Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Al minuto 1h 31m della registrazione rispieghi le route-map; una dimanda: se scrivo
route-map PIPPO deny 10 match A set X Che senso ha, ammesso che X sia l'impostazione di una distanza amministrativa? |
Si prega Accedi a partecipare alla conversazione. |
|
Bella domanda, evidentemente hai capito come funzionanto le route map, direi che non ha alcun senso, e certamente non lo ha in termini di redistribuzione, le route map vengono utilizzate non solo in questo caso ma sono uno strumento potente che viene utilizzato anche per alcune funzionalità BGP e PBR, ma anche in questi casi non mi viene in mente una situazione in cui possa essere utile un set in uno statement deny. |
Si prega Accedi a partecipare alla conversazione. |
|
Nell'esempio a 1h e 40m la route map proposta in pratica impedisce ad R1 di redistribuire dentro RIP la rotta 192.168.1.0, perchè sicuramente è quella che proviene da RIP, è così?
Non mi è chiara una cosa: R1 apprende la rotta da RIP e la redistribuisce in OSPF router ospf 10 redistribute RIP subnets Poi R2 riceve la rotta RIP e quella redistrubuita, ma sceglie quella OSPF perchè con distanza amministrativa minore (110); quando poi R1 riceve ancora la rotta da R2, se tu applichi la route-map dell'esempio, R1 già conosce la rotta OSPF 2 quella RIP, per cui perchè mai dovrebbe risolvere il problema del loop? Non sarebbe meglio applicare una route-map ad R2 per non far propagare la 192.168.1.0 con distanza amministrativa 110? Magari con una distribute list... Un'altra cosa: la redistribuzione di RIP in OSPF e di OSPF in RIP avviene sia in R1 che in R2? |
Si prega Accedi a partecipare alla conversazione. |
|
Esempio 1h 47m:
router ospf 1 network 10.0.0.8 0.0.0.3 area 0 redistribute rip subnets distribute-list 2 out RIP Se non sbaglio, qui redistribuisco RIP in OSPF, quindi che senso ha il deny per la rotta 10.8.0.0/14, visto che viene propagata da OSPF (R3)? in teoria dovrei impedire che vengano redistribuite le rotte OSPF imparate da RIP (D.Amm. 110) in RIP, o no? |
Si prega Accedi a partecipare alla conversazione. |
|
E' esatto. Effettivamente l'esempio è davvero poco chiaro, considera che quella route-map viene applicata non solamente a R1 ma anche ad R2, come scritto nella slide. Questo non risolve il problema del loop totalmente, ma evita che una rotta originata in RIP torni nuovamente dentro il dominio RIP puntando verso R1 o R2, il che diminuisce il traffico di update ed un loop nel caso le rotte venissero distribuite in RIP con metrica 1. Per risolvere completamente il loop, quello che potresti fare in questo caso è porre la distanza amministrativa delle External OSPF a 121, ma ricorda una cosa fondamentale la distanza amministrativa è solo locale, non si propaga! |
Si prega Accedi a partecipare alla conversazione. |
|
Il comando distribute-list 2 out RIP ha il significato di filtrare rotte da OSPF a RIP, quindi effettivamente è un filtro che viene applicato alla redistribuzione: router rip
redistribute ospf 1 metric 5 |
Si prega Accedi a partecipare alla conversazione. |
|
Nel caso in cui io debba impostare un valore di distanza amministrativa diverso di un protocollo, ad esempio RIP, devo dare il seguente comando:
distance 65 nella configurazione di RIP, se volessi farlo su base lista (access list 1, ad esempio) distance 65 0.0.0.0 255.255.255.255 1 dove 1 è access list 1 permit 172.16.0.0 0.0.255.255 Ora non ricordo perchè si utilizza la wildcard invece della subnet mask e non mi è ancora chiaro come faccia il router ad accorgersi che la access list pur essendo standard ha bisogno della notazione a margine dell'IP. |
Si prega Accedi a partecipare alla conversazione. |
|
Dunque, l'access list collegata alla distanza amministrativa stabilisce per quali prefissi verrà cambiata la distanza. Nelle access list che utilizzi a scopo di individuare network (ache per le distribuion list vale lo stesso discorso), la sintassi della access list deve essere interpretata in maniera diversa dalle normali access list di filtro. access-list [1-99] permit [prefisso] [wildcard prefisso] questo vuol dire che se la tua access list è access-list 1 permit 172.16.0.0 0.0.255.255 stai cambiando distanza amministrativa a tutte le reti 172.16.X.X quindi anche ai 172.16.1.0/24, 172.16.0.0/16, 172.16.18.196/32 access-list [1-99] permit [prefisso] In questo caso non specificando la wildcard le access list standard si comportano come se avessi scritto access-list 1 permit [prefisso] 0.0.0.0 , quindi se la tua access list è access-list 1 permit 172.16.0.0 quindi stai selezionando reti come 172.16.0.0/16 172.16.0.0/24 172.16.0.0/32 proprio perchè hai stabilito che il prefisso è unicamente uno su tutti i suoi 32 bit access-list [100-199] permit ip [prefisso] [wildcard prefisso] [subnetmask] [wildcard subnetmask] Quindi se la tua access list è access-list 100 permit 100 ip 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255 stai dicendo che il prefisso può essere qualunque 172.16.X.X: 172.16.1.0, 172.16.0.0, 172.16.18.196 che la subnet mask può essere 255.255.0.0 ma anche 255.255.128.0 fino a 255.255.255.255, praticamente da /16 a /32 In conclusione questa access list intercetterebbe reti 172.16.0.0/16, 172.16.1.0/24, 172.16.1.4/30 ma non 172.16.0.0/15 Se vuoi intercettare esclusivamente la 172.16.0.0/16 dovrai scrivere access-list 100 permit ip host 172.16.0.0 host 255.255.0.0 Fai attenzione al fatto che su molte versioni di IOS nelle access list per distribute list e distanza amministrativa puoi utilizzare solamente access list standard, il parser dell'IOS non ti darà errore ma di fatto vedrai che la distanza amministrativa non cambia per ne network selezionate. |
Si prega Accedi a partecipare alla conversazione. |
|
Quindi, se non ho capito male, la wildcard permette di dare un range di IP e di SUBNET, anche se l'interpretazione delle access-list mi sembrava già contemplasse la regola del best-match.
