حظر شبكة واحدة أو أكثر من نظير BGP
المحتويات
المقدمة
تصفية المسار هي الأساس الذي يتم من خلاله تعيين سياسات بروتوكول العبارة الحدودية (BGP). هناك عدد من الطرق لتصفية شبكة واحدة أو أكثر من نظير BGP، بما في ذلك معلومات إمكانية الوصول إلى طبقة الشبكة (NLRI) و AS_PATH وسمات المجتمع. يناقش هذا المستند التصفية استنادا إلى NLRI فقط. للحصول على معلومات حول كيفية التصفية استنادا إلى AS_PATH، ارجع إلى إستخدام تعبيرات عادية في BGP. لمزيد من المعلومات، راجع قسم تصفية BGP من دراسات حالة BGP.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من أساسي BGP تشكيل. لمزيد من المعلومات، راجع دراسات حالة BGP وتكوين BGP.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى برنامج Cisco IOS® Software، الإصدار 12.2(28).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تحديد المسارات وتصفيتها استنادا إلى NLRI
لتقييد معلومات التوجيه التي يتعلمها الموجه أو يعلن عنها، يمكنك إستخدام عوامل التصفية استنادا إلى تحديثات التوجيه. تتكون عوامل التصفية من قائمة الوصول أو قائمة البادئات، والتي يتم تطبيقها على التحديثات للجيران ومن الجيران. يستكشف هذا وثيقة هذا خيار مع هذا شبكة رسم بياني:
الرسم التخطيطي للشبكة
التصفية باستخدام قائمة توزيع مع قائمة الوصول القياسية
يعلن الموجه 200 عن هذه الشبكات إلى الموجه النظير 100 الخاص به:
- 192.168.10.0/24
- 10.10.10.0/24
- 10.10.0.0/19
يتيح هذا التكوين العينة للموجه 100 رفض تحديث الشبكة 10.10.10.0/24 والسماح بتحديثات الشبكات 192.168.10.0/24 و 10.10.0.0/19 في جدول BGP الخاص بها:
| الموجه 100 |
|---|
hostname Router 100 ! router bgp 100 neighbor 172.16.1.2 remote-as 200 neighbor 172.16.1.2 distribute-list 1 in ! access-list 1 deny 10.10.10.0 0.0.0.255 access-list 1 permit any |
| الموجه 200 |
|---|
hostname Router 200 ! router bgp 200 no synchronization network 192.168.10.0 network 10.10.10.0 mask 255.255.255.0 network 10.10.0.0 mask 255.255.224.0 no auto-summary neighbor 172.16.1.1 remote-as 100 |
يؤكد إخراج الأمر show ip bgp هذا إجراءات الموجه 100:
Router 100# show ip bgp BGP table version is 3, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.10.0.0/19 172.16.1.2 0 0 200 i *> 192.168.10.0/24 172.16.1.2 0 0 200 i
التصفية باستخدام قائمة التوزيع مع قائمة الوصول الموسعة
قد يكون من الصعب إستخدام قائمة وصول قياسية لتصفية الشبكات الفائقة. بافتراض أن الموجه 200 يعلن عن هذه الشبكات:
- 10.10.1.0/24 حتى 10.10.31.0/24
- 10.10.0.0/19 (الإجمالي)
يرغب الموجه 100 في تلقي شبكة التجميع فقط، 10.10.0.0/19، وتصفية جميع الشبكات المحددة.
لن تعمل قائمة الوصول القياسية، مثل تصريح قائمة الوصول 1 10.10.0.0.0.31.255، لأنها تسمح بشبكات أكثر من المطلوب. تبحث قائمة الوصول القياسية في عنوان الشبكة فقط ولا يمكنها التحقق من طول قناع الشبكة. وستسمح قائمة الوصول القياسية هذه بمجموعة /19 بالإضافة إلى شبكات /24 الأكثر تحديدا.
للسماح بالشبكة الفائقة 10.10.0.0/19 فقط، أستخدم قائمة الوصول الموسعة، مثل السماح ل access-list 101 ip 10.10.0.0.0.0 255.255.224.0.0.0.0. ارجع إلى قائمة الوصول (IP Extended) لتنسيق الأمر access-list الموسع.
في مثالنا، المصدر هو 10.10.0.0 ويتم تكوين حرف البدل للمصدر 0.0.0.0 لمطابقة المصدر بدقة. يتم تكوين قناع 255.255.224.0، وحرف بدل قناع 0.0.0.0 لمطابقة دقيقة لقناع المصدر. إذا لم يكن لأي واحد منهم (مصدر أو قناع) تطابق تام، فإن قائمة الوصول ترفضه.
وهذا يسمح لأمر access-list الموسع بالسماح بالمطابقة الدقيقة لرقم شبكة المصدر 10.10.0.0 مع القناع 255.255.224.0 (وبالتالي، 10.10.0.0/19). ستتم تصفية الشبكات /24 الأخرى الأكثر تحديدا.
هذا هو التكوين على الموجه 100:
| الموجه 100 |
|---|
hostname Router 100 ! router bgp 100 !--- Output suppressed. neighbor 172.16.1.2 remote-as 200 neighbor 172.17.1.2 distribute-list 101 in ! ! access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0 |
يؤكد إخراج الأمر show ip bgp من الموجه 100 على أن قائمة الوصول تعمل كما هو متوقع.
Router 100# show ip bgp BGP table version is 2, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.10.0.0/19 172.16.1.2 0 0 200 i
كما هو موضح في هذا القسم، تكون قوائم الوصول الموسعة أكثر ملاءمة للاستخدام عندما يجب السماح ببعض الشبكات وبعضها غير مسموح به، داخل الشبكة الرئيسية نفسها. توفر هذه الأمثلة مزيد من المعلومات حول كيفية مساعدة قائمة الوصول الموسعة في بعض الحالات:
- قائمة الوصول 101 تصريح IP 192.168.0.0.0.0 255.255.252.0.0.0
تسمح قائمة الوصول هذه للشبكة الفائقة 192.168.0.0/22 فقط. - السماح ب Access-list 102 IP 192.168.10.0.0.0.255.255.255.0.0.0.255
تسمح قائمة الوصول هذه لجميع الشبكات الفرعية ل 192.168.10.0/24. بمعنى آخر، سيتيح شبكات 192.168.10.0/24 و 192.168.10.0/25 و 192.168.10.128/25 وما إلى ذلك: أي من شبكات 192.168.10.x ذات قناع يتراوح من 24 إلى 32. - Access-list 103 Permit IP 0.0.0.0 255.255.255.255.255.255.255.0.0.255
تسمح قائمة الوصول هذه لأي بادئة شبكة بقناع تتراوح من 24 إلى 32.
التصفية باستخدام أمر ip prefix-list
يعلن الموجه 200 عن هذه الشبكات إلى الموجه النظير 100 الخاص به:
- 192.168.10.0/24
- 10.10.10.0/24
- 10.10.0.0/19
يستخدم نموذج التكوينات في هذا القسم أمر ip prefix-list، والذي يمكن الموجه 100 من القيام بأمرين:
- السماح بتحديثات أي شبكة بطول قناع البادئة أقل من أو يساوي 19.
- رفض جميع تحديثات الشبكة التي لها طول قناع الشبكة أكبر من 19.
| الموجه 100 |
|---|
hostname Router 100 ! router bgp 100 neighbor 172.16.1.2 remote-as 200 neighbor 172.16.1.2 prefix-list cisco in ! ip prefix-list cisco seq 10 permit 0.0.0.0/0 le 19 |
| الموجه 200 |
|---|
hostname Router 200 ! router bgp 200 no synchronization network 192.168.10.0 network 10.10.10.0 mask 255.255.255.0 network 10.10.0.0 mask 255.255.224.0 no auto-summary neighbor 172.16.1.1 remote-as 100 |
يؤكد إخراج الأمر show ip bgp أن قائمة البادئات تعمل كما هو متوقع على الموجه 100.
Router 100# show ip bgp BGP table version is 2, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.10.0.0/19 172.16.1.2 0 0 200 i
في الختام، يعد إستخدام قوائم البادئات الطريقة الأكثر ملاءمة لتصفية الشبكات في BGP. ومع ذلك، في بعض الحالات - على سبيل المثال، عندما تريد تصفية الشبكات الفردية والزوجية أثناء التحكم أيضا في طول القناع - ستوفر لك قوائم الوصول الموسعة مرونة وتحكما أكبر من قوائم البادئات.
تصفية المسارات الافتراضية من نظراء BGP
يمكنك تصفية مسار افتراضي أو حظره، مثل 0.0.0.0/32 الذي يتم الإعلان عنه بواسطة نظير BGP، باستخدام أمر prefix-list. يمكنك رؤية إدخال 0.0.0.0 المتوفر باستخدام الأمر show ip bgp.
Router 100#show ip bgp
BGP table version is 5, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 0.0.0.0 172.16.1.2 0 0 200 i
يتم إجراء نموذج التكوين في هذا القسم على الموجه 100 باستخدام الأمر ip prefix-list.
| الموجه 100 |
|---|
hostname Router 100 ! router bgp 100 neighbor 172.16.1.2 remote-as 200 neighbor 172.16.1.2 prefix-list deny-route in ! ip prefix-list deny-route seq 5 deny 0.0.0.0/0 ip prefix-list deny-route seq 10 permit 0.0.0.0/0 le 32 |
إذا قمت بتشغيل show ip bgp بعد هذا التكوين، فلن ترى الإدخال 0.0.0.0، والذي كان متوفرا في إخراج show ip bgp السابق.
معلومات ذات صلة
التعليقات