+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Фильтрация OSPF

Фильтрация OSPF, RouterOS

AlexS

Guest

03.11.2013 01:57:00

Привет! Я пытаюсь сделать фильтрацию маршрутов OSPF при их переходе из одной области в другую. Моя область 0 — это backbone, а также мой WAN (10.31.19.0/24). У меня есть два устройства на RouterOS (r1 и r2) в dc2, и в офисе есть два Cisco-коммутатора (c1 и c2), которые занимаются OSPF/маршрутизацией. В офисе также есть ещё два RouterOS (r3 и r4), которые устанавливают BGP-соединение с премиум-провайдером. r3 и r4 обмениваются пирами с двумя роутерами провайдера, а я беру информацию BGP и перераспределяю её в OSPF. Область в офисе — 10.172.0.0, она настроена как NSSA. Все роутеры маршрутизируются обратно к c1 и c2, которые выступают мостом между областью 10.172.0.0 и 0.0.0.0, но я не могу найти способ заблокировать любые сети, кроме 10.172.0.0/16. Все маршруты проходят через r1 и r2. Как мне заблокировать на r1 и r2 сети, которые не входят в 10.172.0.0/16? Спасибо!

dperowne

Guest

31.07.2014 15:38:00

Технически они по умолчанию не суммируются, так как это PPP-туннели, заканчивающиеся на каждом ABR, поэтому я мог ввести их по отдельности, просто их можно суммировать, и именно так я пытался их отфильтровать…

dallas Guest	#3 0 31.07.2014 15:59:00 Если вы сможете сделать их внешними маршрутами, тогда сможете использовать их в фильтре маршрутизации.

dperowne

Guest

31.07.2014 16:13:00

Ну, интерфейсы PPP создают динамические статики, как только соединяются, и все они перераспределяются в каждую область OSPF как externals типа 1. Значит, я должен иметь возможность их отфильтровать, но вот как настроить фильтр на основе этого — вот в чём вопрос…

dperowne

Guest

31.07.2014 15:02:00

Как это тогда применить в следующей ситуации: [ABR RTR1 ether2] ----VLAN2---- [ether2 ABR RTR2] ----VLAN3----
_VLAN2 = Area2_
_VLAN3 = Area3_
Оба роутера завершают PPP-соединения, которые агрегированы, перекрестное соединение сделано для резервирования, но при этом не хочется, чтобы сети из Area2 анонсировались по VLAN Area3 и наоборот.
Пробовал делать через фильтры, но не уверен, что делаю это правильно…

dallas

Guest

30.07.2014 19:53:00

Я использую несколько областей, но директива /route ospf area range (которая используется для суммирования маршрутов) работает только на ABR. Маршрутизатор подключён к магистрали. Если я, например, нахожусь на другом конце area2, то суммирование маршрутов не работает. Как мне этого добиться? Dallas

StubArea51

Guest

31.07.2014 00:15:00

В OSPF суммировать можно только на ABR или ASBR. Это сделано специально, так как все роутеры в зоне должны иметь одинаковую базу состояния связей (Link State DB). Если я правильно помню, ты занимаешься внедрением MPLS для провайдера… просто к сведению, большинство больших MPLS-сетей операторов используют OSPF (или ISIS) только для анонсирования транзитных подсетей и loopback-интерфейсов. Для анонсирования подсетей с трафиком применяют BGP. Основная причина — серьёзные ограничения OSPF в плане политики маршрутизации. BGP же позволяет фильтровать маршруты при входе и выходе практически без ограничений, в зависимости от твоих требований. Возможно, сначала можно будет обойтись настройкой OSPF, но со временем наступит момент, когда потребуется гибкость BGP для решения более сложных задач, с которыми столкнётся ISP. Конечно, это не единственный путь, просто делюсь опытом, который мы накопили при проектировании и эксплуатации MPLS. Вот наша презентация с MUM 2013 по построению провайдерского ядра на OSPF/BGP: http://mum.mikrotik.com/presentations/US13/kevin.pdf
При этом можно использовать OSPF только на участках PE/CE, если хочешь, но обычно мы применяем BGP при проектировании сетей провайдеров. Вот обзор: https://learningnetwork.cisco.com/docs/DOC-10782

dallas Guest	#8 0 31.07.2014 15:29:00 Из того, что я узнал, нельзя применить /router filter к суммарному маршруту. Можно фильтровать только внешние маршруты.

dallas

Guest

31.07.2014 16:17:00

Я могу попытаться помочь. Для сетей размером /24 и меньше используйте команду:
/routing filter add action=discard chain=ospf-out prefix=10.xx.xx.0/24 prefix-length=24-32
Для сетей /32 только:
/routing filter add action=discard chain=ospf-out prefix=10.xx.xx.1/32 prefix-length=32
Посмотрите в /routing ospf lsa pr, какие сети вы хотите заблокировать и в каком состоянии их видит OSPF.
dallas

dperowne Guest	#10 0 31.07.2014 16:31:00 Если ospf-in и ospf-out настроены в обеих зонах, как тогда происходит их различие? Я хочу, чтобы сети анонсировались только в своих VLAN зонах, но не пересекались между собой…?

dallas Guest	#11 0 31.07.2014 16:53:00 У меня нет ответа на это. Может, мне нужно больше узнать про вашу сеть. Может, сделаете скриншот того, что у вас есть? В своей сети я не использую VLAN. Сейчас перехожу на классную MPLS-схему. Dallas

dperowne

Guest

#12

01.08.2014 08:01:00

Всё именно так, как я нарисовал выше. Два CCR напрямую подключены к двум VLAN, которые идут по одной и той же линии, но каждый VLAN находится в своей сети. Сейчас таблицы маршрутизации видят перераспределённые маршруты для обеих областей через оба VLAN, но я хочу рекламировать соседние маршруты каждой области только в её собственном VLAN, поскольку это разные сети.

dallas Guest	#13 0 01.08.2014 13:41:00 Я не знаю всех твоих потребностей, но могу попробовать помочь. Загляни в свои /rout ospf маршруты. Найди там маршруты VLAN. Посмотри их состояние. Как они обозначены? Если это не внешние маршруты, их можно отфильтровать. Но можно не использовать redistribute-connected, чтобы OSPF их не видел, и, возможно, ты сможешь зайти в /rout ospf netw и указать нужные сети там. Не указывай одну из VLAN там, так, для эксперимента. Dallas

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры