OSPF的路由过滤.doc-道客多多_道客多多docduoduo.com

资源描述

1、OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 1 页, 共 21 页文档编号 Document ID 密级 Confidentiality level内部公开文档状态 Document Status华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.Draft1.00 共21页 Total 21 pagesOSPF的路由过滤拟制Prepared by 姜杏春02120 Date日期2006-2-8评审人Reviewed by 测试中心 Date日期批准Approved byDate日期华为三康技术有限公司Huawei

2、-3Com Technologies Co., Ltd.版权所有侵权必究All rights reservedOSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 2 页, 共 21 页修订记录 Revision Record 日期Date修订版本Revision Version修改章节Sec No. 修改描述Change Description作者Author2006-2-8 1.00 initial 初稿完成姜杏春OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 3 页, 共 21 页目录 Table of Con

3、tents 1 应用举例 .41.1 filter-policy import（OSPF） .41.1.1 需求 .41.1.2 例子 .41.2 filter-policy export/ import-route（OSPF） 61.2.1 需求 .61.2.2 例子 .71.3 asbr-summary not-advertise（OSPF） .91.3.1 需求 .101.3.2 例子 .101.4 filter-policy (area).121.4.1 需求 .121.4.2 例子 .131.5 abr-summary not-advertise（area） .151.5.1 需求

4、.151.5.2 例子 .162 总结.19OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 4 页, 共 21 页OSPF的路由过滤1 应用举例OSPF过滤的方式很多，这里是根据不同命令来举例OSPF是怎样来实现过滤的。如果对OSPF 过滤已经有一定的了解，也可以跳过这一章节直接看第二章节了解一下结论即可。1.1 filter-policy import（OSPF）1.1.1 需求路由器A两个接口分别连接着测试仪 RouterTester的两个端口， A从RT1学到5条前缀是10.1.1.x的外部路由，现在要从路由表过滤符合10.1.1.x的路由。1.1

5、.2 例子路由器A两个接口分别连接着测试仪 RouterTester的两个端口， A从RT1学到5条前缀是10.1.1.x的外部路由。OSPF配置：ospf 2area 0.0.0.0network 102.1.1.0 0.0.0.255area 0.0.0.1network 102.1.2.0 0.0.0.255 NE20D-ospf-2dis ip ro pro ospfOSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 5 页, 共 21 页Public Routing Table : OSPFDestinations : 8 Routes : 8OS

6、PF Routing table Status : Destinations : 6 Routes : 6Destination/Mask Proto Pre Cost NextHop Interface10.1.1.0/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.4/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.8/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.12/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.16

7、/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/0102.1.1.2/32 OSPF 10 1 102.1.1.2 Ethernet0/0/0配置acl 2000，在OSPF视图下过滤利用filter-policy import命令。acl number 2000rule 0 deny source 10.1.1.0 0.0.0.255rule 1 permit NE20D-ospf-2filter-policy 2000 importNE20D-ospf-2dis ip ro pro ospfPublic Routing Table : OSPFDestinati

8、ons : 8 Routes : 8OSPF Routing table Status : Destinations : 1 Routes : 1Destination/Mask Proto Pre Cost NextHop Interface102.1.1.2/32 OSPF 10 1 102.1.1.2 Ethernet0/0/0OSPF Routing table Status : Destinations : 7 Routes : 7Destination/Mask Proto Pre Cost NextHop Interface10.1.1.0/30 O_ASE 150 2 102.

9、1.1.2 Ethernet0/0/010.1.1.4/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.8/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.12/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/010.1.1.16/30 O_ASE 150 2 102.1.1.2 Ethernet0/0/0102.1.1.0/24 OSPF 10 1 102.1.1.1 Ethernet0/0/0OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 6

10、页, 共 21 页102.1.2.0/24 OSPF 10 1 102.1.2.1 Ethernet0/0/1 比较前后路由表发现前缀是10.1.1.x的外部路由的状态由变为。查看OSPF LSDB发现ASE LSA 仍然存在LSDB中。NE20D-ospf-2-area-0.0.0.1dis ospf 2 lsdbOSPF Process 2 with Router ID 1.1.1.1Link State DatabaseArea: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence MetricRouter 1.1.1.1 1.1.1

