Redistribuição OSPF entre diferentes processos OSPF

Introduction

Este documento fornece diretrizes para a redistribuição do Open Shortest Path First (OSPF) entre diferentes processos. A redistribuição entre diferentes processos é difícil e medidas especiais são necessárias para a operação apropriada da rede. Este documento também destaca algumas alterações introduzidas no software Cisco IOS®.

Por que redistribuir entre dois processos OSPF?

Pode haver vários motivos para a redistribuição entre vários processos. Estes são alguns exemplos:

• Filtrar uma rota OSPF de parte do domínio

• Separe diferentes domínios OSPF

• Migrar entre domínios separados

Embora a redistribuição entre diferentes processos possa ser necessária em certos casos, uma solução de projeto alternativo (se possível) é uma opção mais apropriada, como será discutido nas subseções desta seção.

Filtrar a rota OSPF

Rotas intra-área

No OSPF, os prefixos IP dentro de uma área não são trocados diretamente entre os roteadores. Eles fazem parte do LSA (Link State Advertisement, anúncio de estado de link) que também anuncia a topologia da rede; portanto, não há como filtrar rotas dentro de uma área.

Note: A filtragem local em um roteador (o que pode ser feito para impedir que algumas rotas sejam instaladas em um determinado roteador) não é considerada uma filtragem real de rotas. Isso normalmente é feito com o comando distribute-list no roteador OSPF.

Uma solução seria usar um processo diferente e filtrar as rotas desejadas nos roteadores de redistribuição; no entanto, isso separa a área em dois domínios. Um projeto melhor seria separar a área em diferentes áreas e usar o recurso de filtragem do Cisco IOS tipo 3, que é explicado posteriormente.

Rotas entre áreas

No OSPF, todos os roteadores dentro de uma área têm exatamente a mesma topologia. Uma área não tem conhecimento da topologia de outra área; portanto, ele depende das informações anunciadas pelos ABRs (area border routers, roteadores de borda de área) conectados.

As informações anunciadas dentro de uma área por um ABR (como um LSA tipo 3) são, na verdade, os prefixos IP que são aprendidos de áreas remotas ou que são calculados para outras áreas conectadas.

Um ABR origina estas rotas:

• Rotas intra-área de não backbone no backbone

• Rotas de backbone intra-área e inter-área em áreas não backbone

Portanto, entre áreas há um comportamento de vetor de distância que pode ser aproveitado para filtrar rotas entre áreas.

O software Cisco IOS implementou um recurso de filtragem entre áreas. Para obter mais informações sobre esse recurso, consulte Filtragem LSA do OSPF ABR tipo 3.

Filtragem de rota externa

Como as rotas externas são anunciadas como LSAs tipo 5 e são inundadas por todo o domínio, exceto em áreas de stub e em áreas não muito stubby (NSSAs), atualmente não há como filtrar um LSA tipo 5. Uma solução é ter um processo diferente e filtrar entre os processos durante a redistribuição.

Manter diferentes domínios OSPF separados

É vista como uma prática comum usar diferentes processos OSPF para separar diferentes domínios de roteamento IP, para fins administrativos ou para segmentar o domínio de roteamento e controlar as informações de roteamento no ponto de redistribuição.

No entanto, deve notar-se que a instabilidade num domínio pode afetar o outro. Por exemplo, se houver uma alteração na rede OSPF (tipo 1 e 2) em que um roteador de limite de sistema autônomo (ASBR) reside entre os dois domínios, todos os LSAs tipo 5 serão reoriginados e inundados em todo o domínio remoto. Assim, se houver uma instabilidade constante em uma rede, isso pode levar a uma injeção constante e à retirada de LSAs tipo 5 no outro domínio.

Uma melhor escolha de design é usar o BGP (Border Gateway Protocol) entre domínios diferentes. Nesse caso, a troca de OSPF entre diferentes domínios passa pelo BGP; e, como o BGP tem capacidade de atenuação, a instabilidade em um domínio será menos visível no outro domínio.

Redistribuir entre diferentes processos OSPF

Como mencionado anteriormente, pode haver uma solução alternativa para a redistribuição entre vários processos. A seção mostra como a redistribuição entre diferentes processos deve ser planejada com cuidado, dependendo do número de pontos de redistribuição.

