OSPF ルートを抑制する方法
Resolution
概要
OSPF 近傍から学習されているルートをより詳細に制御する必要があり、それらを選択的に抑制できる場合があります。このドキュメントでは、OSPF 隣接ピアまたは自律システム (AS) 内で学習されたルートを抑制する方法について説明します。
詳細
今のように区域間のルートだけ抑制することができる。同じ領域内で学習したルートの抑制はサポートされていません。
手順
以下の手順に従って、エリア間ルートを抑制します。
- [ネットワーク] > [仮想ルーター] で適切な仮想ルーター構成を開きます。
- [OSPF] > [エリア] タブに移動します。
- 適切な領域を選択し、[範囲] タブに移動します。
注:デフォルトでは、パロアルトのネットワークファイアウォールは、すべての OSPF ルートをアドバタイズします (エリア内と地域間の両方)。 - 抑制するネットワークを指定し、アクション値として「抑制」を選択します。
注:ルートの抑制は、常に進入エリアで行われます。
シナリオ例
アップストリームデバイス "A" (エリア 0.0.0.1) = = > (エリア 0.0.0.1) PaloAltoNetworks-ファイアウォール "B" (領域 0.0.0.0) = = > ダウンストリームデバイス "C"。
私たちは、デバイス "A" から学んだルートを、バックボーン領域 (デバイス "C") にアドバタイズされるのを防ぐために、進入エリア (PaloAltoNetworks のエリア 0.0.0.1) でルート抑制を構成する必要があります。
トラブルシューティング
- この抑制は常に ABR 上で実行されるため、ユーザは、通常のエリアルータ (ネットワークをアドバタイズするルータ) と ABRs (ルートが抑制されているルータ) の LSDBs の下を見て、経路が抑制されているかどうかを確認することができます。
広告ルータの下の LSDB は、それが学んだすべてのルートを持ち、現在、そのピアに広告を掲載しています。ABR (およびその背後にあるルーター) の下の LSDB は、抑制されたルートに関するルーティング情報を持っていません。
> ルーティングプロトコル ospf
lsdb を表示する - ルートの抑制は順番に直接処理されず、最大のスーパーネット (最小ビット数) は常に優先順位をとります。次のような範囲の構成がある場合、下のプレフィックスは、上から下への最初のアクションであるにもかかわらず、"アドバタイズ" アクションを抑制します。
- 10.9.32.0/21 広告
- 10.9.0.0/16 抑制
10.9.0.0/16 抑制-このエントリは、10.9.32.0/21 の範囲 10.9.0.0/16 は 10.9.32.0/21 を包含するので、アドバタイズされてから防ぐことができます。そのため、10.9.32.0/21 が取って代わられ、抑制する作用を有する。
アドバタイズされるネットワークと同じまたは小さいサブネットを持つルートを抑制することはできません。たとえば、パロアルトネットワークデバイスが 10.9.32.0/21 をアドバタイズしている場合、10.9.32.0/21 (または 10.9.32.0/22、/23、/24、/25 など) を抑制することはできません。ただし、より大きなサブネット (10.9.32.0/20 または 10.9.32.0/19、/18、/17 など) を抑制できます。
所有者: kprakash