ابزار فیلترینگ مسیر در همه پروتکل های مسیریابی وجود دارد و هدف آن فیلتر کردن مسیر است. با فیلتر کردن مسیر شبکه X ارتباط با شبکه X غیر ممکن خواهد شد. فیلترینگ مسیر را با فیلترینگ داده اشتباه نگیریم. در فیلترینگ داده که با ابزارهایی مانند Firewall و Access-List پیاده سازی می شوند،

ترافیک داده هنگام عبور چک می شوند و در صورتی که با سیاست های سازمانی مطابقت نداشته باشد، فیلتر خواهند شد. در فیلترینگ مسیر، هنوز داده ای منتقل نشده است و پروتکل های مسیریابی در روترها در حال یاد دادن مسیرها به یکدیگر هستند که با توجه به سیاست های سازمانی از یاد دادن و یا یاد گرفتن بعضی مسیرها ممانعت می شود تا ارتباط بخشی از اجزاء شبکه به صورت کلی قطع شود و هیچ ارتباطی بین آنها برقرار نشود.

در پروتکل EIGRP هم با این ابزار یعنی ابزار فیلترینگ مسیر آشنا شدیم و یاد گرفتیم که مهمترین ابزار در این پروتکل و همه پروتکل های مسیریابی ابزار distribute-list است. جالب است بدانید که ابزار distribute-list در همه پروتکل های مسیریابی غیر از پروتکل OSPF از مهمترین و اصلی ترین ابزارهای فیلترینگ مسیر محسوب می شود اما در پروتکل OPSF از آنجایی که به جای ارسال مسیر، LSA ارسال می شود که ماهیتی کاملا متفاوت دارد، ابزار distribute-list نمی تواند روی آن کنترل داشته باشد. البته این ابزار در OSPF به صورت محدود قابل بکارگیری است که به چگونگی آن در ادامه خواهیم پرداخت. اما در OSPF غیر از این ابزار، روش های دیگری نیز برای فیلترینگ مسیر وجود دارند که لیست آن در ذیل آمده است و در ادامه به جزئیات آن خواهیم پرداخت:

  • ابزار distribute-list که به صورت محدود در OSPF قابل بکارگیری است.
  • ابزار filter-list که در مرز Area، قابلیت فیلترینگ LSA Type 3 را در دو جهت ورود و خروج دارد.
  • ابزار summarization که قبلا در مورد آن صحبت کردیم، قابل بکارگیری در فیلترینگ نیز هست. البته این ابزار هم در مرز Area (ABR) و هم در مرز AS (ASBR) قابل بکارگیری است.

در ادامه با ارائه مفاهیم و مثالهایی سعی در درک جزئیات هر یک از ابزارهای فوق را خواهیم داشت.

ابزار distribute-list

با این ابزار در پروتکل EIGRP آشنا شدیم و دیدیم که روی هر روتری و در سطح اینترفیس قابلیت فیلترینگ مسیر را در هر دو جهت ورود و خروج خواهیم داشت. این ابزار در همه پروتکل هایی که مسیر ارسال می کنند قابل بکارگیری است اما در OSPF مسیر ارسال نمی گردد و انواع LSA به جای مسیر ارسال و دریافت می گردد که ماهیتی متفاوت دارد و ابزار distribute-list نمی تواند روی آن کنترل داشته باشد. با همه این اوصاف از این ابزار در OSPF صرفا موقع ورود به روترها استفاده می شود. حتما این سوال پیش می آید که چگونه؟ درست است که OSPF در روترها LSA دریافت می کنند و LSA های دریافتی را در دیتابیس قرار می دهند اما بعد از تحلیل دیتابیس توسط پروسه SPF، این مسیر است که به جدول مسیریابی وارد می شود. در صورت بکارگیری ابزار distribute-list در OSPF و در زمان ورود به روتر، LSA در ورود به دیتابیس فیلتر نمی شود بلکه مسیر در حین ورود به جدول مسیریابی کنترل می گردد. بنابراین با بکارگیری این ابزار مشاهده می کنید که عمل فیلترینگ مسیر که مد نظر شماست انجام می شود و مسیر از جدول مسیریابی حذف می شود اما در جدول دیتابیس اطلاعات شبکه مورد نظر وجود دارد و فیلتر نمی گردد که البته معمولا مهم نیست.

