OSPF路由過濾總結(jié)

1、OSPF路由過濾總結(jié)OSPF過濾的方式有很多，各種方式達(dá)到的效果也不盡相同，這里主要是用實(shí)驗(yàn)來驗(yàn)證一下各種工作方式。首先來說，這個(gè)路由過濾背后的需求就是不想讓一些區(qū)域了解或者直到另外區(qū)域的一些隱私路由。方式方法有很多。如果真的想做好網(wǎng)絡(luò)設(shè)計(jì)和優(yōu)化，那么路由過濾是一個(gè)很重要的課題。還有一點(diǎn)是一定一定得注意的，那就是，一定要分清楚標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表在路由過濾中的區(qū)別：標(biāo)準(zhǔn)訪問列表是可以路由層面和數(shù)據(jù)轉(zhuǎn)發(fā)層面都可以控制的。而擴(kuò)展訪問列表只能針對(duì)于數(shù)據(jù)轉(zhuǎn)發(fā)層面進(jìn)行控制，對(duì)路由前綴通告是一點(diǎn)都不起作用的第一種：Distribut-listxin這種過濾方式不是針對(duì)哪個(gè)接口的In,而是針對(duì)是否要寫

2、入核心路由農(nóng)而且該命令只會(huì)干掉核心路由表，但是LSA依然會(huì)存儲(chǔ)在路由器的ram里面.AreaOSPF醤干網(wǎng)LoapbackU1.1.1/32LoopbackO2_2.2.2/32designedbyHank面我們來驗(yàn)證一下。首先在R1/R2/R3都將ospf配置好。然后再R3上面，其實(shí)通過查看路由表，可以發(fā)現(xiàn)已經(jīng)學(xué)習(xí)到了222.2這三個(gè)網(wǎng)段的路由。R3#showipruteaspf0192,1.12-0/2pDssfJI寂Tl0ESTyJS3|g甲JTEJSXlO百uai3fiS30J)diJirwsjMEO扌d冷O口MoqsI曲卻郢誨jdso墾墾曰W底荼早探凝乙ZZZ業(yè)ITTl：Wm甲尉謬徂

3、陽坦HIIDVW工謬一早當(dāng)TOC o 1-5 h zQ/IMuaaqistd河：劉訶。廠門JP3I疋3g/aTU祝7(1宅1衣0dsaavdjdT皿(n畠屯gg:團(tuán)丁君丑，曰幻裂國(guó)甲爲(wèi)工剖山一川4X半魚丑匯卯(計(jì)工沁由H叮so:eo:oorlTt*1751乜3R/OllEPW04.euqns：(fpaiuiqnsEg3/a-Qr070/【2m叫也弭呻fSC!S0：C0*f!ESI町血/0llt耶祁T0STqnajpnunsstSE/O-flflJ翳靜suwq輻松處fSO:SC:COfrErf?ffl哄A(3/011tS/O-EI176JC昌0百*口QJ請(qǐng)$山0申倉進(jìn):者jdso科nodiMoq

4、s刮聞陽裂國(guó)舸早探哩N飛抻器翱呈曲器甲尉關(guān)傘丑訊呈者凝es|W7出xispsnq屮s?p，ZRSSW?；鼗赎朎荼峯甲尉。勾陽器甲尉4X者映者犀回皇陽W者目廿這種過濾方式，是對(duì)于從外面學(xué)習(xí)到的外部路由來說的，不僅僅是要干掉路由，還要干掉LSA干凈，徹底，殺人不留磁“4.0OTAekO/1.I.L1/32(1.1*1*1(ProcessIt1)Linhst彷百孔CLintIDADVRoutcicSeqfiChecksujiLEcuuntn1-LILh111951OkOC4A2込2.2+2K2,2279LOsSDOOOQOS0 x0040232xm戈玄531909080000003OxOCTCDD2

5、WetLi-nktesArea0)山it躬茁焊ifAS?Chwkpim192-LIL12.S；S.19190180000002OkCC?3E1Typt5Ai煞怙耐】Link牠朗界LinkIt)ADVRaateicAgeSeatChecksujiTaj3,爲(wèi)3r32-右2:愉Orf如卿1剛錨0192-LUha2,2.227&1030000001&804G830山電-現(xiàn)在來驗(yàn)證一下關(guān)于out方向的過濾。假如說我只想R1收一條外部的lsa,而關(guān)于我根本就不想讓R1了解。這個(gè)時(shí)候就需要在R2這個(gè)ASBR上面做過濾。在R2上面修改配置：routerospf1router-idlog-adjacency-

6、changesredistributeripsubnetsnetworkarea0network55area0distribute-list1out!routerripversion2networknoauto-summarynoiphttpservernoiphttpsecure-serveraccess-list1permit在上面的配置中，先坐一個(gè)ACLstandard，允許,deny所有其他的。然后在ospf下面做出方向的路由控制。最后在R1上面：Rl#sh&wip-route口和fsubsetted.,1subnets02t2.2.2110/2via192U.12,b口t;笳；0%F

7、astEthernet1/0缶比直D/32issuiriett&i,1subnets0E23,3.3.3fl10/20via1S,005:28,FastEthernet1/0我們看到實(shí)際上的網(wǎng)段已經(jīng)沒有了。再來看看ospf的Isdb。這里可以看到，只有我ACL允許的type-53.333的lsa給傳遞過來了。壓根RlSshwipAhh&si：OSPFRou-tcrvitht&(1.1.J.1)氏心Ut卓mLihEtStts(PT0GB55ID1)ginkIBAD7RoutarChtcfcsunLiiik貞口血tU1lThL1153$臥曲ZB24敏息3,2+2.2dK0Q(JQJDQ3(bdJO

8、JE羽2MetLinkS弋直t蟲密(Area.0)LinkIDADVEouterA祚Checksum152.LIN12.2+2.2!8T6CW&OOOD0Q30 xD07lE3Typ-5ASExternalLinkLinkID3,13.3ADVRouter2,2,2.2Age那4Seq#0 x60000002重點(diǎn)看5類的外部lsa，看看是否還有.就沒有發(fā)送過來?？偨Y(jié)：這個(gè)out的命令只會(huì)工作在將其他的路由重分發(fā)到ospf進(jìn)程中，所以只會(huì)工作在ASBR上面。第三種：IPospfdatabase-filterallout該過濾方式應(yīng)用在接口下面，不會(huì)通告任何Isa出去，但是，并不影響ospf的鄰居

9、建立實(shí)驗(yàn)拓?fù)洌簂vcpbackB1,1.1-1/32艮Are-a.0OSPF骨干冋LdcpbackC真丸3,3/32LoapbackQ/3s-R2Fl/1Fl/0192.t-13.1/24132.I.IX3/24designedbyHankhttpn1-bIfly.B1-ctO.CDin/哄心如“嘰為;出射我們首先來看一下，如果3個(gè)設(shè)備正常的建立鄰居，然后在R3上面，應(yīng)該可以學(xué)習(xí)到下面的路由和LSA:OSFFRouterwithID(3-3.3.3)processI&1)RoutsrLinkStates(Area6uouirtR3#slxowi.pospfdatabaseR3#呼3#showi

10、prouteospf5192+E12/24110/21via192.L13.1如：02泊爲(wèi)FastEthernet1/0L0*00/32issubn&tted1subnetshLLEL10/31LL3,ljGO;Q3;OP,FaEiH2-0-0.0/32issutnettetti】subnets響】110/visIS,：00:02:09aFaHtEtHdt2.2.2-21.!.1.1156413i3x80000005QuSOOOQOOEOkOU4S2BOk006D423J.J.J.JJ.J.J.JUblKUUUUUlJb血LILT出關(guān)NetLinkStMej(Area0)MIDACVRputt

11、AfieChecksyn192.1-12.12.2.：.21S3S080000003Ox007LE3132.1_13.11310 x8fldoooaiOsOOCETFLi血砂ADERciirt已匕也就是說，R3通過Isa,計(jì)算出了三條ospf路由，R1的loopbackO,R2的loopbackO,還有網(wǎng)段的。現(xiàn)在R2上面的接口F1/1上面.將命令ipospfdatabase-filterallout應(yīng)用下去。注意,在接口下面應(yīng)用了該命令以后,鄰居將會(huì)重新協(xié)商：RSkonfijJaitrterfl/1RSUopfip&spfdMibise-fxlieiallwtK2(canfK2(canft*

12、0ct2G&7.7S:fOSPFS-ADJCMC：ProcefLNbr3.3,3,3onFarlE-tJiamst1/1fiQinFULLtoDOWjHeihborDam:InrtrifacrjdomordotachedGet201生弱：鬧用関：jCO5FF-5-ALJCEr：P汕*JSitNbr乳J33anFuttheEtiet1/L柞皿UjWINCfaFUL*LinCDon現(xiàn)在在R2上面的配置為：R2#shrunint*Oct2619:56:57.071:%STS-5-CONFK_I:ConfBui1dingconfiuration,.*Currentconfiguration:128by

13、tes!VinterfaceFastEth&irnet1/1ipaddress192,L13.1ipospfdatabase-filteralloutdup1exfullffpeeduto還有一點(diǎn)值得注意的是，當(dāng)鄰居重新建立以后，在R3上面就應(yīng)該學(xué)習(xí)不到從R2發(fā)送過來的lsa了。可是我們可以看到：在R3上面仍然數(shù)據(jù)庫沒有發(fā)生變化:扎XHmbouLpBspfdit05PF加me匸毗th滋3+3.3)(Prfl-ce?EHRouterLinkStates(Area時(shí)LiiikIDADVRourterAgeStqfiChfrdsEum.LinikcountLl.l.jLk1.12351OkBDJOO

14、OOS0Km2E22.Z.22.2.?.2917aKBOOOOQOE0060423i.5.5.33-3.3431他輛詰瓷3NetLinkStalas血啊D)L誡ID込132.L12+12+2+N22323OnWODGOS5x9071E3132.12丨917ooaooaoi如OOCETF】9丸1.1X3爲(wèi)亀3.3呦J*必須要手動(dòng)的將ospf進(jìn)程重啟一次才能從新發(fā)送Isa，只要將ospf進(jìn)程重啟啟動(dòng)一次，我們就可以看到。在R3上面你的ospf數(shù)據(jù)庫明顯干凈多了。只有一個(gè)一類的333.3的lsa了。Age籠一步是垂啟mpfS程：EI/OfrcRFULLtoDOWN；,NeighborD&wn:Int

15、efI/OfrofiLOADINGtoFULLLoadingDoneR3#shipospfdatbasRouterLinkStates(Area0)戶3豐aIenfj匸iomrzifufciipospfprocess冷f航ALLOSPFpr99fss?【rw;Yes禱rt館20:05:45.071:0SPF-5-AIJCHC:ProcessINbr岔筑N2mFastEthernedctuhfid壓3#h(期訂陽inkIDAD7Router5,3,3,3sK-EpouTQd住馭CqcannededS-st?rtj,jR-MPN-aq打B-BGPD“EIGEPfEX-EIGEPexternal.0

16、-OSPFfIA-OSPFinterareaNlaQSPFI4SSAexternaltypeIN2*OSPFUS訥extTrraltype2E-05PFexternallypeIjE2-QSFFeKteirnaltype2i-IS-IS$u-ISISsuanajcyjLI-ISISldL2-ISISl?vel2ia-ISISinferare也*-candidatedefault,U-per-userstaticrouteq-ODRF亠pen。血uMung目dedstaticreute05PFKoutervithID(H(ProcessID1)制居#竝斜辰醉5旳s據(jù)庫在祁上幌發(fā)理買有自己產(chǎn)經(jīng)的t

17、ype=tegg了Seq#GhecksuniLinkcountOkSQOOOOOIOkDOSODB2DeadTimeAddress00:00:35J韓居起忠了.InterfaceFKEtEthrrLRtl/D_l3#5howipuspfneighbor也ighborID.2.2.2PriState1FULI/DK這里看到路由険有之Catev&yoflastresorti?notaetCI92+1If0/24i?directlyconnected，F(xiàn)asEthernet1/CS.0.d.0/32issubnettedjisubnets尺坤；showin0tfitei前fttfospf7.只肓兩個(gè)

18、直連谿宙了.所以最后在R3上面，再來看看清楚的結(jié)果:R3fiik*wipFAUt4iCotlesiC-aomjectatS-st4ticR-Rif,M-nobiiBDCJP”-ETGRP,EK亠EIGEPexternal,OOSP幾I*-OSPTinterreaNlaQSPFNSSAtype1,W2-SPFJiSSAextrnaltype2El-OSPFstvrnaltypeLE2-?SPF胡七號(hào)躋就lyp?2i-IS-IS,su-IS-ISsummary,LL-IS-ISlevtl-l,L2-IS-ISlevel-2is-IS-ISiiterares,*-candidatedefault,U

19、-per-user3taticrouteo-ODRjF-periodicdowljadedstaticrout&5atwayoflaftlesortisnotsetC10?.L13.0/21is-directlye&rwectatlFartEtherne-t1/3工0+(3+口心2issabiietteUs1宋曲net|C3i3弘Ji$directlycanneGtcdLocpbacJcOR3#R3#showipospdaOSFFRouterwithID()(PtocessID1)RouterLinlcStatc-s(Area.0)LinJkIDDVRouterA$eSaq#Cheelesun

20、linhcoynt：3-3+.3397Jk-80000007OzOO!4E12使用了命令“ipospfdatabse-filterallout”命令以后，所以該接口不會(huì)發(fā)送所學(xué)習(xí)到的所有的lsa從f1/1出去。故R3也學(xué)習(xí)不到任何路由從R1的F1/1.但是鄰居關(guān)系還是會(huì)正常建立的。只是不通告Isa出去罷了這里不通告的Isa類型是所有1-7全部對(duì)端的另據(jù)一個(gè)LSA第四種：neighborx.x.x.xdatabase-filterallout與ipospfdatabase-filterallout同樣的原理，但是該命令是用在routerospf進(jìn)程下面而不是接口下面的，對(duì)象不是某一個(gè)接口而是哪一

21、個(gè)鄰居.該功能只能用于點(diǎn)到點(diǎn)網(wǎng)絡(luò)或者是NBMA.第五種：areaxfilter-listprefixxxxin/out這種功能是對(duì)于不同的area進(jìn)行的Isa過濾。是用在abr上面的可以控制Isa的入方向和出方向.拓?fù)鋱D：LaobackO2,2.2.2/32ilr-ea0LaopbackOOSPF骨干屈1-1.U1/32Fl/1/24Fl/0/4爲(wèi)匸或EL10LaopbackO3.3-3.3/32在這個(gè)拓?fù)渲?，?huì)分別驗(yàn)證in和out兩種。首先，正常情況下，R1/R2/R3都會(huì)學(xué)習(xí)到相互的路由通過ABRR2.現(xiàn)在將R2的配置修改為下面的情況：interfaceLoopback0ipaddress

22、55interfaceFastEthernet1/0ipaddressduplexfullspeedauto!interfaceFastEthernet1/1ipaddressduplexfullspeedauto!routerospf1router-idlog-adjacency-changesarea0filter-listprefixmaipuout/這里areaO在通告外部其他區(qū)域的Isa的時(shí)候只會(huì)按照ipprefix來進(jìn)行通告Isanetworkarea0network55area0network55area10!ipprefix-listmaipuseq1permit1921120

23、/24/ipprefix只允許通告/24的前綴，通過觀察拓?fù)鋱D可以看到，其實(shí)在R1上面還有1111/32的前綴，因?yàn)闆]有寫道prefix的permit中，所以R3因?yàn)槭詹坏絉1的的Isa,而因?yàn)闆]有Isa，所以也不可能計(jì)算出如何到達(dá)1111的路由來。在這里，記憶方法可以為：area0向外通告ipprefix-list的內(nèi)容prefix允許的我就通告其他的全部被干掉在ABR上面。卜面可以看看R2應(yīng)用了area0filter-listprefixmaipuout以后，R3是一什么情況：R30showi.pcspf也3七OSPFRouterwithID(3.3.i.(ProcessI)RouterLirdtStatesArea10)LiftkID2DVR.outerAgeSeq&ChecksirmLirJiCount2.?.2.2