ARGOMENTO:

Poniamo il caso di avere un router su BGP in AS 65002 connesso ad un router in AS 65004 da cui riceve gli adv degli AS 65001 e 65003.
Il neighbor è 192.168.34.1 e sta in AS 65004.
Se voglio filtrare gli adv contenenti AS 65003, sul router in AS 65002 se configuro

ip as-path access-list 100 deny _65003_
router bgp 65002
neighbor 192.168.34.1 filter-list 100 in

Cosa sto sbagliando, visto che la rotta contenente AS 65003 ancora sono visibili in
sh ip bgp?
BGP table version is 6, local router ID is 172.16.12.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.0/24 192.168.34.1 0 65004 65003 i
*> 10.2.2.0/24 192.168.34.1 0 65004 65001 i
*> 10.3.3.0/24 192.168.34.1 0 0 65004 i
*> 10.20.0.0/22 192.168.34.1 0 65004 65001 i

Grazie
Paolo

router bgp 65002
no synchronization
bgp log-neighbor-changes
network 172.16.0.0 mask 255.255.240.0
neighbor 192.168.34.1 remote-as 65004
neighbor 192.168.34.1 filter-list 100 in
no auto-summary

Dunque,
come prima cosa considera che le ip-as-path acl finiscono con un deny implicito quindi dovresti impostarle con un permit .* finale.

Detto questo una volta impostati i filtri devi fare un clear ip bgp * per cancellare la tabella bgp e rinnovarla poichè i tempi di scan di default sono lenti quindi dovresti aspettare alternativamente 10 minuti

ma l'access-list è corretta?

perchè aspettando un bel po' (diciamo che me ne sono accorto solo oggi) ho visto che sul router su cui l'ho impostata non vedo nessuna rotta.

Senza access-list
Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.0/24 192.168.34.1 0 65004 65003 i
*> 10.2.2.0/24 192.168.34.1 0 65004 65001 i
*> 10.3.3.0/24 192.168.34.1 0 0 65004 i
*> 10.20.0.0/22 192.168.34.1 0 65004 65001 i
*> 172.16.0.0/20 0.0.0.0 0 32768 i

Con Access-list
Network Next Hop Metric LocPrf Weight Path
*> 172.16.0.0/20 0.0.0.0 0 32768 i

Non è il comportamento voluto.
Con "_65003_" non inibisco solo gli ADV delle rotte che "passano" per l'AS 65003?

Grazie

vspaziani ha scritto: come prima cosa considera che le ip-as-path acl finiscono con un deny implicito quindi dovresti impostarle con un permit .* finale.

Mi cito da solo... come detto la acl va modificata aggiungendo un permit .* finale

Scusa, ma la LOC_PREF se impostata su una network in BGP non viene annunciato ai neighbor di altri AS?

R3#sh run | sec bgp
router bgp 65004
no synchronization
bgp log-neighbor-changes
network 10.3.3.0 mask 255.255.255.0 route-map SET-LOCPRF-57
neighbor 10.1.103.1 remote-as 65003
neighbor 10.1.203.2 remote-as 65001
neighbor 192.168.34.2 remote-as 65002
no auto-summary

R2(config-if)#do sh ip bgp
BGP table version is 15, local router ID is 10.20.3.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.0/24 10.1.203.3 0 65004 65003 i
*> 10.2.2.0/24 0.0.0.0 0 52 i
*> 10.3.3.0/24 10.1.203.3 0 0 65004 i
*> 172.16.0.0/20 10.1.203.3 0 65004 65002 i


Inoltre, se il router A, ABR di una totally NSSA, è connesso con il router B, ABR di una NSSA, redistribuisce EIGRP in OSPF, è corretto che sul OSPF database del router B non si vedano le rotte redistribuite da EIGRP in Router A?

Paolo_Tesse ha scritto: Scusa, ma la LOC_PREF se impostata su una network in BGP non viene annunciato ai neighbor di altri AS?

No, è esattamente il senso della Local Preference rimanere confinata all'interno dell'AS. Se vuoi comunicare un criterio di preferenza ad un AS vicino devi utilizzare la MED

Paolo_Tesse ha scritto: Inoltre, se il router A, ABR di una totally NSSA, è connesso con il router B, ABR di una NSSA, redistribuisce EIGRP in OSPF, è corretto che sul OSPF database del router B non si vedano le rotte redistribuite da EIGRP in Router A?

Se ho ben capito hai due ABR per una NSSA R1 ed R2, uno di questi, R1 è anche un ASBR, in questo caso i database di R1 ed R2 per l'area NSSA devono essere identici così come quelli dell'area 0.

Se invece parli di tabella di routing possono esserci delle differenze in quanto l'ordine di preferenza delle reti è
Intra-Area (O)
Inter-Area (O IA)
External Type 1 (E1)
External Type 2 (E2)
NSSA Type 1 (N1)
NSSA Type 2 (N2)

Quindi R2 vedrebbe nella sua tabella di routing le rotte redistribuite da R1 come E2 e non N2.

Gli AS sono 2, un NSSA ed un Totally NSSA.

R1 e R2 sono ABR ciascuno di uno di questi AS, ma R1 è anche ASBR perchè redistribuisce EIGRP in OSPF.

Quello che succede è che R2 non ha in tabella di routing le rotte redistribuite in R1; informazione importante è anche relativa al fatto che su R2 non c'è configurato EIGRP..

Non so che intendi per AS forse Aree? In ogni caso sarebbe opportuno che condividessi la topologia con un diagramma di massima perchè così è difficile capire.

Dal materiale evinco che, se su BGP voglio applicate delle route filtering, posso creare
ip prefix-list
ip as-path
route-map

per applicare le quali, rispettivamente, devo configurare
neig [IP] prefix-list [numero] in-out
neig [IP] filter-list [numero] in-out
neig [IP] route-map [nome] in-out

Le distribute-list cosa filtrano?

Inoltre un piccolo dubbio, nel caso di un AS-PATH

100 200 300 400 500 i

l'AS di origine è il 500?

Quindi se voglio filtrare con una ip as-path una rotta con questo AS-PATH devo creare
ip as-path access-list 1 deny ^500$
ip as-path access-list 1 permit .*

e poi, in bgp conf da cui voglio bloccare gli announcement
neig [IP] filter-list 1 out

giusto?

Nel lab 6.3, nello step 5.b, il comando
SanJose1(config)# ip route 172.16.0.0 255.255.0.0 null0
ha senso solo perchè nel lab in bgp viene dichiarata la network in classfull
network 172.16.0.0
oppure è necessario anche dichiarando
network 172.16.64.0 mask 255.255.255.0 ?

Infatti non pingo nemmeno 172.16.1.x ....

Grazie

Paolo_Tesse ha scritto: Le distribute-list cosa filtrano?

Come le prefix list ma utilizzando le acl
neighbor {ip-address | peer-group-name} distribute-list {access-list-number | expanded-list-number | access-list-name | prefix-list-name} {in | out}

personalmente preferisco le prefix list, molto più leggibili

Paolo_Tesse ha scritto: Nel lab 6.3, nello step 5.b, il comando
SanJose1(config)# ip route 172.16.0.0 255.255.0.0 null0
ha senso solo perchè nel lab in bgp viene dichiarata la network in classfull
network 172.16.0.0
oppure è necessario anche dichiarando
network 172.16.64.0 mask 255.255.255.0 ?

Infatti non pingo nemmeno 172.16.1.x ....

Grazie

BGP installa una rotta in tabella BGP se:
1.la rotta è annunciata da un neighbor
2.la rotta è redistribuita da un IGP
3.la rotta è presente in tabella di routing con identico prefisso e subnetmask di come dichiarata con il comando network

Quindi
ip route 172.16.0.0 255.255.0.0 null0
network 172.16.64.0 mask 255.255.255.0
Non inserisce la rotta in tabella a meno che non si cada nel punto 1 o 2