Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Poniamo il caso di avere un router su BGP in AS 65002 connesso ad un router in AS 65004 da cui riceve gli adv degli AS 65001 e 65003.
Il neighbor è 192.168.34.1 e sta in AS 65004. Se voglio filtrare gli adv contenenti AS 65003, sul router in AS 65002 se configuro ip as-path access-list 100 deny _65003_ router bgp 65002 neighbor 192.168.34.1 filter-list 100 in Cosa sto sbagliando, visto che la rotta contenente AS 65003 ancora sono visibili in sh ip bgp? BGP table version is 6, local router ID is 172.16.12.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.1.1.0/24 192.168.34.1 0 65004 65003 i *> 10.2.2.0/24 192.168.34.1 0 65004 65001 i *> 10.3.3.0/24 192.168.34.1 0 0 65004 i *> 10.20.0.0/22 192.168.34.1 0 65004 65001 i Grazie Paolo router bgp 65002 no synchronization bgp log-neighbor-changes network 172.16.0.0 mask 255.255.240.0 neighbor 192.168.34.1 remote-as 65004 neighbor 192.168.34.1 filter-list 100 in no auto-summary |
Si prega Accedi a partecipare alla conversazione. |
|
Dunque,
come prima cosa considera che le ip-as-path acl finiscono con un deny implicito quindi dovresti impostarle con un permit .* finale. Detto questo una volta impostati i filtri devi fare un clear ip bgp * per cancellare la tabella bgp e rinnovarla poichè i tempi di scan di default sono lenti quindi dovresti aspettare alternativamente 10 minuti |
Si prega Accedi a partecipare alla conversazione. |
|
ma l'access-list è corretta?
perchè aspettando un bel po' (diciamo che me ne sono accorto solo oggi) ho visto che sul router su cui l'ho impostata non vedo nessuna rotta. Senza access-list Network Next Hop Metric LocPrf Weight Path *> 10.1.1.0/24 192.168.34.1 0 65004 65003 i *> 10.2.2.0/24 192.168.34.1 0 65004 65001 i *> 10.3.3.0/24 192.168.34.1 0 0 65004 i *> 10.20.0.0/22 192.168.34.1 0 65004 65001 i *> 172.16.0.0/20 0.0.0.0 0 32768 i Con Access-list Network Next Hop Metric LocPrf Weight Path *> 172.16.0.0/20 0.0.0.0 0 32768 i Non è il comportamento voluto. Con "_65003_" non inibisco solo gli ADV delle rotte che "passano" per l'AS 65003? Grazie |
Si prega Accedi a partecipare alla conversazione. |
|
Mi cito da solo... come detto la acl va modificata aggiungendo un permit .* finale |
Si prega Accedi a partecipare alla conversazione. |
|
Scusa, ma la LOC_PREF se impostata su una network in BGP non viene annunciato ai neighbor di altri AS?
R3#sh run | sec bgp router bgp 65004 no synchronization bgp log-neighbor-changes network 10.3.3.0 mask 255.255.255.0 route-map SET-LOCPRF-57 neighbor 10.1.103.1 remote-as 65003 neighbor 10.1.203.2 remote-as 65001 neighbor 192.168.34.2 remote-as 65002 no auto-summary R2(config-if)#do sh ip bgp BGP table version is 15, local router ID is 10.20.3.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.1.1.0/24 10.1.203.3 0 65004 65003 i *> 10.2.2.0/24 0.0.0.0 0 52 i *> 10.3.3.0/24 10.1.203.3 0 0 65004 i *> 172.16.0.0/20 10.1.203.3 0 65004 65002 i Inoltre, se il router A, ABR di una totally NSSA, è connesso con il router B, ABR di una NSSA, redistribuisce EIGRP in OSPF, è corretto che sul OSPF database del router B non si vedano le rotte redistribuite da EIGRP in Router A? |
Si prega Accedi a partecipare alla conversazione. |
|
No, è esattamente il senso della Local Preference rimanere confinata all'interno dell'AS. Se vuoi comunicare un criterio di preferenza ad un AS vicino devi utilizzare la MED Se ho ben capito hai due ABR per una NSSA R1 ed R2, uno di questi, R1 è anche un ASBR, in questo caso i database di R1 ed R2 per l'area NSSA devono essere identici così come quelli dell'area 0. Se invece parli di tabella di routing possono esserci delle differenze in quanto l'ordine di preferenza delle reti è Intra-Area (O) Inter-Area (O IA) External Type 1 (E1) External Type 2 (E2) NSSA Type 1 (N1) NSSA Type 2 (N2) Quindi R2 vedrebbe nella sua tabella di routing le rotte redistribuite da R1 come E2 e non N2. |
Si prega Accedi a partecipare alla conversazione. |
|
Gli AS sono 2, un NSSA ed un Totally NSSA.
R1 e R2 sono ABR ciascuno di uno di questi AS, ma R1 è anche ASBR perchè redistribuisce EIGRP in OSPF. Quello che succede è che R2 non ha in tabella di routing le rotte redistribuite in R1; informazione importante è anche relativa al fatto che su R2 non c'è configurato EIGRP.. |
Si prega Accedi a partecipare alla conversazione. |
|
Non so che intendi per AS forse Aree? In ogni caso sarebbe opportuno che condividessi la topologia con un diagramma di massima perchè così è difficile capire.
|
Si prega Accedi a partecipare alla conversazione. |
|
Dal materiale evinco che, se su BGP voglio applicate delle route filtering, posso creare
ip prefix-list ip as-path route-map per applicare le quali, rispettivamente, devo configurare neig [IP] prefix-list [numero] in-out neig [IP] filter-list [numero] in-out neig [IP] route-map [nome] in-out Le distribute-list cosa filtrano? |
Si prega Accedi a partecipare alla conversazione. |
|
Inoltre un piccolo dubbio, nel caso di un AS-PATH
100 200 300 400 500 i l'AS di origine è il 500? Quindi se voglio filtrare con una ip as-path una rotta con questo AS-PATH devo creare ip as-path access-list 1 deny ^500$ ip as-path access-list 1 permit .* e poi, in bgp conf da cui voglio bloccare gli announcement neig [IP] filter-list 1 out giusto? |
Si prega Accedi a partecipare alla conversazione. |
|
Nel lab 6.3, nello step 5.b, il comando
SanJose1(config)# ip route 172.16.0.0 255.255.0.0 null0 ha senso solo perchè nel lab in bgp viene dichiarata la network in classfull network 172.16.0.0 oppure è necessario anche dichiarando network 172.16.64.0 mask 255.255.255.0 ? Infatti non pingo nemmeno 172.16.1.x .... Grazie |
Si prega Accedi a partecipare alla conversazione. |
|
Come le prefix list ma utilizzando le acl neighbor {ip-address | peer-group-name} distribute-list {access-list-number | expanded-list-number | access-list-name | prefix-list-name} {in | out} personalmente preferisco le prefix list, molto più leggibili |
Si prega Accedi a partecipare alla conversazione. |
|
BGP installa una rotta in tabella BGP se: 1.la rotta è annunciata da un neighbor 2.la rotta è redistribuita da un IGP 3.la rotta è presente in tabella di routing con identico prefisso e subnetmask di come dichiarata con il comando network Quindi ip route 172.16.0.0 255.255.0.0 null0 network 172.16.64.0 mask 255.255.255.0 Non inserisce la rotta in tabella a meno che non si cada nel punto 1 o 2 |
Si prega Accedi a partecipare alla conversazione. |