The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Cisco ospf фильтрация lsa 5"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 07:41 
Здравствуйте, есть несколько маршрутизаторов в разных офисах cisco 29XX, соеденены между собой посредством nhrp, в облаке vpn поднята backbone area ospf, в нее роутеры ретранслируют маршруты других протоколов в lsa5. На DR в этой зоне сделал фильтрацию acl:

access-list 11 permit 192.168.21.0 0.0.0.255
access-list 11 permit 192.168.22.0 0.0.0.255
access-list 11 permit 192.168.23.0 0.0.0.255
access-list 11 permit 192.168.24.0 0.0.0.255
access-list 11 permit 192.168.25.0 0.0.0.255
access-list 11 permit 192.168.26.0 0.0.0.255
access-list 11 permit 192.168.27.0 0.0.0.255
access-list 11 permit 192.168.190.0 0.0.0.255
access-list 11 deny   any

router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
no passive-interface Tunnel 1
network 192.168.32.16 0.0.0.7 area 2
network 192.168.35.0 0.0.0.15 area 0
distribute-list 11 out

Но вижу, что в ip ospf database на других роутерах с этого роутера попадают все маршруты, а не только те, что разрешил фильтром. ПОрылся в инете, вроде пишут, что lsa 5 не получается фильтровать. Кто-нибудь сталкивался? Как-то можно это побороть фильтрами?
Или сделать 2 процесса ospf и из area2 в area например 10 сделать ретрансляцию с фильтом acl?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 11:35 

> этой зоне сделал фильтрацию acl:
> access-list 11 permit 192.168.21.0 0.0.0.255
> access-list 11 permit 192.168.22.0 0.0.0.255
> access-list 11 permit 192.168.23.0 0.0.0.255
> access-list 11 permit 192.168.24.0 0.0.0.255
> access-list 11 permit 192.168.25.0 0.0.0.255
> access-list 11 permit 192.168.26.0 0.0.0.255
> access-list 11 permit 192.168.27.0 0.0.0.255
> access-list 11 permit 192.168.190.0 0.0.0.255
> access-list 11 deny   any

На другом роутере видно, что приходят все маршруты с DR офиса:
Link ID         ADV Router      Age         Seq#       Checksum Tag
192.168.11.0    192.168.36.1    41          0x80000001 0x00ADEF 0
192.168.12.0    192.168.36.1    41          0x80000001 0x00A2F9 0
192.168.14.0    192.168.36.1    41          0x80000001 0x008C0E 0
192.168.15.0    192.168.36.1    41          0x80000001 0x008118 0
192.168.21.0    192.168.36.1    41          0x80000001 0x003F54 0
192.168.22.0    192.168.36.1    41          0x80000001 0x00345E 0
192.168.23.0    192.168.36.1    41          0x80000001 0x002968 0
192.168.24.0    192.168.36.1    41          0x80000001 0x001E72 0
192.168.25.0    192.168.36.1    41          0x80000001 0x00137C 0
192.168.26.0    192.168.36.1    41          0x80000001 0x000886 0
192.168.27.0    192.168.36.1    41          0x80000001 0x00FC90 0
192.168.30.0    192.168.32.1    1822        0x80000C69 0x000317 0
192.168.31.0    192.168.36.1    41          0x80000001 0x00A6E9 0
192.168.31.8    192.168.32.1    1822        0x80000C69 0x007D9A 0
192.168.32.16   192.168.36.1    41          0x80000001 0x003C56 0
192.168.32.24   192.168.36.1    41          0x80000001 0x00AACC 0
192.168.32.32   192.168.36.1    41          0x80000001 0x005A15 0
192.168.33.8    192.168.36.1    41          0x80000001 0x004046 0
192.168.33.16   192.168.36.1    41          0x80000001 0x00EF8E 0
192.168.41.0    192.168.36.1    41          0x80000001 0x00621D 0
192.168.42.0    192.168.36.1    41          0x80000001 0x005727 0
192.168.43.0    192.168.36.1    41          0x80000001 0x004C31 0
192.168.44.0    192.168.36.1    41          0x80000001 0x00413B 0
192.168.46.0    192.168.36.1    41          0x80000001 0x002B4F 0
192.168.50.0    192.168.36.1    41          0x80000001 0x00FE77 0
192.168.190.0   192.168.36.1    41          0x80000001 0x00F4F4 0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от fantom (??), 12-Июл-18, 12:52 
>[оверквотинг удален]
> 192.168.43.0    192.168.36.1    41    
>       0x80000001 0x004C31 0
> 192.168.44.0    192.168.36.1    41    
>       0x80000001 0x00413B 0
> 192.168.46.0    192.168.36.1    41    
>       0x80000001 0x002B4F 0
> 192.168.50.0    192.168.36.1    41    
>       0x80000001 0x00FE77 0
> 192.168.190.0   192.168.36.1    41    
>      0x80000001 0x00F4F4 0

distribute лист В ОСПФ не фильтрует LSA. Он фильтрует маршруты, которые OSPF помещает в таблицу маршрутизации.

Проверте таблицу маршрутизации, а не топологию.
В топологии они какраз будут.
если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте редистрибуцию как внешние.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 13:19 

> distribute лист В ОСПФ не фильтрует LSA. Он фильтрует маршруты, которые OSPF
> помещает в таблицу маршрутизации.
> Проверте таблицу маршрутизации, а не топологию.
> В топологии они какраз будут.
> если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
> редистрибуцию как внешние.

Я понимаю, т.е. чтобы фильтровались маршруты, мне нужно не на DR делать фильтр  out, а на других роутерах фильтр на in ставить?

