ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопасность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

7 минут чтени€

¬ одном из прошлых статей мы рассмотрели способы фильтрации маршрутов дл€ динамического протокола маршрутизации EIGRP. —ледует отметить, что EIGRP проприетарна€ разработка Cisco, но уже открыта другим производител€м. OSPF же протокол открытого стандарта и поддерживаетс€ всем вендорами сетевого оборудовани€. ѕредполагаетс€, что читатель знаком с данным протоколом маршрутизации и имеет знани€ на уровне CCNA.

OSPF тоже поддерживает фильтрацию маршрутов, но в отличии от EIGRP, где фильтрацию можно делать на любом маршрутизаторе, здесь она возможна только на пограничных роутерах, которые называютс€ ABR (Area Border Router) и ASBR (Autonomous System Boundary Router). ѕричиной этому €вл€етс€ логика анонсировани€ маршрутов в протоколе OSPF. Ќе вдава€сь в подробности скажу, что здесь маршруты объ€вл€ютс€ с помощью LSA (Link State Advertisement). —уществует 11 типов LSA, но рассматривать их мы не будем. ѕо ходу статьи рассмотрим только Type 3 LSA и Type 5 LSA.

LSA третьего типа создаютс€ пограничными роутерами, которые подключены к магистральной области (backbone area) и минимум одной немагистральной. Type 3 LSA также называютс€ Summary LSA. — помощью данного типа LSA ABR анонсирует сети из одной области в другую. ¬ таблице базы данных OSPF они отображаетс€ как Summary Net Link States:

“аблица базы данных OSPF

‘ильтраци€ LSA третьего типа говорит маршрутизатору не анонсировать сети из одной области в другую, тем самым закрыва€ доступ к сет€м, которые не должны отображатьс€ в других област€х.

ƒл€ настройки фильтрации примен€етс€ команда area area-num filter-list prefix prefix-list-name {in | out} в интерфейсе конфигурации OSPF.  ак видно, здесь примен€ютс€ списки префиксов или prefix-list, о которых мы говорили в предыдущей статье. ћаршрут не анонсируетс€ если попадает под действие deny в списке префиксов.

 амнем преткновени€ в данной команде €вл€ютс€ ключевые слова in и out. Ёти параметры определ€ют направление фильтрации в зависимости от номера области, указанного в команде area are-num filter. ј работают они следующим образом:

  • ≈сли прописано слово in, то маршрутизатор предотвращает попадание указанных сетей в область, номер которого указан в команде.
  • ≈сли прописано слово out, то маршрутизатор фильтрует номера сетей, исход€щих из области, номер которого указан в команде.

—хематически это выгл€дит так:

Ќаправление фильтрации в зависимости от номера области

 оманда area 0 filter-list in отфильтрует все LSA третьего типа (из областей 1 и 2), и они не попадут в area 0. Ќо в area 2 маршруты в area 1 попадут, так как нет команд вроде area 2 filter-list in или area 1 filter-list out. ¬тора€ же команда: area 2 filter-list out отфильтрует все маршруты из области 2. ¬ данном примере маршрутна€ информаци€ из второй области не попадЄт ни в одну из областей.

¬ нашей топологии, показанной на рисунке, имеютс€ две точки фильтрации, то есть два пограничных маршрутизатора:

“опологи€ нашей лаборатории в Cisco Packet Tracer

ѕри чем каждый из этих маршрутизаторов будет фильтровать разные сети. “акже мы здесь используем обе ключевых слова in и out. Ќа ABR1 напишем следующие prefix-list-ы:

ip prefix-list FILTER-INTO-AREA-34 seq 5 deny 10.16.3.0/24
ip prefix-list FILTER-INTO-AREA-34 seq 10 permit 0.0.0.0/0 le 32
Ќастройка prefix-list на Cisco

ј на ABR2

ip prefix-list FILTER-OUT-OF-AREA-0 seq 5 deny 10.16.2.0/23 ge 24 le 24
ip prefix-list FILTER-OUT-OF-AREA-0 seq 10 permit 0.0.0.0/0 le 32
Ќастройка prefix-list на Cisco

“еперь проверив таблицу маршрутизации на R3, увидим, что маршрут до сети 10.16.3.0 отсутствует:

ѕроверка таблицы маршрутизации

“еперь по€сним, что мы сказали маршрутизатору. ¬ конфигурации ABR1 первый prefix-list с действием deny совпадет только с маршрутом, который начинаетс€ на 10.16.3.0, а длина префикса равна 24. ¬торой же префикс соответствует всем остальным маршрутам. ј командой area 34 filter-list prefix FILTER-INTO-AREA-34 in сказали отфильтровать все сети, которые поступают в 34 область. ѕоэтому в базе OSPF маршрута в сеть 10.16.3 через R1 не будет.