Semplicemente, per ricordarmi come si devono configurare questi tipi di acl, non capisco quale differenza ci sia tra access-list 100 permit 172.16.0.0 255.255.0.0 e access-list 100 permit 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255 Se non ricordo male, entrambe, per best match, intercettano indirizzi (che siano network o che siano IP di host) tipo 172.16.0.0 o 172.16.128.0 o 172.16.5.4 con notazioni che vanno da 16 a 32. è così? Per vedere se riesco a capire, nel caso volessi intercettare network 172.16.x.x con notazione esclusivamente /16 potrei scrivere access-list 100 permit 172.16.0.0 0.0.255.255 255.255.0.0 0.0.0.0 Giusto? Così come se volessi intercettare network 172.16.4.0 da /24 a /30 (o meglio /32) access-list 100 permit 172.16.4.0 0.0.0.255 255.255.255.0 0.0.0.255 E' così? |
Si prega Accedi a partecipare alla conversazione. |
|
Quello che dici è giusto, ma credo che il concetto più ostico in queste access list per intercettare network sta nel fatto che dei ricordare che una rete è composta da due parametri prefisso e subnet mask, quindi una acl standard come quella che proponi access-list 100 permit 172.16.0.0 0.0.255.255 specifica solo il prefisso, la subnet mask può essere qualunque, anche 172.16.0.0/24 risponde a questa definizione, fondamentalmente stai intercettando tutte le 172.16.X.X/X mentre la acl extended che proponi access-list 100 permit ip 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255 intercetta tutte le 172.16.X.X/16 fino a 172.16.X.X/32 c'è differenza! Inoltre se hai capito come stanno le cose sarà anche chiaro che access-list 100 permit ip host 172.16.0.0 host 255.255.0.0 è equivalente a access-list 172.16.0.0 0.0.255.255 host 255.255.0.0 perchè in ogni caso i due ottetti meno significativi del prefisso non contano in quanto finiscono nel campo host, così intercetti 172.16.0.0/16, ma la notazione con host ha più senso. |
Si prega Accedi a partecipare alla conversazione. |
|
Questo perchè una network
172.16.1.0 255.255.0.0 equivale a 172.16.0.0 255.255.0.0 è così? |
Si prega Accedi a partecipare alla conversazione. |
|
Ma diciamo meglio che 172.16.1.0 255.255.0 è un host quindi non è teoricamente corretto mettere l'indirizzo di un host nella dichiarazione di una rete |
Si prega Accedi a partecipare alla conversazione. |
|
Quello che volevo dire è che, se
172.16.0.0 0.0.255.255 equivale a 172.16.0.0 0.0.0.0 (host 172.16.0.0) Questo vuol dire che la network da dichiarare dipende solo dalla notazione (subnet mask) che diamo dopo e non dalla wildcard che gli associamo, è così? |
Si prega Accedi a partecipare alla conversazione. |
|
Io credo che dovresti soffermarti sul concetto e capire, regole generali è difficile darne, mi spiego meglio:
access-list 100 permit ip 172.16.0.0 0.0.255.255 host 255.255.0.0 è certamente equivalente a access-list 100 permit ip host 172.16.0.0 host 255.255.0.0 nella prima ACL dici che il prefisso può essere qualunque 172.16.X.X ma con /16 fissa, quindi X.X non ha senso perchè non cade nel prefisso, ma funziona. Più sensata la seconda in cui dici prefisso 172.16.0.0 e maschera /16. Questo vuol dire che host 172.16.0.0 è sempre equivalente a 172.16.0.0 0.0.255.255? Assolutamente no! access-list 100 permit ip host 172.16.0.0 host 255.255.255.0 intercetta solo 172.16.0.0/24 mentre access-list 100 permit ip host 172.16.0.0 0.0.255.255 host 255.255.255.0 intercetta tutte le 172.16.X.0/24 Capisci a fondo il senso di queste ACL, non perdere energie a cercare semplici regole mnemoniche perchè non ti aiutano e possono tradirti. Rileggi questo post e quelli precedenti, ho riportato tanti esempi tutti commentati, è più che sufficiente per capire come funzionano le cose. |
Si prega Accedi a partecipare alla conversazione. |