OSPF ist ein Link-State-Routing-Protokoll, das primär für schnelle Konvergenz und vollständige Netzwerktransparenz entwickelt wurde. In manchen Szenarien ist es jedoch nötig, Routen selektiv zu filtern, etwa um unerwünschte Pfade nicht weiterzugeben oder den Routing-Table in sensiblen Segmenten zu kontrollieren. OSPF Route Filtering ist möglich, aber die Mechanismen unterscheiden sich deutlich von Distance-Vector-Protokollen wie RIP oder BGP. In diesem Artikel betrachten wir realistische Einsatzmöglichkeiten, Grenzen und Best Practices.
OSPF Route Filtering-Grundlagen
OSPF arbeitet mit LSAs (Link State Advertisements), die die Netzwerkstruktur abbilden. Filtermechanismen wirken nicht auf einzelne Routing-Entscheidungen, sondern beeinflussen, welche LSAs verbreitet oder in die Routing-Tabelle übernommen werden.
Grundprinzipien
- Filtering kann auf Outbound (LSA wird nicht weitergegeben) oder Inbound (LSA wird empfangen, aber nicht installiert) angewendet werden.
- Die Filterung erfolgt in der Regel auf ABRs (Area Border Routers) oder ASBRs (Autonomous System Border Routers).
- OSPF selbst unterstützt keine komplexen Prefix-Lists wie BGP; Filterung ist granular, aber limitiert.
OSPF-Filtering auf ABR
ABRs verbinden OSPF-Areas miteinander und sind die zentrale Stelle, um Summarization und Filterung umzusetzen.
Summarization mit Filter-Effekt
- Eine zusammenfassende Route kann an die andere Area verteilt werden, ohne alle spezifischen Subnetze preiszugeben.
- Beispiel CLI:
router ospf 1
area 1 range 10.1.0.0 255.255.0.0
- Nur die zusammengefasste Route wird an andere Areas angekündigt, detaillierte Subnetze bleiben innerhalb der Area.
Limitationen
- Nur Subnetze innerhalb einer Area können zusammengefasst werden.
- Exakte Filterung einzelner Routen ist auf ABR-Level nur eingeschränkt möglich.
- Eine „Deny“-Liste wie bei BGP existiert nicht.
OSPF-Filtering auf ASBR
ASBRs verbinden OSPF mit externen Routing-Protokollen (BGP, EIGRP, Static). Hier können externe LSAs (Typ-5) gefiltert werden.
Outbound Filtering
- Nur ausgewählte externe Netzwerke werden in OSPF injiziert.
- Beispiel CLI für Cisco:
router ospf 1
distribute-list 10 out
access-list 10 permit 192.168.0.0 0.0.255.255
- LSA vom Typ-5 werden nur für die erlaubten Prefixe generiert.
Inbound Filtering
- Empfangene externe Routen können auf dem ASBR selektiv verworfen werden, bevor sie in die OSPF-Routing-Tabelle übernommen werden.
- Beispiel:
router ospf 1
distribute-list 20 in
access-list 20 deny 10.0.0.0 0.255.255.255
access-list 20 permit any
Interne Area Routen filtern
Im Standard-OSPF ist das Filtern von Intra-Area-Routen praktisch nicht vorgesehen, da jede Router in der Area die vollständige Topologie benötigt. Realistische Ansätze:
Alternativen
- Split-Horizon-artige Trennung durch Area-Design: Stub Areas, Totally Stubby Areas, NSSA.
- Stub Area: Keine externen LSAs werden in die Area propagiert, nur Default-Route.
- NSSA: Externe Routen aus einem ASBR innerhalb der Area können restriktiv verteilt werden.
Praktische Grenzen von OSPF Filtering
- Keine granularen „Deny/Permit“-Listen für einzelne Intra-Area-Routen.
- Filtern einzelner LSAs innerhalb der gleichen Area führt zu inkonsistenter Topologie und Routing-Loops.
- OSPF ist für vollständige Transparenz ausgelegt; umfassende Filterung kann zu Stabilitätsproblemen führen.
- Auf ABR/ASBR-Level sind Filter sinnvoll und stabil einsetzbar.
Best Practices
- Filtern nur auf Area-Grenzen (ABR) oder beim ASBR, nicht innerhalb einer Area.
- Summarization nutzen, um Routing-Tabellen klein zu halten und unerwünschte Details zu verbergen.
- Für komplexe Filteranforderungen externe Protokolle wie BGP einsetzen.
- Stabile Filter implementieren und Änderungen dokumentieren, um Convergence- und Debugging-Probleme zu vermeiden.
Zusammenfassung
OSPF-Route Filtering ist möglich, aber realistisch betrachtet auf Area-Boundaries und ASBRs beschränkt. Innerhalb einer Area sollte auf vollständige Topologie gesetzt werden. Mit Summarization, Stub/NSSA-Areas und selektiver Injektion externer Routen lassen sich die meisten Enterprise-Anforderungen an Routing-Kontrolle und Stabilität abdecken, ohne die fundamentale OSPF-Architektur zu gefährden.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
