Login

Benvenuto, Ospite
Nome utente: Password: Ricordami
Dimenticato la password? Dimenticato il nome utente?
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNP ROUTE
Capitolo 10 - Advanced IGP Redistribution
  • Pagina:
  • 1

ARGOMENTO:

Capitolo 10 - Advanced IGP Redistribution 12 Anni 1 Mese fa #1

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Al minuto 1h 31m della registrazione rispieghi le route-map; una dimanda: se scrivo
route-map PIPPO deny 10
match A
set X

Che senso ha, ammesso che X sia l'impostazione di una distanza amministrativa?

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 12 Anni 1 Mese fa #2

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Paolo_Tesse ha scritto: Al minuto 1h 31m della registrazione rispieghi le route-map; una dimanda: se scrivo
route-map PIPPO deny 10
match A
set X

Che senso ha, ammesso che X sia l'impostazione di una distanza amministrativa?

Bella domanda, evidentemente hai capito come funzionanto le route map, direi che non ha alcun senso, e certamente non lo ha in termini di redistribuzione, le route map vengono utilizzate non solo in questo caso ma sono uno strumento potente che viene utilizzato anche per alcune funzionalità BGP e PBR, ma anche in questi casi non mi viene in mente una situazione in cui possa essere utile un set in uno statement deny.

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 12 Anni 1 Mese fa #3

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Nell'esempio a 1h e 40m la route map proposta in pratica impedisce ad R1 di redistribuire dentro RIP la rotta 192.168.1.0, perchè sicuramente è quella che proviene da RIP, è così?

Non mi è chiara una cosa: R1 apprende la rotta da RIP e la redistribuisce in OSPF
router ospf 10
redistribute RIP subnets

Poi R2 riceve la rotta RIP e quella redistrubuita, ma sceglie quella OSPF perchè con distanza amministrativa minore (110); quando poi R1 riceve ancora la rotta da R2, se tu applichi la route-map dell'esempio, R1 già conosce la rotta OSPF 2 quella RIP, per cui perchè mai dovrebbe risolvere il problema del loop?

Non sarebbe meglio applicare una route-map ad R2 per non far propagare la 192.168.1.0 con distanza amministrativa 110? Magari con una distribute list...

Un'altra cosa: la redistribuzione di RIP in OSPF e di OSPF in RIP avviene sia in R1 che in R2?

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 12 Anni 1 Mese fa #4

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Esempio 1h 47m:

router ospf 1
network 10.0.0.8 0.0.0.3 area 0
redistribute rip subnets
distribute-list 2 out RIP

Se non sbaglio, qui redistribuisco RIP in OSPF, quindi che senso ha il deny per la rotta 10.8.0.0/14, visto che viene propagata da OSPF (R3)? in teoria dovrei impedire che vengano redistribuite le rotte OSPF imparate da RIP (D.Amm. 110) in RIP, o no?

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 12 Anni 1 Mese fa #5

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Paolo_Tesse ha scritto: Nell'esempio a 1h e 40m la route map proposta in pratica impedisce ad R1 di redistribuire dentro RIP la rotta 192.168.1.0, perchè sicuramente è quella che proviene da RIP, è così?

E' esatto.

Paolo_Tesse ha scritto: perchè mai dovrebbe risolvere il problema del loop?
Un'altra cosa: la redistribuzione di RIP in OSPF e di OSPF in RIP avviene sia in R1 che in R2?[

Effettivamente l'esempio è davvero poco chiaro, considera che quella route-map viene applicata non solamente a R1 ma anche ad R2, come scritto nella slide.
Questo non risolve il problema del loop totalmente, ma evita che una rotta originata in RIP torni nuovamente dentro il dominio RIP puntando verso R1 o R2, il che diminuisce il traffico di update ed un loop nel caso le rotte venissero distribuite in RIP con metrica 1.

Paolo_Tesse ha scritto: Non sarebbe meglio applicare una route-map ad R2 per non far propagare la 192.168.1.0 con distanza amministrativa 110? Magari con una distribute list...

Per risolvere completamente il loop, quello che potresti fare in questo caso è porre la distanza amministrativa delle External OSPF a 121, ma ricorda una cosa fondamentale la distanza amministrativa è solo locale, non si propaga!

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 12 Anni 1 Mese fa #6

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Paolo_Tesse ha scritto: Esempio 1h 47m:

router ospf 1
network 10.0.0.8 0.0.0.3 area 0
redistribute rip subnets
distribute-list 2 out RIP

Se non sbaglio, qui redistribuisco RIP in OSPF, quindi che senso ha il deny per la rotta 10.8.0.0/14, visto che viene propagata da OSPF (R3)? in teoria dovrei impedire che vengano redistribuite le rotte OSPF imparate da RIP (D.Amm. 110) in RIP, o no?

Il comando distribute-list 2 out RIP ha il significato di filtrare rotte da OSPF a RIP, quindi effettivamente è un filtro che viene applicato alla redistribuzione:
router rip
redistribute ospf 1 metric 5

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #7

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Nel caso in cui io debba impostare un valore di distanza amministrativa diverso di un protocollo, ad esempio RIP, devo dare il seguente comando:

distance 65

nella configurazione di RIP, se volessi farlo su base lista (access list 1, ad esempio)

distance 65 0.0.0.0 255.255.255.255 1

dove 1 è

access list 1 permit 172.16.0.0 0.0.255.255

Ora non ricordo perchè si utilizza la wildcard invece della subnet mask e non mi è ancora chiaro come faccia il router ad accorgersi che la access list pur essendo standard ha bisogno della notazione a margine dell'IP.

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #8

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Paolo_Tesse ha scritto: Ora non ricordo perchè si utilizza la wildcard invece della subnet mask e non mi è ancora chiaro come faccia il router ad accorgersi che la access list pur essendo standard ha bisogno della notazione a margine dell'IP.

Dunque, l'access list collegata alla distanza amministrativa stabilisce per quali prefissi verrà cambiata la distanza.
Nelle access list che utilizzi a scopo di individuare network (ache per le distribuion list vale lo stesso discorso), la sintassi della access list deve essere interpretata in maniera diversa dalle normali access list di filtro.

access-list [1-99] permit [prefisso] [wildcard prefisso]
questo vuol dire che se la tua access list è access-list 1 permit 172.16.0.0 0.0.255.255 stai cambiando distanza amministrativa a tutte le reti 172.16.X.X
quindi anche ai 172.16.1.0/24, 172.16.0.0/16, 172.16.18.196/32

access-list [1-99] permit [prefisso]
In questo caso non specificando la wildcard le access list standard si comportano come se avessi scritto access-list 1 permit [prefisso] 0.0.0.0 , quindi se la tua access list è access-list 1 permit 172.16.0.0
quindi stai selezionando reti come 172.16.0.0/16 172.16.0.0/24 172.16.0.0/32 proprio perchè hai stabilito che il prefisso è unicamente uno su tutti i suoi 32 bit

access-list [100-199] permit ip [prefisso] [wildcard prefisso] [subnetmask] [wildcard subnetmask]
Quindi se la tua access list è access-list 100 permit 100 ip 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255
stai dicendo che il prefisso può essere qualunque 172.16.X.X: 172.16.1.0, 172.16.0.0, 172.16.18.196
che la subnet mask può essere 255.255.0.0 ma anche 255.255.128.0 fino a 255.255.255.255, praticamente da /16 a /32
In conclusione questa access list intercetterebbe reti 172.16.0.0/16, 172.16.1.0/24, 172.16.1.4/30 ma non 172.16.0.0/15

Se vuoi intercettare esclusivamente la 172.16.0.0/16 dovrai scrivere access-list 100 permit ip host 172.16.0.0 host 255.255.0.0

Fai attenzione al fatto che su molte versioni di IOS nelle access list per distribute list e distanza amministrativa puoi utilizzare solamente access list standard, il parser dell'IOS non ti darà errore ma di fatto vedrai che la distanza amministrativa non cambia per ne network selezionate.

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #9

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Quindi, se non ho capito male, la wildcard permette di dare un range di IP e di SUBNET, anche se l'interpretazione delle access-list mi sembrava già contemplasse la regola del best-match.
Semplicemente, per ricordarmi come si devono configurare questi tipi di acl, non capisco quale differenza ci sia tra

access-list 100 permit 172.16.0.0 255.255.0.0
e
access-list 100 permit 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255

Se non ricordo male, entrambe, per best match, intercettano indirizzi (che siano network o che siano IP di host) tipo 172.16.0.0 o 172.16.128.0 o 172.16.5.4 con notazioni che vanno da 16 a 32. è così?

