Идентифицирование и фильтрация маршрутов на основе NLRI

Чтобы ограничить маршрутную информацию, получаемую или распространяемую вашим маршрутизатором, вы можете фильтровать ее на основе сообщений об обновлении маршрутов, отправляемых на соседний взаимодействующий узел или поступающих от него. Фильтр представляет собой совокупность списков префиксов (или списков разрешения доступа), которые применяются к сообщениям об обновлении маршрутов, поступающим или

отправляемым взаимодействующему узлу. На рис. 11.2, маршрутизатор RTD в AS2 объявляет маршрут в сеть 192.68.10.0/24 и посылает его маршрутизатору RTF. Затем маршрутизатор RTF передает сведения о маршруте маршрутизатору RTA по IBGP, который, в свою очередь, будет распространять сведения о нем в AS1. Таким образом, объявляя сеть 192.68.10.0/24, AS3 может стать транзитной.

Рис. 11.2. Идентифицирование и фильтрация префиксов

Чтобы  избежать  подобной  ситуации,  на  маршрутизаторе  RTA  можно  настроить фильтр, который бы не допускал распространения префикса 192.68.10.0/24 в AS1. В листинге

11.13                показан пример организации такого фильтра на маршрутизаторе RTA.

Листинг 11.13. Фильтр префикса на маршрутизаторе RTA

router bgp 3

no synchronization

neighbor 172.16.1.2 remote-as 3

neighbor 172.16.20.1 remote-as 1

neighbor 172.16.20.1 prefix-list 1 out

no auto-summary

!

ip prefix-list 1 seq 5 deny 192.68.10.0/24

 ip prefix-list 1 seq 10 permit 0.0.0.0/0 le 32                                 

В листинге 11.13 комбинация команд настройки маршрутизатора neighbor prefix-list и списка префиксов 1 не дает возможности маршрутизатору RTA распространять сведения о префиксе 192.68.10.0/24 в AS1. В части настроек маршрутизатора, где описывается список префиксов, когда последний используется совместно с BGP-командой neighbor, задается фильтрация исходящих обновлений маршрутов в направлении указанного соседнего узла (обратите внимание на ключевое слово out). Заметьте, что список префиксов 1 заканчивается логическим выражением, которое разрешает распространение всех обновлений маршрутов (permit 0.0.0.0/0 1е 32). Когда с целью фильтрации используются списки префиксов или списки разрешения доступа, если в конце не определено какое-либо действие, то по умолчанию будет применяться логическое выражение "запретить все остальное". Это означает, что маршруты, не соответствующие ранее заданным условиям, будут отвергаться. Вот почему очень важно определить действия по умолчанию. В нашем примере маршрут 192.68.10.0/24 будет запрещен, а все остальные маршруты разрешены к распространению. Для этой цели задание в явном виде выражения "запретить все остальное" (если вам действительно это необходимо) поможет избавиться от головной боли.

Хотя из примера этого и не видно, наиболее распространенная на сегодня практика заключается в подготовке списка маршрутов, которые будут разрешены к распространению, и последующей настройке в явном виде запрещенных маршрутов. Этим гарантируется, что маршрутная информация от взаимодействующего узла приниматься не будет, если она не прошла через фильтр. Конечно, это может оказаться не совсем удобным, если от взаимодействующего узла вы получаете большое количество маршрутной информации.

Карты  маршрутов  (которые  ссылаются  на  списки  разрешения  доступа,  списки

префиксов или на другие правила маршрутизации) могут применяться для фильтрации обновлений маршрутов в предыдущем примере. Для того чтобы познакомить вас с различными параметрами, применяемыми при фильтрации, был выбран метод с использованием прямого списка префиксов.

Применение списков разрешения доступа для фильтрации маршрутов к суперсетям или диапазонов маршрутов — довольно сложное дело, поэтому обычно прибегают к различным хитростям. Предположим, что, например, к марш руги затору RTF на рис. 11.2 подключены различные подсети из диапазона 172.16.Х.Х, а вам необходимо объявить объединенный маршрут только в форме 172.16.0.0/16. Тогда стандартный список разрешения доступа вида: access-list I permit 172.16.0.0 0.0.255.255

работать не будет, так как он разрешает больше, чем вам необходимо. В стандартном списке разрешения доступа анализируется только IP-адрес источника и не проверяется длина сетевой маски. Таким образом, приведенный список разрешения доступа допускает объявление маршрутов 172.16.0.0/16, 172.16.0.0/17, 172.16.0.0/18, 172.16.0.0/24 и т.д.

Чтобы ограничить распространение маршрутов только одним 172.16.0.0/16, необходимо воспользоваться расширенным списком разрешения доступа: access-list access- list-number  {deny  |  permit}  protocol   source   source-wildcard  destination   destination- wildcard  I  mask mas.fc-ivild.card

Этим выражением вы определяете расширенный список разрешения доступа, в котором сопоставление проводится по паре адресов источника и пункта назначения или по адресу источника и маске. На основе этих данных принимается решение о разрешении или запрещении распространения определенного обновления маршрутов. Номер списка разрешения доступа назначается из диапазона между 100 и 199. Если проверка осуществляется по протоколу IP и сопоставление проводится по паре адрес источника — маска, то строка конфигурации может быть задана в виде:

access-list access-list-number permit ip network-number network- do-not-care-bits mask mask-do-not-care-bits

Например:

access-list  101  permit  ip  172.16.0.0  0.0.255.255  255.255.0.0

0.0.0.0

Здесь 0 — это точно совпавший бит, а 1 — незначащий бит.

В приведенном выше расширенном списке разрешения доступа показано, что объединенный маршрут 172.16.0.0/16 будет распространяться лишь потому, что его маска в точности совпадает с 255.255.0.0. А обновление маршрутов, содержащее 172.16.0.0/17. фильтр уже не пропустит.

Вы можете достичь этого и другими путями. Например:

access-list 101 permit ip host 172.16.0.0 host 255.255.0.0

Или использовать список префиксов в качестве фильтра:

ip prefix-list 1 seq 5 permit 172.16.0.0/16

Помните: по умолчанию предполагается, что все, не описанное в правилах, запрещено, если вы не задали обратное.

Источник: Сэм Хелеби, Денни Мак-Ферсон, Принципы маршрутизации в Internet, 2-е  издание.  : Пер. с англ. М. : Издательский дом «Вильямс», 2001. — 448 с. : ил. — Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100