به عنوان مثال در شکل زیر می خواهیم روی روتر IOU3 مسیر شبکه 10.0.2.0/24 که مربوط به Area 0 است را فیلتر کنیم.

filtering1

توپولوژی  مربوط به انواع روش های فیلترینگ در OSPF

ابتدا بخشی از خروجی جدول دیتابیس روتر IOU3 که مربوط به شبکه 10.0.2.0/24 را نشان می دهیم. همچنین خروجی جدول مسیریابی روتر IOU3 نشان می دهد که این مسیر در این روتر یاد گرفته شده است.

!!! IOU3

IOU3#sh ip ospf database

!!! بخشی از خروجی حذف شده است

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum

10.0.1.0        2.2.2.2         38          0x80000001 0x0024FB

10.0.2.0        2.2.2.2         28          0x80000001 0x0023FA

!!! بخشی از خروجی حذف شده است

IOU3#sh ip route 10.0.2.0

Routing entry for 10.0.2.0/24

  Known via "ospf 1", distance 110, metric 21, type inter area

  Last update from 10.1.1.1 on Ethernet0/0, 00:02:15 ago

  Routing Descriptor Blocks:

  * 10.1.1.1, from 2.2.2.2, 00:02:15 ago, via Ethernet0/0

      Route metric is 21, traffic share count is 1

 

مشاهده خروجی دیتابیس و جدول مسیریابی روتر IOU3 قبل از انجام هر گونه عمل فیلترینگ

در گام بعدی قصد داریم مسیر 10.0.2.0/24 را در روتر IOU3 فیلتر کنیم. برای اینکار از ابزار distribute-list استفاده می کنیم که چگونگی بکارگیری آن در ذیل آمده است. ابتدا prefix-list به نام N-10-0-2 نوشته شده است که در آن شبکه 10.0.20/24 فیلتر و بقیه شبکه ها permit می شوند. سپس در ابزار distribute-list که در محیط router ospf نوشته شده است، prefix-list مورد نظر را در جهت ورود به اینترفیس Ethernet0/0 فرا می خوانیم.

بعد از اعمال فیلترینگ مجددا جدول دیتابیس و جدول مسیریابی را مورد بررسی قرار دادیم و مشاهده کردیم که شبکه مورد نظر از جدول مسیریابی حذف شده است اما همچنان در جدول مسیریابی وجود دارد.

!!! IOU3

ip prefix-list N-10-0-2 seq 5 deny 10.0.2.0/24

ip prefix-list N-10-0-2 seq 10 permit 0.0.0.0/0 le 32

!

router ospf 1

 distribute-list prefix N-10-0-2 in Ethernet0/0

!

IOU3#sh ip route 10.0.2.0

% Subnet not in table

!

IOU3#sh ip ospf database

!!! بخشی از خروجی حذف شده است

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum

10.0.1.0        2.2.2.2         38          0x80000001 0x0024FB

10.0.2.0        2.2.2.2         28          0x80000001 0x0023FA

!!! بخشی از خروجی حذف شده است

پیاده سازی فیلترینگ با ابزار distribute-list

برای فیلترینگ مسیر، ابزار distribute-list به همراه route-map نیز قابل بکارگیری است که البته پیشنهاد نمی شود. بدین دلیل که ابزار route-map ابزار پیشرفته ای است که بکارگیری آن صرفا به جهت فلیترینگ پیاده سازی را پیچیده می کند بدون آنکه ارزش افزوده ای اضافه نماید. لذا پیشنهاد می شود اگر صرفا قصد دارد فیلترینگ انجام دهید از ابزار route-map استفاده نکنید. در فصل rdistribution و مباحث پیشرفته مسیریابی حتما در مورد route-map به تفصیل صحبت خواهیم نمود. با این وجود در ذیل چگونگی پیاده سازی فیلترینگ مسیر با دو ابزار distribute-list و route-map نشان داده شده است.