Regra de Preferência de Rota OSPF

A regra de seleção de rota OSPF é que as rotas intra-área são preferidas em relação às rotas inter-área, que são preferidas em relação às rotas externas. No entanto, essa regra deve se aplicar às rotas aprendidas pelo mesmo processo. Em outras palavras, não há preferência entre rotas externas de um processo em comparação com rotas internas de outro processo.

A regra de preferência entre um determinado processo OSPF e qualquer outro processo (OSPF ou outro protocolo de roteamento) deve seguir a regra de distância administrativa. No entanto, como diferentes processos OSPF terão a mesma distância administrativa por padrão, a distância OSPF deve ser configurada explicitamente para diferentes processos OSPF para alcançar o comportamento desejado.

Note: Antes do bug da Cisco ID CSCdi7001 - corrigido no Cisco IOS Software Release 11.1 e posterior - a distância administrativa entre os processos não funcionava corretamente, e as rotas internas de um processo eram preferidas sobre as rotas externas de outro processo.

Um único ponto de redistribuição

Quando há um único ponto de redistribuição, toda a troca entre os domínios ocorre em um único ponto e não há como formar um loop de redistribuição. Este é um exemplo de configuração:

Figure 1

router ospf 1
redistribute ospf 2 subnet

router ospf 2
redistribute ospf 1 subnet

Dois pontos de redistribuição

É mais complicado quando há dois pontos de redistribuição. Se a redistribuição for feita em ambos os pontos de uma rede sem nenhum cuidado especial, pode haver resultados inesperados.

Considere a próxima topologia, em que os roteadores A e B se redistribuem mutuamente entre os dois domínios. Esta configuração não funciona, como será demonstrado mais adiante nesta seção.

Figure 2

router ospf 1
redistribute ospf 2 subnet

router ospf 2
redistribute ospf 1 subnet

Dada uma Rede N no Domínio 1, os Roteadores A e B aprendem a Rede N como uma rota interna no Domínio 1. Como eles redistribuem o processo 1 no processo 2, a mesma Rede N é aprendida no Domínio 2 como uma rota externa.

Agora, em cada roteador, a rede interna aprendida por meio de um processo compete com a rede externa de outro processo. Como mencionado anteriormente, não há regra de preferência entre diferentes processos; portanto, o resultado seria indeterminista, pois ambos os processos têm a mesma distância administrativa.

Nota: Isto pode levar a uma injeção constante e à retirada de um tipo 5 de um processo para o outro.

Antes do bug da Cisco ID CSCdw10987 (somente clientes registrados) (integrado no Cisco IOS Software Release 12.2(07.04)S, 12.2(07.04)T e posteriores), o último processo para criar um algoritmo SPF (Shortest Path First Algorithm) teria, e os dois processos substituem outras rotas na tabela de roteamento. Agora, se uma rota é instalada por meio de um processo, ela não é substituída por outro processo OSPF com o mesmo domínio administrativo (AD), a menos que a rota seja excluída da tabela de roteamento pela primeira vez pelo processo que instalou a rota inicialmente na tabela de roteamento.

Distância administrativa

Quando você usa a redistribuição entre vários processos, você pode usar a distância administrativa para preferir um processo a outro, porque as preferências de rota OSPF se aplicam somente no mesmo processo. No entanto, isso não é suficiente para uma operação adequada na rede, como explicado mais adiante nesta seção.

Figure 3

router ospf 1
redistribute ospf 2 subnet
distance ospf external 200

router ospf 2
redistribute ospf 1 subnet
distance ospf external 200

Operação de rede sem falha de rede

Considere uma rede N no domínio 1, onde N será conhecida como uma rota interna no domínio 1 e será redistribuída pelo roteador A e pelo roteador B. Como a distância administrativa das rotas externas foi aumentada, o Roteador A e o Roteador B escolherão o processo 1 do OSPF para acessar a Rede N.

De uma forma mais geral, todas as redes internas ao Domínio 1 serão alcançadas através do Domínio 1 e todas as redes internas ao Domínio 2 serão alcançadas através do Domínio 2, tanto pelo Roteador A como pelo Roteador B. Outros roteadores em cada domínio captam o ASBR mais próximo (se for usado o tipo de métrica 2) ou o caminho mais curto através de um dos ASBRs (se for usado o tipo de métrica 1).

Se houver prefixos externos a ambos os domínios (que vêm de alguns outros pontos de redistribuição), o mesmo problema ainda ocorrerá porque a distância administrativa para essas rotas externas é a mesma em ambos os processos. Se a distância administrativa de processos externos for diferente, o problema não será resolvido. Este é um exemplo:

Figure 4

O roteador C (ASBR) anuncia N externo no domínio 1. Esse prefixo é redistribuído pelo Roteador A e pelo Roteador B no Domínio 2 e alcança cada um dos roteadores; portanto, N será externo em ambos os domínios. Para ter operações adequadas, a distância administrativa das rotas externas precisa ser diferente para os dois processos, de modo que um domínio seja preferido em vez do outro. Suponha que a distância administrativa para o Domínio 1 esteja definida como inferior ao Domínio 2.

Agora, se o roteador D (ASBR) anunciar M externo no domínio 2, esse prefixo será redistribuído pelo roteador A e pelo roteador B no domínio 1 e chegará a cada um dos roteadores. Assim, M será externo em ambos os domínios e, como a distância administrativa é menor para o Domínio 1, M será alcançável via Domínio 1. Esta sequência de eventos pode ocorrer:

1. O Roteador A (Roteador B) redistribui M no Domínio 1, e o M externo alcançará o Roteador B (Roteador A).

2. Como a distância administrativa do Domínio 1 é menor que o Domínio 2, o Roteador A (Roteador B) instalará o M através do Domínio 1 e configurará para maximizar seu LSA originado anteriormente (evento 1) para o Domínio 1.

3. Como M foi definido como maxage no Domínio 2, o Roteador A (Roteador B) instalará M através do Domínio 2 e, portanto, redistribuirá M no Domínio 2.

4. Igual ao evento 1.

Esse ciclo continua e a maneira de corrigi-lo é ter o prefixo do Domínio 2 acessível via Domínio 2. No entanto, se a distância administrativa for definida como menor para o Domínio 2, o mesmo problema ocorrerá para o Domínio 1 e para o prefixo N.

A solução é definir a distância administrativa com base no prefixo. Consulte as seções Filtragem Baseada em Prefixo e Filtragem Baseada em Prefixo e Distância Administrativa Baseada em Prefixo para obter mais informações.

Operação de rede com falha de rede

Você deseja que um domínio faça backup do outro domínio, caso um domínio esteja inacessível.

Por exemplo, considere o caso em que o Roteador A perdeu conectividade com a Rede N através do Domínio 1. Quando o Roteador A perder a conectividade por meio do Domínio 1, ele liberará seu LSA gerado anteriormente anunciando a Rede N no Domínio 2 e instalará o caminho para a Rede N através do Domínio 2 através da rede externa recebida de B. Como o processo 2 é redistribuído no processo 1, o roteador A também injetará uma rede N externa no domínio 1.

Note: Quando o Roteador A tinha conectividade com a Rede N, ele usava o processo 1 devido à melhor distância administrativa e o processo 2 era mantido para informações de backup. Quando o caminho através do processo 1 se torna inalcançável, o processo 2 é usado para a conectividade.

Figure 5

Agora, todos os roteadores no Domínio 2 usarão o Roteador B para acessar a Rede N; e o Roteador A (ou a parte do Domínio 1 que perdeu conectividade com a Rede N através do Domínio 1) usará o Domínio 2 para conectividade com a Rede N. Esse cenário permanece válido se o Roteador B tiver perdido a conectividade com a Rede N, em vez do Roteador A.

Se o Roteador A e o Roteador B perderem a conectividade com a Rede N (por exemplo, se o Roteador C ficar inoperante), essa sequência de eventos poderá ocorrer:

1. Antes que a Rede N se torne inalcançável, o Roteador A e o Roteador B aprenderam a Rede N através do processo 1 e a redistribuíram no processo 2 como externa.

2. O Roteador A e o Roteador B detectam (quase ao mesmo tempo) que a Rede N está inalcançável através do Domínio 1; portanto, eles descarregarão seu N externo anterior no domínio 2.

3. Antes do Roteador A (Roteador B) receber o LSA descarregado do Roteador B (Roteador A), ele instalará o N externo através do Domínio 2 (uma distância administrativa mais alta) como a rota de backup.

4. Como o Roteador A (Roteador B) instalado N através do processo 2, ele gerará um N externo no Domínio 1.

5. O Roteador A (Roteador B) recebe o LSA descarregado (evento 1) do Roteador B (Roteador A). Ele removerá a Rede N por meio do processo 2 e, portanto, limpará o N externo para o Domínio 1. A rede N foi aprendida através do domínio 2 e redistribuída no domínio 1.

6. Antes do Roteador A (Roteador B) receber o LSA descarregado do Roteador B (Roteador A), ele instalará a Rede externa N através do Domínio 1, porque N foi descarregado através do Domínio 2.

7. Como o Roteador A (Roteador B) instalou a Rede N através do processo 1, ele gerará um N externo no Domínio 2.

Você pode ver que há uma condição de corrida que pode aparecer de um domínio para o outro. Nos eventos 1, 4 e 7, o Roteador A gera uma Rede N externa no Domínio 2; e nos eventos 2 e 5, o Roteador A retira o prefixo. O problema ocorre porque as rotas aprendidas por um domínio são redistribuídas de volta para o mesmo domínio.

Solução proposta

Esta seção mostra como impedir que uma rota que pertence a um domínio seja redistribuída de volta ao mesmo domínio para evitar loops de roteamento.

Usar o comando distance 255

A seção anterior mostra como um loop de roteamento é criado se os prefixos aprendidos de um domínio forem redistribuídos de volta para o mesmo domínio. Como a redistribuição ocorre de uma tabela de roteamento, você pode impedir que uma rota que pertence ao Domínio 1 e que é aprendida do roteador remoto sobre o Domínio 2 seja instalada na tabela de roteamento. Portanto, o roteador não redistribuirá essas rotas de volta para o Domínio 1.

Para fazer isso, insira o comando distance 255 router_ID inverse_mask access-list. Esse comando instrui o roteador a negar todos os prefixos que são recebidos por um roteador remoto com o ID de roteador especificado e que correspondem à lista de controle de acesso (ACL) da tabela de roteamento.

Note: O comando distance 255 dá uma distância de 255 a essas rotas e, portanto, impede sua instalação na tabela de roteamento.

Na Figura 6, o Roteador A usa o comando access-list 1 para corresponder a todas as rotas no Domínio 1 e usa o comando distance 255 no processo 1 para negar as rotas recebidas do Roteador B que correspondem aos prefixos que pertencem ao Domínio 1.

Quando você usa o comando distance 255, ele nega qualquer rota recebida do Roteador B que pertença ao Domínio 1. Como o Roteador B redistribui todas as rotas no Domínio 1 para o Domínio 2, o Roteador A não instalará essas rotas e, portanto, não redistribuirá novamente para o Domínio 1.

Note: A interface conectada do Roteador B no Domínio 1 deve ser excluída da ACL.

Figura 6

router ospf 1
redistribute ospf 2 subnet
distance 255 <Router B> 0.0.0.0 2
!
access-list 1

!--- Matches the router in Domain 2.


router ospf 2
redistribute ospf 1 subnet
distance 255 <Router B> 0.0.0.0 1
!
access-list 2

!--- Matches the route in Domain 1.

router ospf 1
redistribute ospf 2 subnet
distance 255 <Router A> 0.0.0.0 2
!
access-list 1

!--- Matches the router in Domain 2.


router ospf 2
redistribute ospf 1 subnet
distance 255 <Router A> 0.0.0.0 1
!
access-list 2

!--- Matches the route in Domain 1.

O comando distance ospf external 200 anterior não é mais necessário porque as rotas aprendidas do roteador remoto através de um dos processos não estão instaladas.

Essa configuração funciona corretamente nos casos em que ambos os roteadores perdem a conectividade com a rede (conforme descrito em Operação de Rede sem Falha de Rede e Operação de Rede com Falha de Rede). No entanto, como os prefixos são negados da tabela de roteamento, os domínios não podem fazer backup um do outro.

Observação: você deve listar explicitamente todos os prefixos de cada domínio em uma ACL. A manutenção de tal ACL pode ser muito difícil.

Filtrar rotas com base em marcas

Há um novo recurso no software Cisco IOS (da ID de bug Cisco CSCdt43016 (somente clientes registrados) ) que permite filtrar rotas com base na tag. Para impedir a redistribuição de rotas de um domínio de volta para o mesmo domínio, um roteador pode marcar uma rota que pertence a um domínio enquanto está sendo redistribuída e você pode filtrar essas rotas no roteador remoto com base na mesma marca. Como as rotas não serão instaladas na tabela de roteamento, elas não serão redistribuídas de volta no mesmo domínio.

Figura 7

router ospf 1
redistribute ospf 2 subnet tag 1
distribute-list 1 route-map filter_domain2 in
!
route-map filter_domain2 deny 10
match tag 2
route-map filter_domain2 permit 20

router ospf 2
redistribute ospf 1 subnet tag 2
distribute-list 1 route-map filter_domain1 in
!
route-map filter_domain1 deny 10
match tag 1
route-map filter_domain1 permit 20

Quando você está redistribuindo do Domínio 1, as rotas são marcadas com tag 1 e são filtradas no roteador remoto com base na mesma tag. Quando você está redistribuindo do Domínio 2, as rotas são marcadas com tag 2 e são filtradas no roteador remoto com base na mesma tag.

Note: O comando distance ospf external 200 anterior não é mais necessário porque a rota aprendida do roteador remoto através de um dos processos não está instalada.

Essa configuração funciona corretamente nos casos em que ambos os roteadores perdem a conectividade com a rede (conforme descrito em Operação de Rede sem Falha de Rede e Operação de Rede com Falha de Rede). No entanto, como os prefixos são negados da tabela de roteamento, os domínios não podem fazer backup um do outro.

Use a palavra-chave interna correspondente ao redistribuir

Quando estiver redistribuindo de um domínio, você poderá usar a palavra-chave match internal para redistribuir somente as rotas internas que pertencem a um domínio em outro domínio. Isso evita a redistribuição de prefixos que já são externos de volta ao mesmo domínio.

Figura 8

router ospf 1
redistribute ospf 2 subnet match internal
distance ospf external 200
!

router ospf 2
redistribute ospf 1 subnet match internal
distance ospf external 200
!

Essa configuração funciona corretamente nos casos em que ambos os roteadores perdem a conectividade com a rede (conforme descrito em Operação de Rede sem Falha de Rede e Operação de Rede com Falha de Rede). Um domínio poderia fazer backup do outro domínio.

Se já houver prefixos externos em qualquer um dos domínios (como prefixos externos que foram redistribuídos por outro protocolo), esses prefixos não serão redistribuídos para outros domínios, pois somente os prefixos internos serão redistribuídos. Além disso, não há controle sobre prefixos externos e todos os prefixos externos serão bloqueados.

Filtragem baseada em prefixo

Quando você está redistribuindo de um domínio, os prefixos podem ser comparados com uma ACL para evitar a redistribuição de prefixos que pertencem a um domínio de volta ao mesmo domínio.

Figura 9

router ospf 1
redistribute ospf 2 subnet route-map filter_domain2
distance ospf external 200
!
route-map filter_domain2 permit 10
match ip address 1
!
access-list 1

!--- Matches the prefix in Domain 1.


router ospf 2
redistribute ospf 1 subnet route-map filter_domain1
distance ospf external 200
!
route-map filter_domain1 permit 20
match ip address 2
!
access-list 2

!--- Matches the prefix in Domain 2.

Essa configuração funciona corretamente nos casos em que ambos os roteadores perdem a conectividade com a rede (conforme descrito em Operação de Rede sem Falha de Rede e Operação de Rede com Falha de Rede). Um domínio poderia fazer backup do outro domínio.

Note: Você deve listar explicitamente todos os prefixos de cada domínio em uma ACL. A manutenção de tal ACL pode ser muito difícil. Outra solução é marcar prefixos durante a distribuição e filtrar as marcas correspondentes.

Figura 10  

router ospf 1
redistribute ospf 2 subnet tag 1 route-map filter_domain2
distance ospf 2 external 200
!
route-map filter_domain2 deny 10
match tag 2
route-map filter_domain2 permit 20

router ospf 2
redistribute ospf 1 subnet tag 2 route-map filter_domain1
distance ospf 1 external 200
!
route-map filter_domain1 deny 10
match tag 1
route-map filter_domain1 permit 20

Filtragem baseada em prefixo e distância administrativa baseada em prefixo

Como mencionado na seção Distância administrativa, há necessidade de uma distância administrativa baseada em prefixo onde há prefixos externos originados por outros ASBRs em cada domínio. No próximo exemplo de topologia, ASBR1 e ASBR2 redistribuem as redes X e Y no domínio 1 e no domínio 2, respectivamente.

Este exemplo usa uma ACL para corresponder todos os prefixos (internos e externos) que pertencem a um domínio e usa o comando distance para aumentar a distância administrativa dos prefixos que não pertencem inicialmente ao domínio correspondente.

Figura 11

router ospf 1
redistribute ospf 2 subnet route-map filter_domain2
distance 200 0.0.0.0 255.255.255.255 2
!
route-map filter_domain2 permit 10
match ip address 2
!
access-list 1

!--- Matches the prefixes in Domain 1.

access-list 2

!--- Matches the prefixes in Domain 2.


router ospf 2
redistribute ospf 1 subnet route-map filter_domain1
distance 200 0.0.0.0 255.255.255.255 1
!
route-map filter_domain1 permit 10
match ip address 1
!
access-list 1

!--- Matches the prefixes in Domain 1.

access-list 2

!--- Matches the prefixes in Domain 2.

O comando distance 200 0.0.0.0 255.255.255.255 2 no processo 1 define a distância administrativa de todos os prefixos que pertencem ao domínio 2 a 200; portanto, os roteadores A e B usam o domínio 1 para acessar prefixos que pertencem ao domínio 1.

Note: Você deve listar explicitamente todos os prefixos externos de cada domínio em uma ACL. A manutenção de tal ACL pode ser muito difícil.

Summary

Quando há mais de um ponto de redistribuição entre domínios OSPF, os loops de roteamento podem ocorrer facilmente. Para evitar loops de roteamento, os prefixos que pertencem a um domínio não devem ser redistribuídos de volta ao mesmo domínio. Além disso, as distâncias administrativas dos processos OSPF devem ser definidas corretamente. Estes cinco métodos foram propostos neste documento:

• Use o comando distance 255.

• Filtro com base em marcas.

• Use a palavra-chave match internal durante a redistribuição.

• Use a filtragem baseada em prefixo durante a redistribuição.

• Use a filtragem baseada em prefixo e a distância administrativa baseada em prefixo.

As duas primeiras soluções impedem que as rotas que pertencem a um domínio sejam instaladas na tabela de roteamento, o que impede sua redistribuição de volta ao mesmo domínio.

Note: Como os prefixos são negados da tabela de roteamento, os domínios não podem fazer backup um do outro.

Você pode usar as três últimas soluções para fazer backup de um domínio com outro domínio, se necessário. No entanto, observe estes avisos:

• A solução interna de correspondência não permite que você tenha controle sobre os prefixos, e todos os prefixos externos serão bloqueados da redistribuição. Em outras palavras, se houver prefixos externos de outros ASBRs, esses LSAs não serão redistribuídos de um domínio para o outro.

• A solução "usar filtragem baseada em prefixo durante a redistribuição" permite que um domínio faça backup de outro domínio. No entanto, o backup só funciona corretamente quando não há rotas externas do outro ASBR.

• A solução "usar filtragem baseada em prefixo e distância administrativa baseada em prefixo" é a única solução que permite que um domínio faça backup de outro domínio na presença de rotas externas de outros ASBRs.

Este documento refere-se repetidamente ao uso de um domínio para fazer backup de outro domínio. Deve-se observar que "backup" significa que, caso o Roteador A perca sua conexão com parte do domínio por meio de um determinado domínio (como o Domínio 1), ele poderá usar o outro domínio (Domínio 2) para rotear corretamente para os destinos que não podem ser alcançados por meio do Domínio 1.

No entanto, se um domínio for particionado porque os prefixos não são redistribuídos de volta ao domínio original, o outro domínio não poderá fazer backup do domínio particionado a menos que os prefixos sejam redistribuídos de volta ao domínio original. No entanto, conforme observado nas seções Distância administrativa e Operação de rede com falha de rede, isso introduzirá outros problemas.

Informações Relacionadas

• Página de suporte de OSPF
• Suporte Técnico e Documentação - Cisco Systems