The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Cisco ospf фильтрация lsa 5, !*! cr1m2, 12-Июл-18, 07:41  [смотреть все]
Здравствуйте, есть несколько маршрутизаторов в разных офисах cisco 29XX, соеденены между собой посредством nhrp, в облаке vpn поднята backbone area ospf, в нее роутеры ретранслируют маршруты других протоколов в lsa5. На DR в этой зоне сделал фильтрацию acl:

access-list 11 permit 192.168.21.0 0.0.0.255
access-list 11 permit 192.168.22.0 0.0.0.255
access-list 11 permit 192.168.23.0 0.0.0.255
access-list 11 permit 192.168.24.0 0.0.0.255
access-list 11 permit 192.168.25.0 0.0.0.255
access-list 11 permit 192.168.26.0 0.0.0.255
access-list 11 permit 192.168.27.0 0.0.0.255
access-list 11 permit 192.168.190.0 0.0.0.255
access-list 11 deny   any

router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
no passive-interface Tunnel 1
network 192.168.32.16 0.0.0.7 area 2
network 192.168.35.0 0.0.0.15 area 0
distribute-list 11 out

Но вижу, что в ip ospf database на других роутерах с этого роутера попадают все маршруты, а не только те, что разрешил фильтром. ПОрылся в инете, вроде пишут, что lsa 5 не получается фильтровать. Кто-нибудь сталкивался? Как-то можно это побороть фильтрами?
Или сделать 2 процесса ospf и из area2 в area например 10 сделать ретрансляцию с фильтом acl?

Ответить | Сообщить модератору
  • Cisco ospf фильтрация lsa 5, !*! cr1m2, 11:35 , 12-Июл-18 (1)

    > этой зоне сделал фильтрацию acl:
    > access-list 11 permit 192.168.21.0 0.0.0.255
    > access-list 11 permit 192.168.22.0 0.0.0.255
    > access-list 11 permit 192.168.23.0 0.0.0.255
    > access-list 11 permit 192.168.24.0 0.0.0.255
    > access-list 11 permit 192.168.25.0 0.0.0.255
    > access-list 11 permit 192.168.26.0 0.0.0.255
    > access-list 11 permit 192.168.27.0 0.0.0.255
    > access-list 11 permit 192.168.190.0 0.0.0.255
    > access-list 11 deny   any

    На другом роутере видно, что приходят все маршруты с DR офиса:
    Link ID         ADV Router      Age         Seq#       Checksum Tag
    192.168.11.0    192.168.36.1    41          0x80000001 0x00ADEF 0
    192.168.12.0    192.168.36.1    41          0x80000001 0x00A2F9 0
    192.168.14.0    192.168.36.1    41          0x80000001 0x008C0E 0
    192.168.15.0    192.168.36.1    41          0x80000001 0x008118 0
    192.168.21.0    192.168.36.1    41          0x80000001 0x003F54 0
    192.168.22.0    192.168.36.1    41          0x80000001 0x00345E 0
    192.168.23.0    192.168.36.1    41          0x80000001 0x002968 0
    192.168.24.0    192.168.36.1    41          0x80000001 0x001E72 0
    192.168.25.0    192.168.36.1    41          0x80000001 0x00137C 0
    192.168.26.0    192.168.36.1    41          0x80000001 0x000886 0
    192.168.27.0    192.168.36.1    41          0x80000001 0x00FC90 0
    192.168.30.0    192.168.32.1    1822        0x80000C69 0x000317 0
    192.168.31.0    192.168.36.1    41          0x80000001 0x00A6E9 0
    192.168.31.8    192.168.32.1    1822        0x80000C69 0x007D9A 0
    192.168.32.16   192.168.36.1    41          0x80000001 0x003C56 0
    192.168.32.24   192.168.36.1    41          0x80000001 0x00AACC 0
    192.168.32.32   192.168.36.1    41          0x80000001 0x005A15 0
    192.168.33.8    192.168.36.1    41          0x80000001 0x004046 0
    192.168.33.16   192.168.36.1    41          0x80000001 0x00EF8E 0
    192.168.41.0    192.168.36.1    41          0x80000001 0x00621D 0
    192.168.42.0    192.168.36.1    41          0x80000001 0x005727 0
    192.168.43.0    192.168.36.1    41          0x80000001 0x004C31 0
    192.168.44.0    192.168.36.1    41          0x80000001 0x00413B 0
    192.168.46.0    192.168.36.1    41          0x80000001 0x002B4F 0
    192.168.50.0    192.168.36.1    41          0x80000001 0x00FE77 0
    192.168.190.0   192.168.36.1    41          0x80000001 0x00F4F4 0

    Ответить | Сообщить модератору
    • Cisco ospf фильтрация lsa 5, !*! fantom, 12:52 , 12-Июл-18 (2)
      >[оверквотинг удален]
      > 192.168.43.0    192.168.36.1    41    
      >       0x80000001 0x004C31 0
      > 192.168.44.0    192.168.36.1    41    
      >       0x80000001 0x00413B 0
      > 192.168.46.0    192.168.36.1    41    
      >       0x80000001 0x002B4F 0
      > 192.168.50.0    192.168.36.1    41    
      >       0x80000001 0x00FE77 0
      > 192.168.190.0   192.168.36.1    41    
      >      0x80000001 0x00F4F4 0

      distribute лист В ОСПФ не фильтрует LSA. Он фильтрует маршруты, которые OSPF помещает в таблицу маршрутизации.

      Проверте таблицу маршрутизации, а не топологию.
      В топологии они какраз будут.
      если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте редистрибуцию как внешние.

      Ответить | Сообщить модератору
      • Cisco ospf фильтрация lsa 5, !*! cr1m2, 13:19 , 12-Июл-18 (3)

        > distribute лист В ОСПФ не фильтрует LSA. Он фильтрует маршруты, которые OSPF
        > помещает в таблицу маршрутизации.
        > Проверте таблицу маршрутизации, а не топологию.
        > В топологии они какраз будут.
        > если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
        > редистрибуцию как внешние.

        Я понимаю, т.е. чтобы фильтровались маршруты, мне нужно не на DR делать фильтр  out, а на других роутерах фильтр на in ставить?

        Ну или я на DR сделал фильтр на in во внутренней зоне:
        access-list 11 permit 192.168.21.0 0.0.0.255
        access-list 11 permit 192.168.22.0 0.0.0.255
        access-list 11 permit 192.168.23.0 0.0.0.255
        access-list 11 permit 192.168.24.0 0.0.0.255
        access-list 11 permit 192.168.25.0 0.0.0.255
        access-list 11 permit 192.168.26.0 0.0.0.255
        access-list 11 permit 192.168.27.0 0.0.0.255
        access-list 11 permit 192.168.190.0 0.0.0.255
        access-list 11 deny   any


        default-router 192.168.32.18
        router ospf 11
        router-id 192.168.32.18
        passive-interface default
        no passive-interface GigabitEthernet0/0
        network 192.168.32.16 0.0.0.7 area 2
        distribute-list 11 in

        router ospf 12
        redistribute ospf 11 subnets
        passive-interface default
        no passive-interface Tunnel1
        network 192.168.35.0 0.0.0.15 area 0
        distribute-list 11 out

        Тогда на остальныз роутерах я вижу маршруты, разрешенные в acl на DR:


        O E2  192.168.21.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.22.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.23.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.24.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.25.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.26.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.27.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1
        O E2  192.168.190.0/24 [110/20] via 192.168.35.1, 00:04:41, Tunnel1

        Но тогда DR теряет маршруты из внутренней area :(

        Ответить | Сообщить модератору
        • Cisco ospf фильтрация lsa 5, !*! cr1m2, 13:35 , 12-Июл-18 (4)
          ПО теории:
          Правила использования distribute list для OSPF:

              Distribute list может использоваться только во входящем направлении, потому что в исходящем направлении будут фильтроваться LSA, а не маршруты.
              Distribute list во входящем направлении не фильтрует входящие LSA. Он фильтрует маршруты, которые OSPF помещает в таблицу маршрутизации.
              Если distribute list указывает входящий интерфейс, то входящий интерфейс проверяется таким образом, как-будто он исходящий интерфейс для маршрута.

          Т.е. на out его бесполезно ставить.

          Ответить | Сообщить модератору
      • Cisco ospf фильтрация lsa 5, !*! cr1m2, 13:36 , 12-Июл-18 (5)

        > если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
        > редистрибуцию как внешние.

        Вот это бы подошло, но не совсем понял как это

        Ответить | Сообщить модератору
        • Cisco ospf фильтрация lsa 5, !*! fantom, 14:11 , 12-Июл-18 (6)
          >> если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
          >> редистрибуцию как внешние.
          > Вот это бы подошло, но не совсем понял как это

          Прям в первом ВАШЕМ посте "Или сделать 2 процесса ospf...."
          делаете и редистрибутите между ними.

          Ответить | Сообщить модератору
          • Cisco ospf фильтрация lsa 5, !*! cr1m2, 14:18 , 12-Июл-18 (7)
            >>> если вы совсем-совсем хотите чтоб остальные не в курсе были - делайте
            >>> редистрибуцию как внешние.
            >> Вот это бы подошло, но не совсем понял как это
            > Прям в первом ВАШЕМ посте "Или сделать 2 процесса ospf...."
            > делаете и редистрибутите между ними.

            Да вт так и сделал

            router ospf 11
            router-id 192.168.32.18
            passive-interface default
            no passive-interface GigabitEthernet0/0
            network 192.168.32.16 0.0.0.7 area 2
            distribute-list 11 in << --тут обрезаются маршруты
            router ospf 12
            redistribute ospf 11 subnets
            passive-interface default
            no passive-interface Tunnel1
            network 192.168.35.0 0.0.0.15 area 0
            distribute-list 11 out << - это не срабатывало

            Маршруты сразу режутся.

            Ответить | Сообщить модератору
            • Cisco ospf фильтрация lsa 5, !*! cr1m2, 14:35 , 12-Июл-18 (8)
              Вроде так помогло:
              сделал роут-мап

              route-map OSPF-advertise permit 10
              match ip address 11


              потом указал в процессе внешней зоны 0:
              router ospf 12
              redistribute ospf 11 subnets match external 1 external 2 route-map OSPF-advertise
              passive-interface default
              no passive-interface Tunnel1
              network 192.168.35.0 0.0.0.15 area 0

              Ответить | Сообщить модератору
              • Cisco ospf фильтрация lsa 5, !*! fantom, 15:32 , 12-Июл-18 (9)
                > Вроде так помогло:
                > сделал роут-мап
                > route-map OSPF-advertise permit 10
                >  match ip address 11
                > потом указал в процессе внешней зоны 0:
                > router ospf 12
                >  redistribute ospf 11 subnets match external 1 external 2 route-map OSPF-advertise
                >  passive-interface default
                >  no passive-interface Tunnel1
                >  network 192.168.35.0 0.0.0.15 area 0

                в роутмапе лучше префикс лист использовать, а не ACL

                Ответить | Сообщить модератору
                • Cisco ospf фильтрация lsa 5, !*! cr1m2, 09:28 , 13-Июл-18 (10)
                  Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно, а на удаленные в облаке vpn роутеры маршруты приходят все равно с дистансом 110:
                  O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                  O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                  Ответить | Сообщить модератору
                  • Cisco ospf фильтрация lsa 5, !*! ВОЛКА, 09:41 , 13-Июл-18 (11)
                    > Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
                    > а на удаленные в облаке vpn роутеры маршруты приходят все равно
                    > с дистансом 110:
                    > O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                    > O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1

                    Зачем всё это?
                    Для геморроя? Или в образовательных целях?

                    Ответить | Сообщить модератору
                    • Cisco ospf фильтрация lsa 5, !*! cr1m2, 11:35 , 13-Июл-18 (12)
                      >> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
                      >> а на удаленные в облаке vpn роутеры маршруты приходят все равно
                      >> с дистансом 110:
                      >> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                      >> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                      > Зачем всё это?
                      > Для геморроя? Или в образовательных целях?

                      Дело в том, что эти офисы связаны vpn-туннелем через аплинки, но также имеют оптические связи, где приходят маршруты по rip'у, у рипа дистанс 120, поэтому ospf сделал 130, если падает оптика между офисами, то принимается маршрут ospf через внешку.

                      Ответить | Сообщить модератору
                  • Cisco ospf фильтрация lsa 5, !*! fantom, 16:09 , 13-Июл-18 (13)
                    > Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
                    > а на удаленные в облаке vpn роутеры маршруты приходят все равно
                    > с дистансом 110:
                    > O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                    > O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1

                    Матчать нам говорит, что:
                    Дистанс - параметр ЛОКАЛЬНЫЙ и между маршрутизаторами НЕ ПЕРЕДАЕТСЯ.

                    Ответить | Сообщить модератору
                    • Cisco ospf фильтрация lsa 5, !*! cr1m2, 09:16 , 16-Июл-18 (15)
                      >> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
                      >> а на удаленные в облаке vpn роутеры маршруты приходят все равно
                      >> с дистансом 110:
                      >> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                      >> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                      > Матчать нам говорит, что:
                      > Дистанс - параметр ЛОКАЛЬНЫЙ и между маршрутизаторами НЕ ПЕРЕДАЕТСЯ.

                      Понял, спасибо.

                      Ответить | Сообщить модератору
                  • Cisco ospf фильтрация lsa 5, !*! Тимофей, 23:48 , 15-Июл-18 (14)
                    > Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
                    > а на удаленные в облаке vpn роутеры маршруты приходят все равно
                    > с дистансом 110:
                    > O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                    > O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1

                    на интерейсе Tu1 напишите ip ospf cost 130

                    Ответить | Сообщить модератору
                    • Cisco ospf фильтрация lsa 5, !*! cr1m2, 09:18 , 16-Июл-18 (16)
                      >> Вот только может кто подскажет, делаю в router ospf distanse 130 принудительно,
                      >> а на удаленные в облаке vpn роутеры маршруты приходят все равно
                      >> с дистансом 110:
                      >> O E2  192.168.14.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                      >> O E2  192.168.15.0/24 [110/20] via 192.168.35.3, 00:06:32, Tunnel1
                      > на интерейсе Tu1 напишите ip ospf cost 130

                      Спасибо, попробую.

                      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру