Существуют ситуации, когда нет необходимости распространять все маршруты сети во все её сегменты. При этом необходимо контролировать, какие маршруты проходят некоторую границу, которую установили при создании сети.
Фильтрация маршрутов в протоколе маршрутизации EIGRP осуществляется с помощью команды distribute-list, ссылающейся на один из трех инструментов:
- Access Control List (ACL);
- Prefix list;
- Route map.
Применение фильтров дает такие преимущества, как уменьшение размеров таблицы маршрутизации, уменьшение утилизации памяти, увеличение производительности маршрутизации, а так же увеличение защищенности сети за счет уменьшения объема служебного трафика.
Фильтрация с помощью ACLs
Чтобы отфильтровать маршруты, передаваемые протоколом EIGRP, необходимо создать список контроля доступа, в котором условия permit пропускали бы маршруты, а условия deny фильтровали бы их.
EIGRP поддерживает работу со стандартными ACL (нумерованными и именованными). Для применения фильтрации необходимо сделать следующее:
Router(config)#router eigrp 1 /входим в режим настройки протокола маршрутизации
Router(config-router)#distribute-list 2 out s0/0 /фильтруем маршруты на выходе из интерфейса s0/0 с помощью ACL 2.
Далее создается список подсетей, которые необходимо фильтровать, в соответствии с правилами создания ACL. В конце ACL необходимо добавить правило permit any для пропуска маршрутов, которые не должны быть отфильтрованы.
Можно не указывать специфический интерфейс в команде distribution-list. В этом случае правило фильтрации будет применено ко всем линкам, где установлено соседство.
Фильтрация с помощью IP Prefix Lists (IPPL)
IPPL позволяют проводить фильтрацию как по длине, так и по значению префикса. Префикс в данном случае - это синоним адреса сети.
IPPL схожи с ACL: состоят из одного или нескольких правил, могут быть именованными или нумерованными. Правила содержат ключевые слова permit и deny, которые относятся не к фильтрации пакетов, а к разрешению либо запрещению передачи маршрута.
Синтаксис команды выглядит следующим образом. В глобальном конфигурационном режиме:
ip prefix-list list-name [seq seq-value] {deny | permit prefix/prefixlength}[ge ge-value] [le le-value]
IPPL сработает, если:
1) Префикс маршрута находится в диапазоне, указанном в части prefix/prefixlength;
2) Длина префикса (маска) должна быть в диапазоне от ge-value до le-value.
Если первая часть совпала, то далее, в зависимости от опциональных параметров ge и le, будет проведена фильтрация по длине префикса. Правила таковы:
а) Если нет опциональных параметров, то фильтруется маршрут с длиной префикса, указанной в поле prefix/prefixlength;
б) Если есть и ge, и le - фильтруются маршруты, длина которых находится в диапазоне от ge до le включительно;
в) Если есть только ge - фильтруются маршруты с длиной от ge до 32;
г) Если есть только le - фильтруются маршруты с длиной от prefix/prefixlength до le.
Фильтрация с помощью Route Map (RM)
Каждая RM состоит из одной или нескольких route-map команд, которые выполняются маршрутизатором последовательно в соответствии с присвоенными этим командам номерами. Все команды - это условия, в которых указано с помощью критерия match, какой префикс необходимо фильтровать.
Пример route-map представлен ниже:
route-map samp deny 2 /запретить (отфильтровать) маршруты, попадающие под критерий 1
match (набор критериев №1)
route-map samp permit 5 /разрешить маршруты, попадающие под критерий 1
match (набор критериев №2)
route-map samp permit 35 /разрешить все остальные маршруты
router eigrp 1
distribute-list route-map samp out /на все eigrp-интерфейсы "повесить" правило фильтрации
match (набор критериев №1)
route-map samp permit 5 /разрешить маршруты, попадающие под критерий 1
match (набор критериев №2)
route-map samp permit 35 /разрешить все остальные маршруты
router eigrp 1
distribute-list route-map samp out /на все eigrp-интерфейсы "повесить" правило фильтрации
В качестве критеиев используется ACL или IPPL.
Правила работы route-map таковы:
1) route-map с опцией permit разрешает маршрут (если он попадает под соответствующий критерий в данной команде);
2) route-map с опцией deny запрещает маршрут (если он попадает под соответствующий критерий в данной команде);
3) Если критерий ссылается на ACL или IPPL, в которых прописана опция deny, то маршрут не подвергается фильтрации;
4) Для разрешения всех маршрутов необходимо создать route-map с опцией permit, но без критерия match.
Пример:
R1(config)#router eigrp 1 /режим настройки eigrp
R1(config-router)#distribute-list route-map samp out /фильтруем все исходящие маршруты RM samp
R1(config-router)#exit
R1(config)#ip prefix-list branch seq 1 permit 10.10.10.0/24 ge 25 le 30 /создаем префикс-лист
R1(config)#route-map samp deny 1 /создаем RM, фильтрующую маршруты, указанные в префикс-листе
R1(config-route-map)#match ip address prefix-list branch
R1(config-route-map)#route-map samp permit 2 /остальные маршруты не фильтруются
R1(config-router)#distribute-list route-map samp out /фильтруем все исходящие маршруты RM samp
R1(config-router)#exit
R1(config)#ip prefix-list branch seq 1 permit 10.10.10.0/24 ge 25 le 30 /создаем префикс-лист
R1(config)#route-map samp deny 1 /создаем RM, фильтрующую маршруты, указанные в префикс-листе
R1(config-route-map)#match ip address prefix-list branch
R1(config-route-map)#route-map samp permit 2 /остальные маршруты не фильтруются
Комментариев нет:
Отправить комментарий