OSPF Route Filtering: Was möglich ist – und was nicht (realistisch)

OSPF ist ein Link-State-Routing-Protokoll, das primär für schnelle Konvergenz und vollständige Netzwerktransparenz entwickelt wurde. In manchen Szenarien ist es jedoch nötig, Routen selektiv zu filtern, etwa um unerwünschte Pfade nicht weiterzugeben oder den Routing-Table in sensiblen Segmenten zu kontrollieren. OSPF Route Filtering ist möglich, aber die Mechanismen unterscheiden sich deutlich von Distance-Vector-Protokollen wie RIP oder BGP. In diesem Artikel betrachten wir realistische Einsatzmöglichkeiten, Grenzen und Best Practices.

OSPF Route Filtering-Grundlagen

OSPF arbeitet mit LSAs (Link State Advertisements), die die Netzwerkstruktur abbilden. Filtermechanismen wirken nicht auf einzelne Routing-Entscheidungen, sondern beeinflussen, welche LSAs verbreitet oder in die Routing-Tabelle übernommen werden.

Grundprinzipien

• Filtering kann auf Outbound (LSA wird nicht weitergegeben) oder Inbound (LSA wird empfangen, aber nicht installiert) angewendet werden.
• Die Filterung erfolgt in der Regel auf ABRs (Area Border Routers) oder ASBRs (Autonomous System Border Routers).
• OSPF selbst unterstützt keine komplexen Prefix-Lists wie BGP; Filterung ist granular, aber limitiert.

OSPF-Filtering auf ABR

ABRs verbinden OSPF-Areas miteinander und sind die zentrale Stelle, um Summarization und Filterung umzusetzen.

Summarization mit Filter-Effekt

• Eine zusammenfassende Route kann an die andere Area verteilt werden, ohne alle spezifischen Subnetze preiszugeben.
• Beispiel CLI:

router ospf 1
 area 1 range 10.1.0.0 255.255.0.0

• Nur die zusammengefasste Route wird an andere Areas angekündigt, detaillierte Subnetze bleiben innerhalb der Area.

Limitationen

• Nur Subnetze innerhalb einer Area können zusammengefasst werden.
• Exakte Filterung einzelner Routen ist auf ABR-Level nur eingeschränkt möglich.
• Eine „Deny“-Liste wie bei BGP existiert nicht.

OSPF-Filtering auf ASBR

ASBRs verbinden OSPF mit externen Routing-Protokollen (BGP, EIGRP, Static). Hier können externe LSAs (Typ-5) gefiltert werden.

Outbound Filtering

• Nur ausgewählte externe Netzwerke werden in OSPF injiziert.
• Beispiel CLI für Cisco:

router ospf 1
 distribute-list 10 out
access-list 10 permit 192.168.0.0 0.0.255.255

• LSA vom Typ-5 werden nur für die erlaubten Prefixe generiert.

Inbound Filtering

• Empfangene externe Routen können auf dem ASBR selektiv verworfen werden, bevor sie in die OSPF-Routing-Tabelle übernommen werden.
• Beispiel:

router ospf 1
 distribute-list 20 in
access-list 20 deny 10.0.0.0 0.255.255.255
access-list 20 permit any

Interne Area Routen filtern

Im Standard-OSPF ist das Filtern von Intra-Area-Routen praktisch nicht vorgesehen, da jede Router in der Area die vollständige Topologie benötigt. Realistische Ansätze:

Alternativen

• Split-Horizon-artige Trennung durch Area-Design: Stub Areas, Totally Stubby Areas, NSSA.
• Stub Area: Keine externen LSAs werden in die Area propagiert, nur Default-Route.
• NSSA: Externe Routen aus einem ASBR innerhalb der Area können restriktiv verteilt werden.

Praktische Grenzen von OSPF Filtering

• Keine granularen „Deny/Permit“-Listen für einzelne Intra-Area-Routen.
• Filtern einzelner LSAs innerhalb der gleichen Area führt zu inkonsistenter Topologie und Routing-Loops.
• OSPF ist für vollständige Transparenz ausgelegt; umfassende Filterung kann zu Stabilitätsproblemen führen.
• Auf ABR/ASBR-Level sind Filter sinnvoll und stabil einsetzbar.

Best Practices

• Filtern nur auf Area-Grenzen (ABR) oder beim ASBR, nicht innerhalb einer Area.
• Summarization nutzen, um Routing-Tabellen klein zu halten und unerwünschte Details zu verbergen.
• Für komplexe Filteranforderungen externe Protokolle wie BGP einsetzen.
• Stabile Filter implementieren und Änderungen dokumentieren, um Convergence- und Debugging-Probleme zu vermeiden.

Zusammenfassung

OSPF-Route Filtering ist möglich, aber realistisch betrachtet auf Area-Boundaries und ASBRs beschränkt. Innerhalb einer Area sollte auf vollständige Topologie gesetzt werden. Mit Summarization, Stub/NSSA-Areas und selektiver Injektion externer Routen lassen sich die meisten Enterprise-Anforderungen an Routing-Kontrolle und Stabilität abdecken, ohne die fundamentale OSPF-Architektur zu gefährden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.