Ну или я на DR сделал фильтр на in во внутренней зоне:
access-list 11 permit 192.168.21.0 0.0.0.255
access-list 11 permit 192.168.22.0 0.0.0.255
access-list 11 permit 192.168.23.0 0.0.0.255
access-list 11 permit 192.168.24.0 0.0.0.255
access-list 11 permit 192.168.25.0 0.0.0.255
access-list 11 permit 192.168.26.0 0.0.0.255
access-list 11 permit 192.168.27.0 0.0.0.255
access-list 11 permit 192.168.190.0 0.0.0.255
access-list 11 deny   any


default-router 192.168.32.18
router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
network 192.168.32.16 0.0.0.7 area 2
distribute-list 11 in

router ospf 12
redistribute ospf 11 subnets
passive-interface default
no passive-interface Tunnel1
network 192.168.35.0 0.0.0.15 area 0
distribute-list 11 out

Тогда на остальныз роутерах я вижу маршруты, разрешенные в acl на DR:


O E2  192.168.21.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.22.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.23.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.24.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.25.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.26.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.27.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
O E2  192.168.190.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1

Но тогда DR теряет маршруты из внутренней area :(

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 13:35 
ПО теории:
Правила использования distribute list для OSPF:

    Distribute list может использоваться только во входящем направлении, потому что в исходящем направлении будут фильтроваться LSA, а не маршруты.
    Distribute list во входящем направлении не фильтрует входящие LSA. Он фильтрует маршруты, которые OSPF помещает в таблицу маршрутизации.
    Если distribute list указывает входящий интерфейс, то входящий интерфейс проверяется таким образом, как-будто он исходящий интерфейс для маршрута.

Т.е. на out его бесполезно ставить.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 13:36 

> если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
> редистрибуцию как внешние.

Вот это бы подошло, но не совсем понял как это

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от fantom (??), 12-Июл-18, 14:11 
>> если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
>> редистрибуцию как внешние.
> Вот это бы подошло, но не совсем понял как это

Прям в первом ВАШЕМ посте "Или сделать 2 процесса ospf...."
делаете и редистрибутите между ними.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 14:18 
>>> если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
>>> редистрибуцию как внешние.
>> Вот это бы подошло, но не совсем понял как это
> Прям в первом ВАШЕМ посте "Или сделать 2 процесса ospf...."
> делаете и редистрибутите между ними.

Да вт так и сделал

router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
network 192.168.32.16 0.0.0.7 area 2
distribute-list 11 in << --тут обрезаются маршруты
router ospf 12
redistribute ospf 11 subnets
passive-interface default
no passive-interface Tunnel1
network 192.168.35.0 0.0.0.15 area 0
distribute-list 11 out << - это не срабатывало

Маршруты сразу режутся.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 12-Июл-18, 14:35 
Вроде так помогло:
сделал роут-мап

route-map OSPF-advertise permit 10
match ip address 11


потом указал в процессе внешней зоны 0:
router ospf 12
redistribute ospf 11 subnets match external 1 external 2 route-map OSPF-advertise
passive-interface default
no passive-interface Tunnel1
network 192.168.35.0 0.0.0.15 area 0

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от fantom (??), 12-Июл-18, 15:32 
> Вроде так помогло:
> сделал роут-мап
> route-map OSPF-advertise permit 10
>  match ip address 11
> потом указал в процессе внешней зоны 0:
> router ospf 12
>  redistribute ospf 11 subnets match external 1 external 2 route-map OSPF-advertise
>  passive-interface default
>  no passive-interface Tunnel1
>  network 192.168.35.0 0.0.0.15 area 0

в роутмапе лучше префикс лист использовать, а не ACL

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 13-Июл-18, 09:28 
Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно, а на удаленные в облаке vpn роутеры маршруты приходят все равно с дистансом 110:
O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от ВОЛКА (ok), 13-Июл-18, 09:41 
> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
> а на удаленные в облаке vpn роутеры маршруты приходят все равно
> с дистансом 110:
> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1

Зачем всё это?
Для геморроя? Или в образовательных целях?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 13-Июл-18, 11:35 
>> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
>> а на удаленные в облаке vpn роутеры маршруты приходят все равно
>> с дистансом 110:
>> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
>> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
> Зачем всё это?
> Для геморроя? Или в образовательных целях?

Дело в том, что эти офисы связаны vpn-туннелем через аплинки, но также имеют оптические связи, где приходят маршруты по rip'у, у рипа дистанс 120, поэтому ospf сделал 130, если падает оптика между офисами, то принимается маршрут ospf через внешку.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от fantom (??), 13-Июл-18, 16:09 
> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
> а на удаленные в облаке vpn роутеры маршруты приходят все равно
> с дистансом 110:
> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1

Матчать нам говорит, что:
Дистанс - параметр ЛОКАЛЬНЫЙ и между маршрутизаторами НЕ ПЕРЕДАЕТСЯ.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 16-Июл-18, 09:16 
>> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
>> а на удаленные в облаке vpn роутеры маршруты приходят все равно
>> с дистансом 110:
>> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
>> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
> Матчать нам говорит, что:
> Дистанс - параметр ЛОКАЛЬНЫЙ и между маршрутизаторами НЕ ПЕРЕДАЕТСЯ.

Понял, спасибо.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от Тимофей (??), 15-Июл-18, 23:48 
> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
> а на удаленные в облаке vpn роутеры маршруты приходят все равно
> с дистансом 110:
> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1

на интерейсе Tu1 напишите ip ospf cost 130

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Cisco ospf фильтрация lsa 5"  +/
Сообщение от cr1m2email (ok), 16-Июл-18, 09:18 
>> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
>> а на удаленные в облаке vpn роутеры маршруты приходят все равно
>> с дистансом 110:
>> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
>> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
> на интерейсе Tu1 напишите ip ospf cost 130

Спасибо, попробую.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor