OSPF (Quagga) 复杂网络设置查询

网络工程 ospf 斑驴
2022-03-02 02:31:21

我目前在设置需要帮助的网络基础架构时遇到了一些问题。我的网络基础设施是:

                                                              ____ ____________
                                                             |    |10.4.0.0/24
             _________________                     __________|Sys1|____________
            |                 |                    | 10.0.8.1|____|10.8.0.0/24
            |      Main       |                    |          ____ ____________
vpn_clients_|  Network router |_system_connections_|_________|    |10.4.1.0/24  
10.0.4.0/22 |                 |   10.0.8.0/22      | 10.0.8.2|Sys2|____________
            |                 |                    |         |____|10.8.1.0/24 
            |_________________|                    |
                                                   |_________ ...
                                                    10.0.8.x

我希望 10.0.4.0/22 甚至 10.0.8.0/22 网络中的任何人都可以访问 10.4.xy 或 10.8.ab 网络中的任何一个,但要阻止下游设备之间的通信(例如 10.8.1.3 与 10.4.0.2 通话)

这在 OSPF 中有可能吗?如果是这样,如果有人能告诉我绳索,我将不胜感激。

干杯!

2个回答

OSPF可以在这里工作。我对 Quagga 不熟悉,但在标准设置中,您可以将每个接口放在同一区域,并在 Sys1 和 Sys2 上使用导入策略以防止它们学习彼此的下游(请注意,您不能使用 OSPF 设置导出策略),或者将每个 Sys 放在一个单独的区域中:所有区域都将出现在主路由器上,但​​每个 Sys 设备上只有一个区域。第二种方法可能是首选。

  • 路由器上的 10.0.4.0/22 区域 0 被动
  • 路由器上的 10.0.4.0/22 区域 1 被动
  • 10.0.8.0/22 区域 0 在路由器和每个系统上处于活动状态
  • 10.0.8.0/22 区域 1 在路由器和每个系统上处于活动状态
  • 10.x.0.0/24 区域 0 仅在 Sys1 上被动
  • 仅 Sys2 上的 10.x.1.0/24 区域 1 被动

防火墙过滤器并将所有内容放在一个区域中会容易得多。如果您必须在此处使用路由协议,BGP 可能会更好,因为每个邻居的导入和导出策略为您提供了更多控制权,并且您需要在每个 Sys 出现的所有内容上添加一个全新的区域。

您可能希望为此使用 netfilter。使用 iptables 实用程序,您可以轻松地以您描述的方式限制或允许通信。这与您如何执行路由无关。如果仅出于访问控制的目的选择 OSPF,则可以将其替换为静态路由。

其它你可能感兴趣的问题
上一篇基于 Openflow 的 Switch Action 集 下一篇将本地路由添加到 vPC 成员