如何抑制 OSPF 路由

如何抑制 OSPF 路由

46915
Created On 09/25/18 19:20 PM - Last Modified 12/16/19 21:55 PM


Resolution


概述

有些情况下, 需要对从 OSPF 邻居那里学习的路由进行更多的控制, 并且能够选择性地抑制它们。本文档介绍如何禁止从 OSPF 相邻对等方或在自治系统内学习的路由 (AS)。

详细

到目前为止, 只有区域间航线可以被压制。不支持禁止在同一区域内学习的路线。

步骤

按照以下步骤取消区域间路由:

  1. 在网络 > 虚拟路由器上打开适当的虚拟路由器配置
  2. 转到 "OSPF" 区域选项卡
  3. 选择适当的区域并转到 "区域" 选项卡.
    range-4。jpg
    注意:默认情况下, 帕洛阿尔托网络防火墙会公布所有 OSPF 路由 (包括区域内和区域间).
  4. 指定要取消的网络, 并选择 "取消" 作为操作值。
    注意:路径抑制总是在入口区域进行.
    range-6。jpg

示例方案

上游设备 "A" (区域 0.0.0.1) === (区域 0.0.0.1) PaloAltoNetworks-防火墙 "B" (区域 0.0. 0.0) == 下游设备 "C"。

我们需要在入口区域 (PaloAltoNetworks 防火墙上的区域 0.0.0.1) 上配置路由抑制, 以防止从设备 "A" 中吸取的路由, 从加以公布到主干区域 (到设备 "C")。

疑难解答

  1. 由于始终在 ABR 上执行抑制, 用户可以通过查看正常区域路由器 (通告网络的路由器) 和 ABRs (路由被压制的路由器) 下的 LSDBs 来验证路由是否被抑制。

    广告路由器下的 LSDB 将拥有它所学到的所有路线, 目前正在向其同行做广告. 在 ABR (以及它后面的路由器) 下的 LSDB 将不会有关于隐含路由的路由信息。
    >> 显示路由协议 ospf lsdb

  2. 路由抑制不是按顺序直接处理的, 最大的超网 (最小位数) 始终优先。如果您的范围配置如下所示, 则底部前缀将禁止 "播发" 操作, 即使它是从上到下的第一个操作:
    1. 10.9. 32.0/21 广告
    2. 10.9. 0.0/16 压制

10.9. 0.0/16 禁止-此项将防止 10.9. 32.0/21 自范围 10.9. 0.0/16 包含 10.9. 32.0/21。因此, 10.9. 32.0/21 被取代, 并有镇压行动。

  1. 不能抑制具有等于或小于所通告网络的子网的路由。例如, 如果帕洛阿尔托网络设备是广告 10.9. 32.0/21, 然后 10.9. 32.0/21 (或 10.9/32.0,/22,/23,/24 等) 不能被压制。但是, 可以抑制较大的子网 (例如, 10.9、32.0/20 或 10.9. 32.0/19、/18、17等)。

所有者: kprakash
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVlCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language