Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 19:01



Ответить на тему  [ Сообщений: 16 ] 
Фильтрация дефолта в ospf 
Автор Сообщение

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
Всем привет.

Делаю в лабе.
ASA отправляет в OSPF дефолт.
router ospf 1
router-id 10.50.50.34
network 10.50.50.32 255.255.255.252 area 0
network 10.50.50.36 255.255.255.252 area 0
log-adj-changes
default-information originate

к ASA подключен свич(ядро) в are0 и он нормально видит дефолт.
O*E2 0.0.0.0/0 [110/1] via 10.50.50.34, 00:37:29, Ethernet0/0


к ядру подключен еще один свич (area3). Он не должен получить дефолт, отфильтровать нужно на стороне ядра.

на ядре
router ospf 1
router-id 10.50.50.1
area 0 filter-list prefix Deny_Route out
area 3 filter-list prefix Deny_Route in
network 10.50.50.8 0.0.0.3 area 3 - сюда отфильтровть
network 10.50.50.32 0.0.0.3 area 0

prefix-list
ip prefix-list Deny_Route: 1 entries
seq 5 deny 0.0.0.0/0

пока думаем только о фильтрации , об остальном подумаем потом.

на коммутаторе куда не должен доехать дефолт видим
O*E2 0.0.0.0/0 [110/1] via 10.50.50.9, 00:45:38, Ethernet0/0

Я что то недогоняю? или действительно нельзя фильтровать дефолт. Или свичи в eve-ng корявые.
С помощью distribute list дефолт убирается, но удаленная сторона часто недоступна, решать нужно на своей стороне.

Может кто сталкивался.


16 июл 2019, 11:36
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
"Он не должен получить дефолт, отфильтровать нужно на стороне ядра."

Как насчёт почитать теорию про igp-протоколы


16 июл 2019, 12:37
Профиль

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
tonve писал(а):
"Он не должен получить дефолт, отфильтровать нужно на стороне ядра."

Как насчёт почитать теорию про igp-протоколы


В курсе как отфильтровать дефолт или нет?


16 июл 2019, 13:14
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
sl_nec писал(а):
tonve писал(а):
"Он не должен получить дефолт, отфильтровать нужно на стороне ядра."

Как насчёт почитать теорию про igp-протоколы


В курсе как отфильтровать дефолт или нет?


Перед попаданием в rib - с помощью distribute list конечно.


16 июл 2019, 14:02
Профиль

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
Это не единственный способ. Почему не работает фильтр между area 0 и 3 по prefix-list?
Я не нашел объяснений.


16 июл 2019, 14:58
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
1 prefix list должен матчить 0.0.0.0/0 через permit
2 area 3 filter-list prefix Deny_Route out


16 июл 2019, 18:44
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
а, тьфу, deny, всё правильно


16 июл 2019, 21:19
Профиль

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
tonve писал(а):
1 prefix list должен матчить 0.0.0.0/0 через permit
2 area 3 filter-list prefix Deny_Route out



Мне кажется ты ошибаешься area 3 filter-list prefix Deny_Route in - праивильно так

но тем не менее спасибо и я проверил

core1-laba(config)#router ospf 1
core1-laba(config-router)#area 3 filter-list prefix Deny_Route out
core1-laba(config-router)#exit
core1-laba(config)#exit

core1-laba#clear ip ospf 1 process

Reset OSPF process 1? [no]: yes
core1-laba#

core1-laba# sh run | s er ospf
router ospf 1
router-id 10.50.50.1
area 3 filter-list prefix Deny_Route out
network 10.50.50.8 0.0.0.3 area 3
network 10.50.50.32 0.0.0.3 area 0

и на свиче в 3 area

*Jul 17 06:15:50.180: %OSPF-5-ADJCHG: Process 1, Nbr 10.50.50.1 on Ethernet0/0 from LOADING to FULL, Loading Done

sw9#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override

Gateway of last resort is 10.50.50.9 to network 0.0.0.0

O*E2 0.0.0.0/0 [110/1] via 10.50.50.9, 00:00:01, Ethernet0/0
C 10.50.50.8/30 is directly connected, Ethernet0/0
L 10.50.50.10/32 is directly connected, Ethernet0/0
O IA 10.50.50.32/30 [110/20] via 10.50.50.9, 00:00:06, Ethernet0/0


17 июл 2019, 09:22
Профиль

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
Ключ in указывает на то, что надо фильтровать определенные подсети, которые распространяются в указанную область (в нашем случае area3), а out из указанной области (area0).
http://twistedminds.ru/2012/09/ccnp-preparation-ospf-4/


https://community.cisco.com/t5/%D0%BC%D ... -p/3098352



Следующий метод касается фильтрации LSA типа 3 на границе между area. В этом нам поможет команда area <area-number> filter-list prefix <prefix-list-name> [in | out]. Эта команда должна быть выполнена на ABR, и может фильтровать распространение LSA типа 3 в разных направлениях. Например, мы можем отфильтровать префикс 192.168.7.0/24 таким образом, чтобы он не попал в LSDB area 0

R2(config)#ip prefix-list FILTER deny 192.168.7.0/24
R2(config)#ip prefix-list FILTER permit 0.0.0.0/0 le 32
R2(config)#router ospf 1
R2(config-router)#area 0 filter-list prefix FILTER in <---- чтобы он не попал в LSDB area 0


17 июл 2019, 09:26
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Потому что area filter-list фильтрует LSA type 3, а у вас маршрут определяется LSA type 5.

