OSPF ルート抑制アドレス範囲に既定のルートを含めることはできますか。

問題

ユーザーは、既定のルート 0.0.0.0/0 を使用して、ある領域 (このシナリオでは領域 1) から別の領域 (領域 0) に送信されるすべてのルートを抑制します。しかし、ルートの抑制は発生せず、ルートはまだエリア0にアドバタイズされます。

解決方法

パロ・アルト・ネットワーク・デバイスは、タイプ3要約-LSA 要約を単にします、例えば、ユーザーは、地域間ルートだけを宣伝するかまたは抑制することができます。受信領域には、lsa が、リンク状態 id を持つ3種類の概要-lsa として表示され、リンク状態 id がまとめられています。したがって、ABR で使用されるアドレス範囲は、受信領域から学んだルートの「IP アドレス/マスク」というタイプのものです。既定のルート 0.0.0.0/0 にすることはできませんし、既定のルートはルートの抑制または提供情報を持つ役割を果たしません。ルートの抑制に使用されるアドレス範囲は、常に、抑制する必要がある実際の IP アドレスまたは学習したスーパーネットアドレスを含んでいる必要があります。

"rfc 2328 ごとに、(rfc は用語 DoNotAdvertise を使用し、パロアルトネットワークは、用語の抑制を使用しています)

アドレス範囲のリスト: OSPF 領域はアドレス範囲のリストとして定義されます。アドレス範囲に含まれる IP アドレスのコレクションについて説明します。領域には、アドレス範囲の構成済みリストがあり、各範囲に [アドレス]、[マスク] ペア、およびステータス表示のいずれかが含まれていることに注意してください。広告または DoNotAdvertise。  最大で、1つのタイプ3の概要-LSA は、各範囲に対して発生します。範囲のステータスが DoNotAdvertise を示している場合、タイプ3の概要-LSA は抑制され、コンポーネントネットワークは他の領域から隠されたままになります。

注: ルートの要約 (ルートの抑制または広告) は、ルートが学習される進入エリアの ABR で常に構成されています。ここに入口区域は区域1、0.0.0.1 である。

次の例を確認します。

ファイアウォール a (ルーター id 1.1.1.1) とファイアウォール B (ルーター id 2.2.2.2) は、バックボーン領域0に属しています。ファイアウォール c (ルーター ID 3.3.3.3) は、ファイアウォール b に接続されたインターフェイスの1つを持つ領域1にあり、ファイアウォール b は、firewall c からのルート 192.168.32.0/24 および 7.7.7.0/24 の学習を抑制する必要があり、ファイアウォールにアドバタイズしない ABR です。

非稼働シナリオ: ルートの抑制に既定のルート 0.0.0.0/0 が使用されます。

ファイアウォール B のルート抑制に使用されるアドレス範囲は、次のように 0.0.0.0/0 です。次のスクリーンショットは、ファイアウォール B からのもので、領域1のファイアウォール C から学んだ経路を抑制しなければならない ABR です。アドレス範囲を使用するのではなく、0.0.0.0/0 を使用して、領域1から学習したルートを抑制します。

今、ファイアウォール上のリンク状態のデータベースはまだルート 192.168.32.0/24 と 7.7.7.0/24 のタイプ3の概要としてアドバタイズを示します-は、ABR から LSA:

> ルーティング プロトコル ospf lsdb を表示

仮想ルーター: デフォルト (id 1)

  ==========

VR 領域 id RTR id LS id LSA 型配列番号チェックサム年齢サイズ

  1 0.0.0.0 1.1.1.1 1.1.1.1 タイプ 1 (ルーター) 0x80000003 0x00004EAF 1163 48

  1 0.0.0.0 2.2.2.2 2.2.2.2 タイプ 1 (ルーター) 0x80000003 0x0000CF61 1164 48

  1 0.0.0.0 2.2.2.2 7.7.7.0/24 タイプ-3 (概要) 0x80000002 0x000094A0 1194 28

  1 0.0.0.0 2.2.2.2 192.168.32.0/24 タイプ-3 (概要) 0x80000001 0x0000E4D2 674 28

  1 0.0.0.0 2.2.2.2 3.3.3.3 タイプ 4 (要約) 0x80000002 0x0000F844 1180 28

> ルーティングルートタイプ ospf を表示

仮想ルーター: デフォルト (id 1)

  ==========

宛先 nexthop メトリックフラグ年齢インターフェイス次のように

7.7.7.0/24 10.66.24.31 20 A Oo 3048 ethernet1/3

10.66.24.0/23 0.0.0.0 10 大井 3048 ethernet1/3

192.168.32.0/24 10.66.24.31 30 A Oo 769 ethernet1/3

作業シナリオ:アドレス範囲、スーパーネットアドレスはルートの抑制に使用されます。

抑制するルートを含むスーパーネットアドレスを使用します。次のスクリーンショットは、ファイアウォール B から、エリア1のファイアウォール C から学んだルートを抑制することです。スーパーネットアドレス 192.168.32.0/23 は、192.168.32.0/24 および 7.7.7.0/23 を抑制するために用いられ、7.7.7.0/24 を抑制するために用いられる。

ここで、ファイアウォール A のリンク状態データベースは、ルート 192.168.32.0/24 および 7.7.7.0/24 を表示しません。

> ルーティング プロトコル ospf lsdb を表示

仮想ルーター: デフォルト (id 1)

  ==========

VR 領域 id RTR id LS id LSA 型配列番号チェックサム年齢サイズ

  1 0.0.0.0 1.1.1.1 1.1.1.1 タイプ 1 (ルーター) は 0x80000004 0x00004CB0 251 48

  1 0.0.0.0 2.2.2.2 2.2.2.2 タイプ 1 (ルーター) は 0x80000004 0x0000CD62 251 48

  1 0.0.0.0 2.2.2.2 3.3.3.3 タイプ 4 (要約) 0x80000003 0x0000F645 267 28

> ルーティングルートタイプ ospf を表示

仮想ルーター: デフォルト (id 1)

  ==========

宛先 nexthop メトリックフラグ年齢インターフェイス次のように

10.66.24.0/23 0.0.0.0 10 大井 4003 ethernet1/3

合計ルートが表示されます: 1

所有者: gchandrasekaran