OSPF 路由抑制地址范围是否包括默认路由?

OSPF 路由抑制地址范围是否包括默认路由?

30928
Created On 09/25/18 19:43 PM - Last Modified 06/02/23 19:18 PM


Resolution


问题

用户使用默认的路由 0.0. 0.0/0, 以禁止将从一个区域中学到的所有路由 (对于这个场景, 它是区域 1) 发送到另一个区域 (0 区)。但是不会发生路由抑制, 并且路由仍然被通告到0区。

 

解决办法

帕洛阿尔托网络设备仅做3类摘要-LSA 概述, 例如, 用户既可以做广告, 也不能抑制区域间路由。接收区域将将 lsa 视为类型为3的摘要-lsa, 其链路状态 id 为汇总的链接状态 id。因此, ABR 上使用的地址范围始终是从接收区域学习的路由的 "IP 地址/掩码" 类型。它不能是默认的路由 0.0. 0.0/0, 默认路由不扮演任何角色的路线抑制或广告。用于路由抑制的地址范围必须始终是包含需要抑制的实际或已学习的 IP 地址的超网地址。

 

"每 rfc 2328, (RFC 使用期限 DoNotAdvertise 并且帕洛阿尔托网络使用期限压制)

 

地址范围列表: OSPF 区域被定义为地址范围列表。它描述地址范围中包含的 IP 地址的集合。请记住, 一个区域有一个配置的地址范围列表, 每个范围由一个 [地址、掩码] 对和一个状态指示组成;广告或 DoNotAdvertise。  大多数情况下, 单个类型为3的摘要-LSA 源于每个范围。当范围的状态指示 DoNotAdvertise 时, 类型3摘要-LSA 被抑制, 并且组件网络仍然隐藏在其他区域中。

 

注意: 路由摘要 (路由抑制或通告) 总是在学习路由的入口区域的 ABR 上配置. 这里入口区域是区域 1, 0.0.0.1。

 

查看以下示例:

防火墙 A (路由器 id 1.1.1.1) 和防火墙 B (路由器 id 2.2.2.2) 属于主干区域0。防火墙 c (路由器 ID 3.3.3.3) 位于1区域, 其中一个接口连接到防火墙 b. 防火墙 b 是一个 ABR, 需要禁止路由 192.168.32.0/24 和 7.7. 7.0/24 学习了从防火墙 C, 而不是广告他们到防火墙 A.

 

非工作方案: 默认路由 0.0. 0.0/0 用于路由抑制.

 

防火墙 B 上用于路由抑制的地址范围为 0.0. 0.0/0 显示如下。下面的截图是从防火墙 B (ABR), 它必须禁止从1区的防火墙 C 中学到的路由。不使用地址范围, 0.0. 0.0/0 被用来压制从1区学到的路线。

Image_1. png

 

现在, 防火墙 A 上的链路状态数据库仍然显示路由 192.168.32.0/24 和 7.7. 7.0/24 播发为类型3摘要-来自 ABR 的 LSA:

 

>> 显示路由协议 ospf lsdb

 

虚拟路由器: 默认值 (id 1)

  ==========

VR 区域 id Orig RTR id LS id LSA 类型序号校验和年龄大小

  1 0.0.0.0 1.1.1.1 1.1.1.1 type-1 (路由器) 0x80000003 0x00004EAF 1163 48

  1 0.0.0.0 2.2.2.2 2.2.2.2 type-1 (路由器) 0x80000003 0x0000CF61 1164 48

  1 0.0.0.0 2.2.2.2 7.7 7.0/24 type-3 (摘要) 0x80000002 0x000094A0 1194 28

  1 0.0.0.0 2.2.2.2 192.168.32.0/24 type-3 (摘要) 0x80000001 0x0000E4D2 674 28

  1 0.0.0.0 2.2.2.2 3.3.3.3 type-4 (摘要) 0x80000002 0x0000F844 1180 28

 

>> 显示路由路径类型 ospf

 

虚拟路由器: 默认值 (id 1)

  ==========

目标 nexthop 公制标志年龄接口下一页-AS

7.7. 7.0/24 10.66.24.31 20 A Oo 3048 ethernet1/3

10.66.24.0/23 0.0.0.0 10 Oi 3048 ethernet1/3

192.168.32.0/24 10.66.24.31 30 A Oo 769 ethernet1/3

 

工作方案:地址范围, 超网地址用于路由抑制.

 

使用包含要压制的路由的超网地址。下面的截图来自防火墙 B, 它必须禁止从1区的防火墙 C 中学习到的路由。超网地址 192.168.32.0/23 用于压制 192.168.32.0/24 和 7.7. 7.0/23 用于压制 7.7. 7.0/24:

Image_2. png

 

现在, 防火墙 A 上的链接状态数据库不显示路由 192.168.32.0/24 和 7.7. 7.0/24:

 

>> 显示路由协议 ospf lsdb

 

虚拟路由器: 默认值 (id 1)

  ==========

VR 区域 id Orig RTR id LS id LSA 类型序号校验和年龄大小

  1 0.0.0.0 1.1.1.1 1.1.1.1 type-1 (路由器) 0x80000004 0x00004CB0 251 48

  1 0.0.0.0 2.2.2.2 2.2.2.2 type-1 (路由器) 0x80000004 0x0000CD62 251 48

  1 0.0.0.0 2.2.2.2 3.3.3.3 type-4 (摘要) 0x80000003 0x0000F645 267 28

 

>> 显示路由路径类型 ospf

 

虚拟路由器: 默认值 (id 1)

  ==========

目标 nexthop 公制标志年龄接口下一页-AS

10.66.24.0/23 0.0.0.0 10 Oi 4003 ethernet1/3

显示的总路线: 1

 

所有者: gchandrasekaran
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClblCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language