Как можно сделать фильтрация OSPF  маршрутов!
Есть r01 с двумя подсетями
router ospf 10
area 10 stub
network 10.10.1.1 0.0.0.0 area 10
network 11.10.1.1 0.0.0.0 area 10

И есть r02

router ospf 10
area 10 stub
network 10.10.2.1 0.0.0.0 area 10

Мне надо, чтобы r02 ничего не знал про подсеть r01 11.10.1.1/29
Чтобы я не делал, ничего не помогает
prefix-list, distribute-list, все равно r02 узнает про подсеть r01. Правда при применении distribute-list на исходящий интерфейс в сторону r02, последний вообще перестал видеть какие либо маршруты r01.
Спасибо!

• Фильтрация OSPF маршрутов,Basil, 11:02 , 03-Фев-09
  • Фильтрация OSPF маршрутов,qwer, 11:13 , 03-Фев-09
    • Фильтрация OSPF маршрутов,Basil, 11:20 , 03-Фев-09
      • Фильтрация OSPF маршрутов,qwer, 16:49 , 03-Фев-09
        • Фильтрация OSPF маршрутов,Basil, 17:37 , 03-Фев-09
          • Фильтрация OSPF маршрутов,qwer, 21:28 , 03-Фев-09
            • Фильтрация OSPF маршрутов,Basil, 11:01 , 04-Фев-09
            • Фильтрация OSPF маршрутов,flashdumper, 12:02 , 04-Фев-09
              • Фильтрация OSPF маршрутов,qwer, 14:00 , 04-Фев-09
                • Фильтрация OSPF маршрутов,trianon, 16:20 , 04-Фев-09

>[оверквотинг удален]
>router ospf 10
> area 10 stub
> network 10.10.2.1 0.0.0.0 area 10
>
>Мне надо, чтобы r02 ничего не знал про подсеть r01 11.10.1.1/29
>Чтобы я не делал, ничего не помогает
>prefix-list, distribute-list, все равно r02 узнает про подсеть r01. Правда при применении
>distribute-list на исходящий интерфейс в сторону r02, последний вообще перестал видеть
>какие либо маршруты r01.
>Спасибо!

на принимаемом рутере
conf t
router ospf process_number
distribute-list 1 in
access-list 1 deny 11.10.1.1 0.0.0.248
access-list 1 permit any

>[оверквотинг удален]
>>distribute-list на исходящий интерфейс в сторону r02, последний вообще перестал видеть
>>какие либо маршруты r01.
>>Спасибо!
>
>на принимаемом рутере
>conf t
>router ospf process_number
>distribute-list 1 in
>access-list 1 deny 11.10.1.1 0.0.0.248
>access-list 1 permit any

Спасибо, сам как то не догадался что надо все остальное в аксес листе разрешить, видимо уже притормаживаю. Все правильно, только единственное в аксес листе инверсная маска не такая, надо
access-list 1 deny 11.10.1.1 0.0.0.7  - это равносильно сети 11.10.1.0/29
access-list 1 permit any

А так все заработало, спасибо большое!!!!!

>[оверквотинг удален]
>>access-list 1 deny 11.10.1.1 0.0.0.248
>>access-list 1 permit any
>
>Спасибо, сам как то не догадался что надо все остальное в аксес
>листе разрешить, видимо уже притормаживаю. Все правильно, только единственное в аксес
>листе инверсная маска не такая, надо
>access-list 1 deny 11.10.1.1 0.0.0.7  - это равносильно сети 11.10.1.0/29
>access-list 1 permit any
>
>А так все заработало, спасибо большое!!!!!

Угу.. это я с ospf не переключился :)

Ещё раз побеспокою, в общем как выяснилось, данная конфигурация мне не поможет, так как сам r02 ничего не узнает о сети r01, но маршрутизаторы стоящие за r02 будут о ней знать, соответсвенно маршрут будут они делать через r02. а мне надо, чтобы пакеты бегали через r01.
В общем требуется, чтобы r01 не рассылал LSA о подсети 11.10.1.1 для r02, а рассылал только к другим маршрутизаторам. Если есть другой способ решения проблемы, подскажи пж-та!

>Ещё раз побеспокою, в общем как выяснилось, данная конфигурация мне не поможет,
>так как сам r02 ничего не узнает о сети r01, но
>маршрутизаторы стоящие за r02 будут о ней знать, соответсвенно маршрут будут
>они делать через r02. а мне надо, чтобы пакеты бегали через
>r01.
>В общем требуется, чтобы r01 не рассылал LSA о подсети 11.10.1.1 для
>r02, а рассылал только к другим маршрутизаторам. Если есть другой способ
>решения проблемы, подскажи пж-та!

В OSPF все lsdb всех маршрутизаторов должны быть синхронизированы.
LSA распространяется всем маршрутизаторам в сети (как ты представляешь зафильтровать lsa в броадкаст среде).

>[оверквотинг удален]
>>маршрутизаторы стоящие за r02 будут о ней знать, соответсвенно маршрут будут
>>они делать через r02. а мне надо, чтобы пакеты бегали через
>>r01.
>>В общем требуется, чтобы r01 не рассылал LSA о подсети 11.10.1.1 для
>>r02, а рассылал только к другим маршрутизаторам. Если есть другой способ
>>решения проблемы, подскажи пж-та!
>
>В OSPF все lsdb всех маршрутизаторов должны быть синхронизированы.
>LSA распространяется всем маршрутизаторам в сети (как ты представляешь зафильтровать lsa в
>броадкаст среде).

На самом деле проблема глобальнее. В филиале есть маршрутизатор Cisco 1841+Hwic-1G.SHDSL, который в контексте r01, и есть коммутатор Cisco 3750 - r02. Через маршрутизатор сделан канал связи до головного офиса через IP/MPLS туннелированием GRE. А к коммутатору подключен оптический линк SFP (GLC-LH-SM). Все работает на ура, и вроде как при падении оптики есть резервный канал связи, только есть небольшая проблема. К маршрутизатору 1841 подключены некотрые рабочие станции, которые мне необходимо посылать по каналу SHDSL, так как там идет VPN tunnel. А все остальные станции работают через коммутатор, который напрямую соединен с основным выч. центром.
Вся задача состоит в том, чтобы подсеть 11.10.1.0/29 послать через IP/MPLS, а 10.10.1.0.24 через оптику.
В данном случае, если бы r02 ничего бы не знал о сети 11.10.1.0/29 и не было бы никаких маршрутов то было бы все нормально.
Есть, конечно, вариант использовать статические маршруты, но тогда исчезает смысл в резервном вычислительном центре, так как статический маршрут не может определить падение того или иного маршрута.
Что тут можно придумать? Если есть желание помогать, оставь мыло, я могу топологическую схему сбросить!

>[оверквотинг удален]
>Вся задача состоит в том, чтобы подсеть 11.10.1.0/29 послать через IP/MPLS, а
>10.10.1.0.24 через оптику.
>В данном случае, если бы r02 ничего бы не знал о сети
>11.10.1.0/29 и не было бы никаких маршрутов то было бы все
>нормально.
>Есть, конечно, вариант использовать статические маршруты, но тогда исчезает смысл в резервном
>вычислительном центре, так как статический маршрут не может определить падение того
>или иного маршрута.
>Что тут можно придумать? Если есть желание помогать, оставь мыло, я могу
>топологическую схему сбросить!

Можно скинуть на bivanov@inbox.ru

>[оверквотинг удален]
>Вся задача состоит в том, чтобы подсеть 11.10.1.0/29 послать через IP/MPLS, а
>10.10.1.0.24 через оптику.
>В данном случае, если бы r02 ничего бы не знал о сети
>11.10.1.0/29 и не было бы никаких маршрутов то было бы все
>нормально.
>Есть, конечно, вариант использовать статические маршруты, но тогда исчезает смысл в резервном
>вычислительном центре, так как статический маршрут не может определить падение того
>или иного маршрута.
>Что тут можно придумать? Если есть желание помогать, оставь мыло, я могу
>топологическую схему сбросить!

эта.. а че метрики нынче не в ходу!?
max-path и cost в помощь.

Ответ  для flashdumper!
Я пробовал изменением и того и другого. Пакет из филиала идет как надо, то есть по тому маршруту, где стоимость меньше, но обратно возвращается по оптике (так как на обратном пути стоимость по другому каналу будет меньше).
Или может я не то делал?
ставил со стороны r01 -> r02 ip ospf cost 500, также наоборот r02 -> r01 ip ospf cost 500.
Ситуация не изменилась. Насколько мне известно всё порти аппаратный файервол который стоит в основном вычислительном комплексе в разрыв между двумя роуторами.
Так что мне данная реализация не поможет!

>Ответ  для flashdumper!
>Я пробовал изменением и того и другого. Пакет из филиала идет как
>надо, то есть по тому маршруту, где стоимость меньше, но обратно
>возвращается по оптике (так как на обратном пути стоимость по другому
>каналу будет меньше).
>Или может я не то делал?
>ставил со стороны r01 -> r02 ip ospf cost 500, также наоборот r02 -> r01 ip ospf cost 500.
>Ситуация не изменилась. Насколько мне известно всё порти аппаратный файервол который стоит
>в основном вычислительном комплексе в разрыв между двумя роуторами.
>Так что мне данная реализация не поможет!

Дайте топологию Вашу глянуть o.tsypkin <Гав@>gmail.com