Ќа втором же маршрутизаторе пошли другим путЄм. ѕервый команда ip prefix-list FILTER-OUT-OF-AREA-0 seq 5 deny 10.16.2.0/23 ge 24 le 24 совпадет с маршрутами, который начинаетс€ на 10.16.2.0 и 10.16.3.0, так как указан /23. Ќа €зыке списка префиксов означает вз€ть адреса, которые могут соответствовать маске 255.255.254.0, а длина префикса адреса равна 24. ј командой area 0 out сказали отфильтровать все LSA 3 типа, которые исход€т из области 0. Ќа первый взгл€д кажетс€ сложным, но если присмотретьс€, то все станет €сно.


‘ильтраци€ маршрутов в OSPF через distribute-list

‘ильтраци€ LSA третьего типа не всегда помогает. ѕредставим ситуацию, когда в какой-то области 50 маршрутизаторов, а нам нужно чтобы маршрутна€ информаци€ не попала в таблицу только 10 роутеров. ¬ таком случае фильтраци€ по LSA не поможет, так как он фильтрует маршрут исход€щий или вход€щий в область, в нашем случае маршрут не попадЄт ни на один маршрутизатор, что противоречит поставленной задаче.

ƒл€ таких случаев предусмотрена функци€ distribute-list. ќна просто не добавл€ет указанный маршрут в таблицу маршрутизации, но в базе OSPF маршрут до сети будет.

¬ отличии от настройки distribute-list в EIGRP, в OSPF нужно учесть следующие аспекты:

  •  оманда distribute-list требует указани€ параметров in | out, но только при применении in фильтраци€ будет работать.
  • ƒл€ фильтрации команда может использовать ACL, prefix-list или route-map.
  • ћожно также добавить параметр interface interface-type-number, чтобы применить фильтрацию дл€ конкретного интерфейса.

¬несем некоторые изменени€ в конфигурацию маршрутизатора R3, чтобы отфильтровать маршрут до сети 10.16.1.0:

‘ильтруем маршрут до подсети OSPF

 ак видно на выводе, до применени€ prefix-list-а, в таблице маршрутизации есть маршрут до сети 10.16.1.0. Ќо после внесени€ изменений маршрут исчезает из таблицы, но вывод команды show ip ospf database | i 10.16.1.0 показывает, что в базе OSPF данный маршрут существует.


‘ильтраци€ маршрутов на ASBR

 ак уже было сказано в начале материала, ASBR это маршрутизатор, который стоит между двум€ разными автономными системами. »менно он генерирует LSA п€того типа, которые включают в себ€ маршруты в сети, наход€щиес€ вне домена OSPF.

“опологи€ сети показана ниже:

“опологи€ сети с ASBR
 онфигурацию всех устройств из этой статьи можно скачать в архиве по ссылке ниже.
—качать конфиги тестовой лаборатории

 ак видно из рисунка, у нас есть два разных домена динамической маршрутизации. Ќа роутере ASBR настроена редистрибюци€ маршрутов, то есть маршруты из одно домена маршрутизации попадают во второй. Ќам нужно отфильтровать маршруты таким образом, чтобы сети 172.16.101.0/24 и 172.16.102.0/25 не попали в домен EIGRP. ¬се остальные, включа€ сети точка-точка, должны быть видны дл€ пользователей в сети EIGRP.

ƒл€ фильтрации Cisco IOS нам дает всего один инструмент route-map. ќ них мы подробно рассказывали в статье и фильтрации маршрутов в EIGRP.

ћожно пойти двум€ пут€ми. Ћибо запрещаем указанные маршруты, в конце добавл€ем route-map с действием permit, который разрешит все остальные, либо разрешаем указанным в списке префиксов маршруты, а все остальное запрещаем (имейте ввиду, что в конце любого route-map имеетс€ €вный запрет deny).

ѕокажем второй вариант, а первый можете протестировать сами и поделитьс€ результатом.

ƒл€ начала создаем списки префиксов с разрешЄнными сет€ми:

ip prefix-list match-area0-permit seq 5 permit 172.16.14.0/30
ip prefix-list match-area0-permit seq 10 permit 172.16.18.0/30
ip prefix-list match-area0-permit seq 15 permit 172.16.8.1/32
ip prefix-list match-area0-permit seq 20 permit 172.16.4.1/32
ip prefix-list match-area0-permit seq 25 permit 172.16.48.0/25
ip prefix-list match-area0-permit seq 30 permit 172.16.49.0/25
ip prefix-list match-area3-permit seq 5 permit 172.16.103.0/24 ge 26 le 26

≈ще раз отметим, что фильтраци€ LSA Type 5 делаетс€ только на ASBR маршрутизаторе. ƒо внесени€ изменений на маршрутизаторе R1 видны сети до 101.0 и 102.0:

show ip route

ѕрименим изменени€ на ASBR:

ѕрименим изменени€ на ASBR

ѕроверим таблицу маршрутизации R1 еще раз:

ѕроверка таблицы маршрутизации

 ак видим, маршруты в сеть 101.0 и 102.0 исчезли из таблицы.

Ќа этом, пожалуй, завершим это материал. ќн и так оказалс€ достаточно большим и сложным. ”дачи в экспериментах!