Per vedere se riesco a capire, nel caso volessi intercettare network 172.16.x.x con notazione esclusivamente /16 potrei scrivere

access-list 100 permit 172.16.0.0 0.0.255.255 255.255.0.0 0.0.0.0

Giusto?

Così come se volessi intercettare network 172.16.4.0 da /24 a /30 (o meglio /32)

access-list 100 permit 172.16.4.0 0.0.0.255 255.255.255.0 0.0.0.255

E' così?

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #10

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Paolo_Tesse ha scritto: non capisco quale differenza ci sia tra
access-list 100 permit 172.16.0.0 255.255.0.0
e
access-list 100 permit 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255

Quello che dici è giusto, ma credo che il concetto più ostico in queste access list per intercettare network sta nel fatto che dei ricordare che una rete è composta da due parametri prefisso e subnet mask, quindi
una acl standard come quella che proponi
access-list 100 permit 172.16.0.0 0.0.255.255
specifica solo il prefisso, la subnet mask può essere qualunque, anche 172.16.0.0/24 risponde a questa definizione, fondamentalmente stai intercettando tutte le 172.16.X.X/X
mentre la acl extended che proponi
access-list 100 permit ip 172.16.0.0 0.0.255.255 255.255.0.0 0.0.255.255
intercetta tutte le 172.16.X.X/16 fino a 172.16.X.X/32 c'è differenza!

Inoltre se hai capito come stanno le cose sarà anche chiaro che
access-list 100 permit ip host 172.16.0.0 host 255.255.0.0
è equivalente a
access-list 172.16.0.0 0.0.255.255 host 255.255.0.0
perchè in ogni caso i due ottetti meno significativi del prefisso non contano in quanto finiscono nel campo host, così intercetti 172.16.0.0/16, ma la notazione con host ha più senso.

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #11

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Questo perchè una network
172.16.1.0 255.255.0.0
equivale a
172.16.0.0 255.255.0.0

è così?

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #12

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Paolo_Tesse ha scritto: Questo perchè una network
172.16.1.0 255.255.0.0
equivale a
172.16.0.0 255.255.0.0

Ma diciamo meglio che 172.16.1.0 255.255.0 è un host quindi non è teoricamente corretto mettere l'indirizzo di un host nella dichiarazione di una rete

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #13

  • Paolo_Tesse
  • Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 250
  • Ringraziamenti ricevuti 0
Quello che volevo dire è che, se
172.16.0.0 0.0.255.255
equivale a
172.16.0.0 0.0.0.0 (host 172.16.0.0)

Questo vuol dire che la network da dichiarare dipende solo dalla notazione (subnet mask) che diamo dopo e non dalla wildcard che gli associamo, è così?

Si prega Accedi a partecipare alla conversazione.

Capitolo 10 - Advanced IGP Redistribution 11 Anni 9 Mesi fa #14

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172
Io credo che dovresti soffermarti sul concetto e capire, regole generali è difficile darne, mi spiego meglio:

access-list 100 permit ip 172.16.0.0 0.0.255.255 host 255.255.0.0
è certamente equivalente a
access-list 100 permit ip host 172.16.0.0 host 255.255.0.0
nella prima ACL dici che il prefisso può essere qualunque 172.16.X.X ma con /16 fissa, quindi X.X non ha senso perchè non cade nel prefisso, ma funziona. Più sensata la seconda in cui dici prefisso 172.16.0.0 e maschera /16.

Questo vuol dire che host 172.16.0.0 è sempre equivalente a 172.16.0.0 0.0.255.255?
Assolutamente no!
access-list 100 permit ip host 172.16.0.0 host 255.255.255.0 intercetta solo 172.16.0.0/24
mentre
access-list 100 permit ip host 172.16.0.0 0.0.255.255 host 255.255.255.0 intercetta tutte le 172.16.X.0/24

Capisci a fondo il senso di queste ACL, non perdere energie a cercare semplici regole mnemoniche perchè non ti aiutano e possono tradirti.
Rileggi questo post e quelli precedenti, ho riportato tanti esempi tutti commentati, è più che sufficiente per capire come funzionano le cose.

Si prega Accedi a partecipare alla conversazione.
  • Pagina:
  • 1
Moderatori: jpalombi
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNP ROUTE
Capitolo 10 - Advanced IGP Redistribution