目录
3)过滤:通过对LSA的过滤,来优化LSDB。(前两种方法之前讲过,这次主要讲过滤)
filter ip-prefix DENY_NET1 export (在出接口过滤)
2.精细化-出接口过滤LSA 5(干掉130.1.3.3,让150.1.3.3通过)
ospf filter-lsa-out ase acl 2000
FA(150.1.1.1)不可达,那么130.1.1.1也就无法到达了
1)删掉type3的过滤:undo filter ip-prefix DENY_NET1 export
2)清除FA地址: nssa suppress-forwarding-address
一、ospf的过滤机制
1.优化LSDB的方法:
1)汇总
2)特殊区域
3)过滤:通过对LSA的过滤,来优化LSDB。(前两种方法之前讲过,这次主要讲过滤)
2.对于LSA3、LSA5和LSA7的过滤来说:
1-在ospf区域下用filter过滤。
2-在接口下配置ospf的过滤(接口类型为P2MP)
二、LSA3 的过滤(type 3的过滤)
1.拓扑图及实验环境
邻居建立成功
在R3上能看到1.1的路由
2.具体操作(filter)-配置位置ABR
因为R3上的1.1路由是由ABR(R2)产生、传过来的,所以在这里我们利用路由策略拒绝type 3的150.1.1.1
***注意:这里用的过滤工具是filter(专业过滤LSA 3)不是filter-policyfilter ip-prefix DENY_NET1 export (在出接口过滤)
ASBR上配置 # ip ip-prefix DENY_NET1 index 10 deny 150.1.1.1 32 ip ip-prefix DENY_NET1 index 20 permit 0.0.0.0 0 less-equal 32 # ospf 1 area 0.0.0.1 filter ip-prefix DENY_NET1 export #
在R2(ABR)上查看自身产生的type 3的LSA
发现:没有150.1.1.1,说明没有产生1.1的3类LSA。
三、LSA5 的过滤(type 5的过滤)
1.拓扑图
将150.1.3.3和130.1.3.3的直连路由引入进来,使之在ospf里成为type 5的路由
老样子运用路由策略抓取引入
# ip ip-prefix NET3 index 10 permit 0.0.0.0 0 greater-equal 32 less-equal 32 # route-policy DIR->OSPF permit node 10 # ospf 1 router-id 150.1.3.3 import-route direct route-policy DIR->OSPF area 0.0.0.0 #
引入之后,能在R2上看到150和130的两条3.3的外部路由
2.精细化-出接口过滤LSA 5(干掉130.1.3.3,让150.1.3.3通过)
ospf filter-lsa-out ase acl 2000
R2和R3相连的链路接口,网络类型改为P2MP
做实验之前,把上一个过滤LSA3的命令清除
# acl number 2000 rule 5 permit source 150.1.3.3 0 # interface GigabitEthernet0/0/1 ip address 155.1.23.3 255.255.255.0 ospf network-type p2mp ospf filter-lsa-out ase acl 2000 ospf enable 1 area 0.0.0.0 #
由于这里模拟器这个ensp有问题,没有出现实验效果,但是配置是对的(不用纠结了)
3. 粗暴过滤LSA 5(一刀切全干)
ospf filter-lsa-out all
这里模拟器也抽风。。没有实验效果
4.OSPF过滤的坑(FA不能干掉)
引入直连130.1.1.1/32,将area1改为NSSA区域(R1和R2都配置)
# ip ip-prefix NET1 index 10 permit 130.1.1.1 32 # route-policy DIR->OSPF permit node 10 # ospf 1 router-id 150.1.1.1 import-route direct route-policy DIR->OSPF area 0.0.0.1 #
R3的ospf路由表没有130.1.1.1的路由,但是lsdb里却有130的LSA
因为在nssa区域里有个特性是FA(指定转发地址)
在ABR将7类转换为3类通告时,携带了这个FA的特性,到了R3时,去往130.1.1.1这条路由,需要从转发地址走,于是我们查看lsdb
发现FA是:150.1.1.1
但是由于第一个type 3的过滤实验里,我们把150.1.1.1给过滤掉了,所以导致
FA(150.1.1.1)不可达,那么130.1.1.1也就无法到达了
故:看不到这条路由了
解决办法:
1)删掉type3的过滤:undo filter ip-prefix DENY_NET1 export
2)清除FA地址: nssa suppress-forwarding-address
在R3上查看ospf路由
四、isis过滤
将150.1.3.3/32这条路由渗透进level-2里
配置位置:level1-2(R2)
# ip ip-prefix NET150 permit 150.1.3.3 32 # isis 1 network-entity 49.0001.0000.0000.0002.00 import-route isis level-2 into level-1 filter-policy ip-prefix NET150 #
在R2上查看isis路由表
发现:能看到130.1.3.3和150.1.3.3的路由
R1上查看isis路由表
发现:由于渗透,生成一条缺省,和一条130,没有150
**小总结
filter-policy在协议内部用的比较多(协议内),过滤没有特定的方向性
route-policy引入时用的较多(协议间)