Можете фильтрануть адрес ASBR-a - тогда все ассоциированные LSA 5 также уйдут.

_________________
@k@ fantik


18 июл 2019, 13:06
Профиль

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
CiscoGuy писал(а):
Потому что area filter-list фильтрует LSA type 3, а у вас маршрут определяется LSA type 5.

Можете фильтрануть адрес ASBR-a - тогда все ассоциированные LSA 5 также уйдут.


Я вот тоже об этом и думал. Только не понимаю как это сделать. ASBR в данной ситуации ASA , которая отправляет дефолт в ospf. Она тоже находиться в area0.


18 июл 2019, 15:54
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
ASBR - да, ASA, но фильтровать на ABR надо.


18 июл 2019, 22:20
Профиль WWW

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
Насколько я понял нет возможности фильтровать LSA5
только если придумать что то подобное
https://www.cisco.com/c/en/us/support/d ... -LSAs.html

то есть фильтровать с помощью distribute-list out <protokol>
мне это не подходит

может кто-то что-то еще пробовал?


19 июл 2019, 12:00
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
можно попробовать не привязываться к конкретным средствам, понимая цель
ip route0/0 null0 не поможет?


19 июл 2019, 13:28
Профиль

Зарегистрирован: 05 июл 2018, 16:24
Сообщения: 94
Нет нельзя. Суть в том что я для своей сети раздаю дефолт по ospf, ибо мне так удобнее(канал падает-есть другой дефолт с большей метрикой). А именно тут я моделирую ситуацию, когда подключается к другой площадке ipsec/gre тоннелем с ospf и совсем ненужно туда отдавать дефолт. Ничего страшного в этом нет конечно (обычно у всех есть дефолт статикой), но просто не хотелось бы. Ну придется довольствоваться фильтрацией между OSPF и таблицей маршрутизации на удаленном роутере.


22 июл 2019, 09:57
Профиль

Зарегистрирован: 08 июл 2019, 11:31
Сообщения: 6
Хочу уточнить ответ CiscoGuy. Сам по себе RID в LSA5 отфильтровать не удастся, как и LSA4 (если это можно сделать, просьба поделиться рабочим примером). Но есть такая штука, как Forwarding Address, и его как раз отфильтровать можно. Т.е. ASA отдаёт defaut, у неё самой, скажем, есть 'route 0.0.0.0 0.0.0.0 192.168.0.100'. Если включить OSPF на исходящем интерфейсе (не passive, P2P или P2M!), то ASA в LSA5 вставит в FA 192.168.0.100. И сеть 192.168.0.0/24 можно отфильтровать обычными человечьими методами. Пример конфига на 7200 (картинку приложить не осилил):
R1 --- (area 1) --- R2 --- (area 0 ) --- R3 --- (192.168.0.0/24)
Код:
R1#sho run | s interface Fast|router|Loop
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
router ospf 1
 network 0.0.0.0 255.255.255.255 area 1

Код:
R2#sho run | s interface Fast|router|Loop|prefix
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
interface FastEthernet0/0
 ip address 192.168.12.2 255.255.255.0
interface FastEthernet0/1
 ip address 192.168.23.2 255.255.255.0
router ospf 1
 area 1 filter-list prefix PLIST in
 network 192.168.23.0 0.0.0.255 area 0
 network 0.0.0.0 255.255.255.255 area 1
ip prefix-list PLIST seq 5 deny 192.168.0.0/24
ip prefix-list PLIST seq 10 permit 0.0.0.0/0 le 32

Код:
R3#sho run | s interface Fast|route|Loop
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
interface FastEthernet0/1
 ip address 192.168.23.3 255.255.255.0
router ospf 1
 network 0.0.0.0 255.255.255.255 area 0
 default-information originate
ip route 0.0.0.0 0.0.0.0 192.168.0.100

Код:
R1#sho ip ro os

Gateway of last resort is not set

      2.0.0.0/32 is subnetted, 1 subnets
O        2.2.2.2 [110/2] via 192.168.12.2, 00:14:30, FastEthernet0/0
O IA  192.168.23.0/24 [110/2] via 192.168.12.2, 00:14:20, FastEthernet0/0
R1#sho ip os dat ext

            OSPF Router with ID (1.1.1.1) (Process ID 1)

      Type-5 AS External Link States

  LS age: 803
  Options: (No TOS-capability, DC, Upward)
  LS Type: AS External Link
  Link State ID: 0.0.0.0 (External Network Number )
  Advertising Router: 192.168.23.3
  LS Seq Number: 80000001
  Checksum: 0x2938
  Length: 36
  Network Mask: /0
   Metric Type: 2 (Larger than any link state path)
   MTID: 0
   Metric: 1
   Forward Address: 192.168.0.100
   External Route Tag: 1

Код:
R1#deb ip os spf
R1#clear ip os force-spf
*Jul 22 18:00:37.563: OSPF-1 EXTER: Start processing Type 5 External LSA 0.0.0.0, mask 0.0.0.0
*Jul 22 18:00:37.563: OSPF-1 EXTER:  adv_rtr 192.168.23.3, age 899, seq 0x80000001, metric 1, metric-type 2, fw-addr 192.168.0.100
*Jul 22 18:00:37.563: OSPF-1 EXTER:    Failed to find route to forwarding address
*Jul 22 18:00:37.563: OSPF-1 EXTER: Add forward address unreachable 192.168.0.100, allowed types Intra and Inter, to watched queue


22 июл 2019, 18:02
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 16 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 89


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB