OSPF路由过滤总结

1、OSPF路由过滤总结OSPF过滤的方式有很多，各种方式达到的效果也不尽相同，这里主要是用实验来验证一下各种工作方式。首先来说，这个路由过滤背后的需求就是不想让一些区域了解或者直到另外区域的一些隐私路由。方式方法有很多。如果真的想做好网络设计和优化，那么路由过滤是一个很重要的课题。还有一点是一定一定得注意的，那就是，一定要分清楚标准访问列表和扩展访问列表在路由过滤中的区别：标准访问列表是可以路由层面和数据转发层面都可以控制的。而扩展访问列表只能针对于数据转发层面进行控制，对路由前缀通告是一点都不起作用的第一种：Distribut-listxin这种过滤方式不是针对哪个接口的In,而是针对是否要写

2、入核心路由农而且该命令只会干掉核心路由表，但是LSA依然会存储在路由器的ram里面.AreaOSPF醤干网LoapbackU1.1.1/32LoopbackO2_2.2.2/32designedbyHank面我们来验证一下。首先在R1/R2/R3都将ospf配置好。然后再R3上面，其实通过查看路由表，可以发现已经学习到了222.2这三个网段的路由。R3#showipruteaspf0192,1.12-0/2pDssfJI寂Tl0ESTyJS3|g甲JTEJSXlO百uai3fiS30J)diJirwsjMEO扌d冷O口MoqsI曲却郢诲jdso垦垦曰W底荼早探凝乙ZZZ业ITTl：Wm甲尉谬徂

3、阳坦HIIDVW工谬一早当TOC o 1-5 h zQ/IMuaaqistd河：刘诃。厂门JP3I疋3g/aTU祝7(1宅1衣0dsaavdjdT皿(n畠屯gg:團丁君丑，曰幻裂国甲爲工剖山一川4X半鱼丑匯卯(计工沁由H叮so:eo:oorlTt*1751乜3R/OllEPW04.euqns：(fpaiuiqnsEg3/a-Qr070/【2m叫也弭呻fSC!S0：C0*f!ESI町血/0llt耶祁T0STqnajpnunsstSE/O-flflJ翳静suwq辐松处fSO:SC:COfrErf?ffl哄A(3/011tS/O-EI176JC昌0百*口QJ请$山0申倉进:者jdso科nodiMoq

4、s刮闻阳裂国舸早探哩N飞抻器翱呈曲器甲尉關伞丑讯呈者凝es|W7出xispsnq屮s?p，ZRSSW。回皇阳E荼峯甲尉。勾阳器甲尉4X者映者犀回皇阳W者目廿这种过滤方式，是对于从外面学习到的外部路由来说的，不仅仅是要干掉路由，还要干掉LSA干净，彻底，杀人不留磁“4.0OTAekO/1.I.L1/32(1.1*1*1(ProcessIt1)Linhst彷百孔CLintIDADVRoutcicSeqfiChecksujiLEcuuntn1-LILh111951OkOC4A2込2.2+2K2,2279LOsSDOOOQOS0 x0040232xm戈玄531909080000003OxOCTCDD2

5、WetLi-nktesArea0)山it躬茁焊ifAS?Chwkpim192-LIL12.S；S.19190180000002OkCC?3E1Typt5Ai煞怙耐】Link牠朗界LinkIt)ADVRaateicAgeSeatChecksujiTaj3,爲3r32-右2:愉Orf如卿1刚锚0192-LUha2,2.227&1030000001&804G830山电-现在来验证一下关于out方向的过滤。假如说我只想R1收一条外部的lsa,而关于我根本就不想让R1了解。这个时候就需要在R2这个ASBR上面做过滤。在R2上面修改配置：routerospf1router-idlog-adjacency-

6、changesredistributeripsubnetsnetworkarea0network55area0distribute-list1out!routerripversion2networknoauto-summarynoiphttpservernoiphttpsecure-serveraccess-list1permit在上面的配置中，先坐一个ACLstandard，允许,deny所有其他的。然后在ospf下面做出方向的路由控制。最后在R1上面：Rl#sh&wip-route口和fsubsetted.,1subnets02t2.2.2110/2via192U.12,b口t;笳；0%F

7、astEthernet1/0缶比直D/32issuiriett&i,1subnets0E23,3.3.3fl10/20via1S,005:28,FastEthernet1/0我们看到实际上的网段已经没有了。再来看看ospf的Isdb。这里可以看到，只有我ACL允许的type-53.333的lsa给传递过来了。压根RlSshwipAhh&si：OSPFRou-tcrvitht&(1.1.J.1)氏心Ut卓mLihEtStts(PT0GB55ID1)ginkIBAD7RoutarChtcfcsunLiiik贞口血tU1lThL1153$臥曲ZB24敏息3,2+2.2dK0Q(JQJDQ3(bdJO

8、JE羽2MetLinkS弋直t虫密(Area.0)LinkIDADVEouterA祚Checksum152.LIN12.2+2.2!8T6CW&OOOD0Q30 xD07lE3Typ-5ASExternalLinkLinkID3,13.3ADVRouter2,2,2.2Age那4Seq#0 x60000002重点看5类的外部lsa，看看是否还有.就没有发送过来。总结：这个out的命令只会工作在将其他的路由重分发到ospf进程中，所以只会工作在ASBR上面。第三种：IPospfdatabase-filterallout该过滤方式应用在接口下面，不会通告任何Isa出去，但是，并不影响ospf的邻居

9、建立实验拓扑：lvcpbackB1,1.1-1/32艮Are-a.0OSPF骨干冋LdcpbackC真丸3,3/32LoapbackQ/3s-R2Fl/1Fl/0192.t-13.1/24132.I.IX3/24designedbyHankhttpn1-bIfly.B1-ctO.CDin/哄心如“叽为;出射我们首先来看一下，如果3个设备正常的建立邻居，然后在R3上面，应该可以学习到下面的路由和LSA:OSFFRouterwithID(3-3.3.3)processI&1)RoutsrLinkStates(Area6uouirtR3#slxowi.pospfdatabaseR3#呼3#showi

10、prouteospf5192+E12/24110/21via192.L13.1如：02泊爲FastEthernet1/0L0*00/32issubn&tted1subnetshLLEL10/31LL3,ljGO;Q3;OP,FaEiH2-0-0.0/32issutnettetti】subnets響】110/visIS,：00:02:09aFaHtEtHdt2.2.2-21.!.1.1156413i3x80000005QuSOOOQOOEOkOU4S2BOk006D423J.J.J.JJ.J.J.JUblKUUUUUlJb血LILT出關NetLinkStMej(Area0)MIDACVRputt

11、AfieChecksyn192.1-12.12.2.：.21S3S080000003Ox007LE3132.1_13.11310 x8fldoooaiOsOOCETFLi血砂ADERciirt已匕也就是说，R3通过Isa,计算出了三条ospf路由，R1的loopbackO,R2的loopbackO,还有网段的。现在R2上面的接口F1/1上面.将命令ipospfdatabase-filterallout应用下去。注意,在接口下面应用了该命令以后,邻居将会重新协商：RSkonfijJaitrterfl/1RSUopfip&spfdMibise-fxlieiallwtK2(canfK2(canft*

12、0ct2G&7.7S:fOSPFS-ADJCMC：ProcefLNbr3.3,3,3onFarlE-tJiamst1/1fiQinFULLtoDOWjHeihborDam:InrtrifacrjdomordotachedGet201生弱：鬧用関：jCO5FF-5-ALJCEr：P汕*JSitNbr乳J33anFuttheEtiet1/L柞皿UjWINCfaFUL*LinCDon现在在R2上面的配置为：R2#shrunint*Oct2619:56:57.071:%STS-5-CONFK_I:ConfBui1dingconfiuration,.*Currentconfiguration:128by

13、tes!VinterfaceFastEth&irnet1/1ipaddress192,L13.1ipospfdatabase-filteralloutdup1exfullffpeeduto还有一点值得注意的是，当邻居重新建立以后，在R3上面就应该学习不到从R2发送过来的lsa了。可是我们可以看到：在R3上面仍然数据库没有发生变化:扎XHmbouLpBspfdit05PF加me匸毗th滋3+3.3)(Prfl-ce?EHRouterLinkStates(Area时LiiikIDADVRourterAgeStqfiChfrdsEum.LinikcountLl.l.jLk1.12351OkBDJOO

14、OOS0Km2E22.Z.22.2.?.2917aKBOOOOQOE0060423i.5.5.33-3.3431他輛詰瓷3NetLinkStalas血啊D)L诫ID込132.L12+12+2+N22323OnWODGOS5x9071E3132.12丨917ooaooaoi如OOCETF】9丸1.1X3爲亀3.3呦J*必须要手动的将ospf进程重启一次才能从新发送Isa，只要将ospf进程重启启动一次，我们就可以看到。在R3上面你的ospf数据库明显干净多了。只有一个一类的333.3的lsa了。Age笼一步是垂启mpfS程：EI/OfrcRFULLtoDOWN；,NeighborD&wn:Int

15、efI/OfrofiLOADINGtoFULLLoadingDoneR3#shipospfdatbasRouterLinkStates(Area0)戶3丰aIenfj匸iomrzifufciipospfprocess冷f航ALLOSPFpr99fss?【rw;Yes祷rt馆20:05:45.071:0SPF-5-AIJCHC:ProcessINbr岔筑N2mFastEthernedctuhfid压3#h(期订阳inkIDAD7Router5,3,3,3sK-EpouTQd住驭CqcannededS-st?rtj,jR-MPN-aq打B-BGPD“EIGEPfEX-EIGEPexternal.0

16、-OSPFfIA-OSPFinterareaNlaQSPFI4SSAexternaltypeIN2*OSPFUS訥extTrraltype2E-05PFexternallypeIjE2-QSFFeKteirnaltype2i-IS-IS$u-ISISsuanajcyjLI-ISISldL2-ISISl?vel2ia-ISISinferare也*-candidatedefault,U-per-userstaticrouteq-ODRF亠pen。血uMung目dedstaticreute05PFKoutervithID(H(ProcessID1)制居#竝斜辰醉5旳s据库在祁上幌发理買有自己产经的t

17、ype=tegg了Seq#GhecksuniLinkcountOkSQOOOOOIOkDOSODB2DeadTimeAddress00:00:35J韩居起忠了.InterfaceFKEtEthrrLRtl/D_l3#5howipuspfneighbor也ighborID.2.2.2PriState1FULI/DK这里看到路由険有之Catev&yoflastresorti?notaetCI92+1If0/24i?directlyconnected，FasEthernet1/CS.0.d.0/32issubnettedjisubnets尺坤；showin0tfitei前fttfospf7.只肓两个

18、直连谿宙了.所以最后在R3上面，再来看看清楚的结果:R3fiik*wipFAUt4iCotlesiC-aomjectatS-st4ticR-Rif,M-nobiiBDCJP”-ETGRP,EK亠EIGEPexternal,OOSP几I*-OSPTinterreaNlaQSPFNSSAtype1,W2-SPFJiSSAextrnaltype2El-OSPFstvrnaltypeLE2-?SPF胡七号跻就lyp?2i-IS-IS,su-IS-ISsummary,LL-IS-ISlevtl-l,L2-IS-ISlevel-2is-IS-ISiiterares,*-candidatedefault,U

19、-per-user3taticrouteo-ODRjF-periodicdowljadedstaticrout&5atwayoflaftlesortisnotsetC10?.L13.0/21is-directlye&rwectatlFartEtherne-t1/3工0+(3+口心2issabiietteUs1宋曲net|C3i3弘Ji$directlycanneGtcdLocpbacJcOR3#R3#showipospdaOSFFRouterwithID()(PtocessID1)RouterLinlcStatc-s(Area.0)LinJkIDDVRouterA$eSaq#Cheelesun

20、linhcoynt：3-3+.3397Jk-80000007OzOO!4E12使用了命令“ipospfdatabse-filterallout”命令以后，所以该接口不会发送所学习到的所有的lsa从f1/1出去。故R3也学习不到任何路由从R1的F1/1.但是邻居关系还是会正常建立的。只是不通告Isa出去罢了这里不通告的Isa类型是所有1-7全部对端的另据一个LSA第四种：neighborx.x.x.xdatabase-filterallout与ipospfdatabase-filterallout同样的原理，但是该命令是用在routerospf进程下面而不是接口下面的，对象不是某一个接口而是哪一

21、个邻居.该功能只能用于点到点网络或者是NBMA.第五种：areaxfilter-listprefixxxxin/out这种功能是对于不同的area进行的Isa过滤。是用在abr上面的可以控制Isa的入方向和出方向.拓扑图：LaobackO2,2.2.2/32ilr-ea0LaopbackOOSPF骨干屈1-1.U1/32Fl/1/24Fl/0/4爲匸或EL10LaopbackO3.3-3.3/32在这个拓扑中，会分别验证in和out两种。首先，正常情况下，R1/R2/R3都会学习到相互的路由通过ABRR2.现在将R2的配置修改为下面的情况：interfaceLoopback0ipaddress

22、55interfaceFastEthernet1/0ipaddressduplexfullspeedauto!interfaceFastEthernet1/1ipaddressduplexfullspeedauto!routerospf1router-idlog-adjacency-changesarea0filter-listprefixmaipuout/这里areaO在通告外部其他区域的Isa的时候只会按照ipprefix来进行通告Isanetworkarea0network55area0network55area10!ipprefix-listmaipuseq1permit1921120

23、/24/ipprefix只允许通告/24的前缀，通过观察拓扑图可以看到，其实在R1上面还有1111/32的前缀，因为没有写道prefix的permit中，所以R3因为收不到R1的的Isa,而因为没有Isa，所以也不可能计算出如何到达1111的路由来。在这里，记忆方法可以为：area0向外通告ipprefix-list的内容prefix允许的我就通告其他的全部被干掉在ABR上面。卜面可以看看R2应用了area0filter-listprefixmaipuout以后，R3是一什么情况：R30showi.pcspf也3七OSPFRouterwithID(3.3.i.(ProcessI)RouterLirdtStatesArea10)LiftkID2DVR.outerAgeSeq&ChecksirmLirJiCount2.?.2.2