11、.1 25 36 8000000A 1Router 102.1.1.2 102.1.1.2 1450 48 80000006 0Network 102.1.1.1 1.1.1.1 1383 32 80000005 0Sum-Net 102.1.2.0 1.1.1.1 20 28 80000006 1Area: 0.0.0.1Type LinkState ID AdvRouter Age Len Sequence MetricRouter 1.1.1.1 1.1.1.1 25 36 80000001 1Sum-Net 102.1.1.0 1.1.1.1 25 28 80000001 1Sum-N

12、et 102.1.1.2 1.1.1.1 25 28 80000001 1Sum-Asbr 102.1.1.2 1.1.1.1 25 28 80000001 1AS External DatabaseType LinkState ID AdvRouter Age Len Sequence MetricExternal 10.1.1.16 102.1.1.2 199 36 80000006 1External 10.1.1.12 102.1.1.2 1660 36 80000005 1External 10.1.1.8 102.1.1.2 40 36 80000006 1External 10.

13、1.1.4 102.1.1.2 1676 36 80000005 1External 10.1.1.0 102.1.1.2 1394 36 80000005 11.2 filter-policy export/ import-route（OSPF）1.2.1 需求从路由器A引入一些外部路由，要求不允许该路由器发布前缀是10.1.1.x的外部路由，使得整个OSPF域内的路由器都不会收到发布者是 A的10.1.1.x前缀的ASE。OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 7 页, 共 21 页1.2.2 例子路由器A为ASBR，将静态路由引入OSPF。

14、ospf 2import-route staticarea 0.0.0.0network 102.1.1.0 0.0.0.255area 0.0.0.1network 102.1.2.0 0.0.0.255 NE20D-ospf-2dis ospf lsdbOSPF Process 1 with Router ID 1.1.1.1Link State DatabaseOSPF Process 2 with Router ID 1.1.1.1Link State DatabaseArea: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence M

15、etricRouter 1.1.1.1 1.1.1.1 7 36 80000007 1Router 102.1.1.2 102.1.1.2 53 60 8000000B 0Network 102.1.1.1 1.1.1.1 530 32 80000002 0Sum-Net 102.1.2.0 1.1.1.1 530 28 80000002 1OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 8 页, 共 21 页Sum-Net 102.1.2.2 1.1.1.1 530 28 80000002 1Area: 0.0.0.1Type LinkState ID

16、 AdvRouter Age Len Sequence MetricRouter 102.1.2.2 102.1.2.2 950 48 80000003 0Router 1.1.1.1 1.1.1.1 7 36 80000007 1Network 102.1.2.1 1.1.1.1 553 32 80000002 0Sum-Net 102.1.1.0 1.1.1.1 531 28 80000002 1Sum-Net 102.1.1.2 1.1.1.1 524 28 80000002 1AS External DatabaseType LinkState ID AdvRouter Age Len

17、 Sequence MetricExternal 200.0.0.0 1.1.1.1 8 36 80000001 1External 10.1.1.5 1.1.1.1 8 36 80000001 1External 10.1.1.4 1.1.1.1 8 36 80000001 1External 10.1.1.1 1.1.1.1 9 36 80000001 1External 10.1.1.3 1.1.1.1 9 36 80000001 1External 10.1.1.2 1.1.1.1 9 36 80000001 1配置acl 2000，在OSPF视图下过滤利用filter-policy

18、export命令。acl number 2000rule 0 deny source 10.1.1.0 0.0.0.255rule 1 permit NE20D-ospf-2filter-policy 2000 export查看过滤后的OSPF LSDB，比较前后，可以看见关于10.1.1.x 前缀的ASE 已经从LSDB库中消失。NE20Ddis ospf lsdbOSPF Process 1 with Router ID 1.1.1.1Link State DatabaseOSPF Process 2 with Router ID 1.1.1.1Link State DatabaseAre

19、a: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence MetricRouter 1.1.1.1 1.1.1.1 45 36 80000007 1OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 9 页, 共 21 页Router 102.1.1.2 102.1.1.2 91 60 8000000B 0Network 102.1.1.1 1.1.1.1 568 32 80000002 0Sum-Net 102.1.2.0 1.1.1.1 568 28 80000002 1Sum-Net 102.1.2.

20、2 1.1.1.1 568 28 80000002 1Area: 0.0.0.1Type LinkState ID AdvRouter Age Len Sequence MetricRouter 102.1.2.2 102.1.2.2 988 48 80000003 0Router 1.1.1.1 1.1.1.1 45 36 80000007 1Network 102.1.2.1 1.1.1.1 590 32 80000002 0Sum-Net 102.1.1.0 1.1.1.1 568 28 80000002 1Sum-Net 102.1.1.2 1.1.1.1 562 28 8000000

21、2 1AS External DatabaseType LinkState ID AdvRouter Age Len Sequence MetricExternal 200.0.0.0 1.1.1.1 46 36 80000001 1同样的需求也可以在OSPF视图利用 import-route命令来实现。acl number 2000rule 0 deny source 10.1.1.0 0.0.0.255rule 1 permit route-policy 1 permit node 1if-match acl 2000 ospf 2import-route static route-pol

22、icy 1area 0.0.0.0network 102.1.1.0 0.0.0.255area 0.0.0.1network 102.1.2.0 0.0.0.255 1.3 asbr-summary not-advertise（OSPF）asbr-summary not-advertise（OSPF）命令和filter-policy export（OSPF）命令作用一样，但是asbr-summary not-advertise（OSPF）命令可以在NSSA区域的ABR上可以对7转5的LSA 做过滤，阻止本路由器根据nssa产生符合特定条件的ase ，从而对NSSA LSA可OSPF 的路由过

23、滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 10 页, 共 21 页以实现在ASBR过滤之后的二次过滤。1.3.1 需求在NSSA区域引入了一些外部路由，要求对10.1.1.x的外部路由只在该NSSA区域泛洪，不需要泛洪到整个OSPF域中。1.3.2 例子路由器A为ABR ，其中area 1为NSSA区域，区域中ASBR引入外部路由10.1.1.x。路由器A的配置：ospf 2area 0.0.0.1network 102.1.2.0 0.0.0.255nssaarea 0.0.0.0network 102.1.1.0 0.0.0.255路由器A的LSDB ：Area

24、: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence Metric WhereStub 102.1.1.2 102.1.1.2 436 24 0 0 SpfTreeRtr 102.1.1.2 102.1.1.2 687 60 8000000b 0 SpfTreeRtr 88.1.1.14 88.1.1.14 525 36 8000000c 0 SpfTreeOSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 11 页, 共 21 页Net 102.1.1.1 88.1.1.14 1187 32 80000

25、004 0 SpfTreeSNet 102.1.2.0 88.1.1.14 13 28 80000007 1 Inter ListArea: 0.0.0.1Type LinkState ID AdvRouter Age Len Sequence Metric WhereStub 102.1.2.0 88.1.1.14 48 24 0 0 SpfTreeRtr 88.1.1.14 88.1.1.14 471 48 80000015 0 SpfTreeRtr 84.2.4.1 84.2.4.1 49 48 8000000b 0 SpfTreeSNet 102.1.1.0 88.1.1.14 13

26、28 80000007 1 Inter ListSNet 102.1.1.2 88.1.1.14 13 28 80000006 1 Inter ListNSSA 10.1.1.1 84.2.4.1 46 36 80000001 1 UninitializedNSSA 10.1.1.2 84.2.4.1 46 36 80000001 1 UninitializedNSSA 10.1.1.3 84.2.4.1 46 36 80000001 1 UninitializedNSSA 10.1.1.4 84.2.4.1 46 36 80000001 1 UninitializedNSSA 10.1.1.

27、5 84.2.4.1 46 36 80000001 1 UninitializedNSSA 20.1.1.5 84.2.4.1 46 36 80000001 1 UninitializedAS External Database:Type LinkState ID AdvRouter Age Len Sequence Metric WhereASE 10.1.1.1 88.1.1.14 45 36 80000001 1 Ase ListASE 10.1.1.2 88.1.1.14 45 36 80000001 1 Ase ListASE 10.1.1.3 88.1.1.14 45 36 800

28、00001 1 Ase ListASE 10.1.1.4 88.1.1.14 45 36 80000001 1 Ase ListASE 10.1.1.5 88.1.1.14 45 36 80000001 1 Ase ListASE 20.1.1.5 88.1.1.14 45 36 80000001 1 Ase List观察LSDB我们可以看出NSSA路由会通过ABR A产生ASE来通告到整个OSPF域中。现在我们可以利用asbr-summary not-advertise（OSPF）命令阻止NSSA转化为ASE，从而让某些路由只在NSSA区域通告而不通告到整个OSPF域中。我们在A上配置asb

29、r-summary 10.1.1.0 255.255.255.0 not-advertise不让10.1.1.x的路由通告到整个OSPF域中。ospf 2asbr-summary 10.1.1.0 255.255.255.0 not-advertisearea 0.0.0.1network 102.1.2.0 0.0.0.255nssaarea 0.0.0.0OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 12 页, 共 21 页network 102.1.1.0 0.0.0.255 配置过滤后，我们再来观察LSDB，发现已经没有10.1.1.x路由的A

30、SE了。Area: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence Metric WhereStub 102.1.1.2 102.1.1.2 468 24 0 0 SpfTreeRtr 102.1.1.2 102.1.1.2 719 60 8000000b 0 SpfTreeRtr 88.1.1.14 88.1.1.14 557 36 8000000c 0 SpfTreeNet 102.1.1.1 88.1.1.14 1219 32 80000004 0 SpfTreeSNet 102.1.2.0 88.1.1.14 45 28 8000

31、0007 1 Inter ListArea: 0.0.0.1Type LinkState ID AdvRouter Age Len Sequence Metric WhereStub 102.1.2.0 88.1.1.14 80 24 0 0 SpfTreeRtr 88.1.1.14 88.1.1.14 503 48 80000015 0 SpfTreeRtr 84.2.4.1 84.2.4.1 81 48 8000000b 0 SpfTreeSNet 102.1.1.0 88.1.1.14 45 28 80000007 1 Inter ListSNet 102.1.1.2 88.1.1.14

32、 45 28 80000006 1 Inter ListNSSA 10.1.1.1 84.2.4.1 78 36 80000001 1 UninitializedNSSA 10.1.1.2 84.2.4.1 78 36 80000001 1 UninitializedNSSA 10.1.1.3 84.2.4.1 78 36 80000001 1 UninitializedNSSA 10.1.1.4 84.2.4.1 78 36 80000001 1 UninitializedNSSA 10.1.1.5 84.2.4.1 78 36 80000001 1 UninitializedNSSA 20

33、.1.1.5 84.2.4.1 78 36 80000001 1 UninitializedAS External Database:Type LinkState ID AdvRouter Age Len Sequence Metric WhereASE 20.1.1.5 88.1.1.14 77 36 80000001 1 Ase List1.4 filter-policy (area)1.4.1 需求路由器A从area 0学到10.1.1.x OSPF 域内路由，但是不希望将这10.1.1.x的路由通过A发布到area 1中， area 1的路由器不会收到A发布的10.1.1.x 前缀的s

34、ummary LSA。OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 13 页, 共 21 页1.4.2 例子路由器A从测试仪学到10.1.1.x 的路由，其中有从area 0学到10.1.1.x的OSPF路由。从LSDB看出有area 0的区域内路由，也有area 0的区域间路由到生成 area 1summary LSA。ospf 2area 0.0.0.0network 102.1.1.0 0.0.0.255area 0.0.0.1network 102.1.2.0 0.0.0.255 NE20D-ospf-2dis ospf lsdbOSPF Pr

35、ocess 2 with Router ID 1.1.1.1Link State DatabaseArea: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence MetricRouter 10.1.1.5 10.1.1.5 252 48 80000002 0Router 10.1.1.4 10.1.1.4 281 60 80000002 0Router 10.1.1.3 10.1.1.3 347 60 80000002 0Router 10.1.1.2 10.1.1.2 414 60 80000002 0Router 10.1.1.1 10.

36、1.1.1 536 72 80000002 0Router 1.1.1.1 1.1.1.1 1613 36 80000008 1Router 102.1.1.2 102.1.1.2 348 72 80000014 0Network 102.1.1.1 1.1.1.1 926 32 80000003 0Sum-Net 102.1.2.0 1.1.1.1 926 28 80000003 1Sum-Net 102.1.2.2 1.1.1.1 926 28 80000003 1OSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 14 页, 共 21 页Sum-Net

37、 10.1.1.14 102.1.1.2 1255 28 80000001 1Sum-Net 10.1.1.10 102.1.1.2 1186 28 80000001 1Sum-Net 10.1.1.6 102.1.1.2 1078 28 80000001 1Sum-Net 10.1.1.22 102.1.1.2 754 28 80000001 1Sum-Net 10.1.1.18 102.1.1.2 1320 28 80000001 1Area: 0.0.0.1Type LinkState ID AdvRouter Age Len Sequence MetricRouter 102.1.2.

38、2 102.1.2.2 1714 48 8000000E 0Router 1.1.1.1 1.1.1.1 1617 36 80000008 1Network 102.1.2.1 1.1.1.1 951 32 80000003 0Sum-Net 12.18.114.0 1.1.1.1 1010 28 80000001 2Sum-Net 102.1.1.0 1.1.1.1 929 28 80000003 1Sum-Net 102.1.1.2 1.1.1.1 921 28 80000003 1Sum-Net 10.1.1.12 1.1.1.1 22 28 80000001 2Sum-Net 10.1

39、.1.8 1.1.1.1 22 28 80000001 2Sum-Net 10.1.1.5 1.1.1.1 22 28 80000001 6Sum-Net 10.1.1.4 1.1.1.1 22 28 80000001 2Sum-Net 10.1.1.1 1.1.1.1 22 28 80000001 2Sum-Net 10.1.1.3 1.1.1.1 22 28 80000001 4Sum-Net 10.1.1.2 1.1.1.1 23 28 80000001 3Sum-Net 10.1.1.20 1.1.1.1 23 28 80000001 2Sum-Net 10.1.1.16 1.1.1.

40、1 23 28 80000001 2配置acl 2000，在area 1视图下过滤利用filter-policy import命令。ospf 2area 0.0.0.0network 102.1.1.0 0.0.0.255area 0.0.0.1filter 2000 importnetwork 102.1.2.0 0.0.0.255 配置过滤后，查看LSDB发现area 1的LSDB 前缀10.1.1.x的 summary LSA已经删除了。NE20D-ospf-2-area-0.0.0.1dis ospf lsdbOSPF Process 1 with Router ID 1.1.1.1L

41、ink State DatabaseOSPF 的路由过滤内部公开2006-01-19 华为三康机密，未经许可不得扩散第 15 页, 共 21 页OSPF Process 2 with Router ID 1.1.1.1Link State DatabaseArea: 0.0.0.0Type LinkState ID AdvRouter Age Len Sequence MetricRouter 10.1.1.5 10.1.1.5 328 48 80000002 0Router 10.1.1.4 10.1.1.4 357 60 80000002 0Router 10.1.1.3 10.1.1

42、.3 423 60 80000002 0Router 10.1.1.2 10.1.1.2 490 60 80000002 0Router 10.1.1.1 10.1.1.1 613 72 80000002 0Router 1.1.1.1 1.1.1.1 1690 36 80000008 1Router 102.1.1.2 102.1.1.2 424 72 80000014 0Network 102.1.1.1 1.1.1.1 1002 32 80000003 0Sum-Net 102.1.2.0 1.1.1.1 1002 28 80000003 1Sum-Net 102.1.2.2 1.1.1

43、.1 1002 28 80000003 1Sum-Net 10.1.1.14 102.1.1.2 1331 28 80000001 1Sum-Net 10.1.1.10 102.1.1.2 1262 28 80000001 1Sum-Net 10.1.1.6 102.1.1.2 1154 28 80000001 1Sum-Net 10.1.1.22 102.1.1.2 830 28 80000001 1Sum-Net 10.1.1.18 102.1.1.2 1396 28 80000001 1Area: 0.0.0.1Type LinkState ID AdvRouter Age Len Sequence MetricRouter 102.1.2.2 102.1.2.2 34 48 8000000F 0Router 1.1.1.1 1.1.1.1 1692 36 80000008 1Network 102.1.2.1 1.1.1.1 1026 32 80000003 0Sum-Net 12.18.114.0 1.1.1.1 1085 28

展开阅读全文