!!! IOU3

IOU3#sh ip ospf database

!!! بخشی از خروجی حذف شده است

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum

10.0.1.0        2.2.2.2         38          0x80000001 0x0024FB

10.0.2.0        2.2.2.2         28          0x80000001 0x0023FA

!!! بخشی از خروجی حذف شده است

IOU3#sh ip route 10.0.2.0

Routing entry for 10.0.2.0/24

  Known via "ospf 1", distance 110, metric 21, type inter area

  Last update from 10.1.1.1 on Ethernet0/0, 00:02:15 ago

  Routing Descriptor Blocks:

  * 10.1.1.1, from 2.2.2.2, 00:02:15 ago, via Ethernet0/0

      Route metric is 21, traffic share count is 1

 

مشاهده خروجی دیتابیس و جدول مسیریابی روتر IOU3 قبل از انجام هر گونه عمل فیلترینگ

در گام بعدی قصد داریم مسیر 10.0.2.0/24 را در روتر IOU3 فیلتر کنیم. برای اینکار از ابزار distribute-list استفاده می کنیم که چگونگی بکارگیری آن در ذیل آمده است. ابتدا prefix-list به نام N-10-0-2 نوشته شده است که در آن شبکه 10.0.20/24 فیلتر و بقیه شبکه ها permit می شوند. سپس در ابزار distribute-list که در محیط router ospf نوشته شده است، prefix-list مورد نظر را در جهت ورود به اینترفیس Ethernet0/0 فرا می خوانیم.

بعد از اعمال فیلترینگ مجددا جدول دیتابیس و جدول مسیریابی را مورد بررسی قرار دادیم و مشاهده کردیم که شبکه مورد نظر از جدول مسیریابی حذف شده است اما همچنان در جدول مسیریابی وجود دارد.

!!! IOU3

access-list 1 permit 10.0.2.0 0.0.0.255

!

route-map FILTER deny 10

 match ip address 1

route-map FILTER permit 20

!

router ospf 1

  distribute-list route-map FILTER in

!

پیاده سازی فیلترینگ با ابزار distribute-list و route-map

4-14-2- ابزار filter-list

این ابزار مهمترین ابزار فیلترینگ در OSPF است و این ابزار خود LSA را فیلتر می کند. اما محدودیت بزرگی دارد و آن اینکه صرفا در روترهای مرزی می توان از این ابزار استفاده کرد و فقط LSA Type 3 را می توان با آن فیلتر نمود. این ابزار در هر دو جهت ورود و خروج قابل استفاده است. در شکل بالا وقتی موقع ورود به Area 0 فیلترینگ انجام دهیم، بدین معنی است که از ورود LSA Type 3 از Area 1 به Area 0 جلوگیری نماییم و وقتی از این ابزار موقع خروج از Area 0 استفاده کنیم، بدین معنی است که از خروج LSA Type 3 از Area 0 به Area 1 ممانعت می کنیم.

در توپولوژی فوق قصد داریم از خروج شبکه 10.0.2.0/24 از Area 0 به Area 1 و همچنین از خروج 10.1.2.0/24 از Area 1 به Area 0 جلوگیری نماییم. برای اینکار از ابزار filter-list در Area 0 و در دو جهت ورود و خروج در روتر مرزی استفاده می کنیم. در ذیل چگونگی پیاده سازی فیلترینگ با ابزار filter-list نشان داده شده است. همچنین نشان داده شده است که مسیرهای فیلتر شده از جدول مسیریابی حذف شده اند اما بدانید که قبل از آن LSA مربوطه نیز از جدول دیتابیس حذف شده است.

!!! کنترل LSA از Area 0 به Area 1

!!! ABR

ip prefix-list AREA-0-TO-1 seq 5 deny 10.0.2.0/24

ip prefix-list AREA-0-TO-1 seq 10 permit 0.0.0.0/0 le 32

!

router ospf 1

 area 0 filter-list prefix AREA-0-TO-1 out

!

!!! IOU3

IOU3#sh ip route 10.0.2.0

% Subnet not in table

!!! کنترل LSA از Area 1 به Area 0

!

!!! ABR

ip prefix-list AREA-1-TO-0 seq 5 deny 10.1.2.0/24

ip prefix-list AREA-1-TO-0 seq 10 permit 0.0.0.0/0 le 32

!
router ospf 1

 area 0 filter-list prefix AREA-1-TO-0 in

!

!!! ASBR

ASBR#sh ip route 10.1.2.0

% Subnet not in table

فیلترینگ LSA Type 3 با استفاده از ابزار filter-list

چنانچه از ابزار filter-list در ASBR استفاده کنید هیچگونه فیلترینگی اتفاق نمی افتد زیرا در ASBR، انواع LSA Type 5 و LSA Type 7 ارسال می گردد که توسط این ابزار کنترل نمی گردد

4-14-3- ابزار Summarization

استفاده از ابزار Summarization برای کنترل انواع LSA کمی عجیب است زیرا همانطور که از نام آن پیداست هدف این ابزار خلاصه سازی آدرس است. اما ابزار summarization در ABR که از دستور range استفاده می کند و همچنین ابزار summarization در ASBR که از دستور summary-address استفاده می کند، هر دو ابزار پارامتری به نام no-advertise دارند که از آن می توان برای فیلتر کردن LSA Type 3 و LSA Type 5 استفاده کرد.

بدیهی است که استفاده از این ابزار برای استفاده همزمان از دو کاربرد خلاصه سازی و فیلترینگ نه منطقی است و نه امکان پذیر می باشد. در ذیل چگونگی بکارگیری این دو ابزار در فیلترینک LSA Type 3 و LSA Type 5 نشان داده شده است. در روتر ASBR از ورود 12.1.1.0/24 که از نوع LSA Type 5 است، جلوگیری می شود. در روتر ABR هم از ورود آدرس 12.0.2.0/24 به Area 1 جلوگیری می شود.

پیشنهاد می شود برای فیلترینگ LSA Type 3 از روش filter-list استفاده کنید اما برای فیلتر کردن LSA Type 5 به این دلیل که ابزار دیگری وجود ندارد، می توانید از این ابزار استفاده نمایید.

!!! مشاهده دیتابیس مربوط به LSA Type 5 در روتر IOU3 قبل از هر گونه فیلترینگ

!!! IOU3

IOU3#sh ip ospf database | begin Type-5

                Type-5 AS External Link States

Link ID         ADV Router      Age         Seq#       Checksum Tag

12.1.1.0        1.1.1.1         1409        0x80000004 0x00107B 0

!

!!! مشاهده دیتابیس مربوط به LSA Type 3 در روتر IOU3 قبل از هر گونه فیلترینگ

IOU3#show ip ospf database | begin Summary Net Link

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum

10.0.1.0        2.2.2.2         1745        0x80000002 0x0022FC

10.0.2.0        2.2.2.2         416         0x80000001 0x0023FA

!

!!! در ذیل چگونگی فیلتر کردن LSA Type 5 در ASBR نشان داده شده است

!!! ASBR

router ospf 1

 summary-address 12.1.1.0 255.255.255.0 not-advertise

!

!!! در ذیل چگونگی فیلتر کردن LSA Type 3 در ABR نشان داده شده است

!!! ABR

router ospf 1

 area 0 range 10.0.2.0 255.255.255.0 not-advertise

!

!!! بعد از انجام فیلترینگ مجددا دیتابیس IOU3 نشان داده شده است. در خروجی دیتابیس آدرس 12.1.1.0/24 که از نوع LSA Type 5 است و آدرس 10.0.2.0/24 که از نوع LSA Type 3 است، دیده نمی شود

!

IOU3#sh ip ospf database | begin Type-5

 

!

IOU3#show ip ospf database | begin Summary Net Link

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum

10.0.1.0        2.2.2.2         85          0x80000003 0x0020FD

فیلترینگ LSA Type 3 و LSA Type 5 با ابزار Summarization

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید