ![image](https://hackmd.io/_uploads/HJV5GHgCxl.png)
2. ![image](https://hackmd.io/_uploads/ByQGXrl0ee.png)
3. ![image](https://hackmd.io/_uploads/rJQHEreAgl.png)
4.