OSPF でバックボーンを構成している時に、NAT ルータなどから Private IPv4 アドレスが聞こえてくることがあります。
そういった不要な Private IPv4 の prefix をフィルタしたので、その内容をメモに残しておきます。
なお、使用したバージョンは Cisco IOS XE Software [Gibraltar], Version 16.12.04 となります。
今回はバックボーンエリア (area 0.0.0.0) の経路をフィルタ対象としているため、よく area 間の経路をフィルタするために ABR で使われる area filter-list ではなく distribute-list in でフィルタをします。
Private IP address (RFC1918) と ISP Shared Address (RFC6890) をフィルタする config はこの様になりました。
1 2 3 4 5 6 7 8 9 10 11 12 | ip access-list standard OSPF-ingress-drop-v4 10 deny 10.0.0.0 0.255.255.255 20 deny 172.16.0.0 0.15.255.255 30 deny 192.168.0.0 0.0.255.255 40 deny 100.64.0.0 0.63.255.255 50 permit any ! route-map OSPF-ingress-drop-v4 permit 10 match ip address OSPF-ingress-drop-v4 ! router ospf 1 distribute-list route-map OSPF-ingress-drop-v4 in |
これにより経路情報がフィルタリングされるため、ルーティングテーブルへ乗ることが無くなります。
しかし、LSA そのものが消えているわけではなく、フィルタしている経路情報も含めて LSDB は構成されている点には注意してください。
また、OSPF distribute-list の実装変更について – Cisco Community にも書かれているとおり、IOS には OSPF local RIB が実装されていないバージョンもあり、実装版と未実装版において distribute-list における経路評価・計算結果が異なり、routing loop が発生する可能性もありますので、実際に利用される場合には十分注意し、動作検証を実施の上で本番環境へ適用をしてください。
No comment yet, add your voice below!