форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"BGP и access-list"

Сообщение от Markoff (ok) on 06-Дек-08, 12:18

Подскажите, уважаемые гуру. Есть некий маршрутизатор, принимающий bgp. За ним есть некий хост, которому нужно разрешить ходить только по тем адресам, которые входят в обрако bgp. Как это сделать? Можно, конечно убрать на этом хосте дефолтный маршрут, но это не есть защита. Надо сделать как-то с использованием access-list Ниже конфиг (адреса изменены, но суть осталась) ! interface GigabitEthernet0/0 description ---------- GE 0/0 External Ethernet Interface ip address 13.12.11.10 255.255.255.0 ip access-group 100 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip inspect fw-out out ip virtual-reassembly duplex full speed 100 media-type rj45 no cdp enable ! interface GigabitEthernet0/1 description ---------- GE 0/1 Internal Ethernet Interface ip address 13.12.10.1 255.255.255.0 ip access-group 101 in ip nat inside ip inspect fw-in out ip virtual-reassembly duplex auto speed auto media-type rj45 ! router bgp 16555 no synchronization bgp log-neighbor-changes network 13.12.10.0 mask 255.255.255.0 neighbor 13.12.11.1 remote-as 15555 neighbor 13.12.11.1 version 4 neighbor 13.12.11.1 send-community ! access-list 100 permit tcp any host 13.12.10.2 eq 22 access-list 100 deny ip any any log access-list 101 permit ip any any !

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "BGP и access-list"

Сообщение от Av (??) on 06-Дек-08, 14:43

>Надо сделать как-то с использованием access-list Так делайте с использованием access-list'ов. В чем же проблема? access-list 101 permit ip 13.12.10.2 ... access-list 101 deny ip 13.12.10.2 any access-list 100 permit ip ... 13.12.10.2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "BGP и access-list"
	Сообщение от Markoff (ok) on 06-Дек-08, 16:13
	>Так делайте с использованием access-list'ов. В чем же проблема? проблема в моем незнании, видимо. так можно прописать, но это, если сети не меняются. предположим, что сегодня в облаке такие сети: 13.10.10.0/24 13.10.11.0/24 а завтра такие: 13.10.10.0/24 13.10.15.0/24 на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). И эти сети очень часто меняются (добавляются новые, уходят старые). А надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ только в те сети, которые о себе анонсируют по bgp.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "BGP и access-list"
	Сообщение от KiM on 06-Дек-08, 16:34
	>[оверквотинг удален] >13.10.10.0/24 >13.10.11.0/24 >а завтра такие: >13.10.10.0/24 >13.10.15.0/24 >на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). >И эти сети очень часто меняются (добавляются новые, уходят старые). А >надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим >сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ >только в те сети, которые о себе анонсируют по bgp. mpls & address-family ipv4 vrf
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "BGP и access-list"
	Сообщение от den (??) on 08-Дек-08, 14:29
	>[оверквотинг удален] >>13.10.10.0/24 >>13.10.11.0/24 >>а завтра такие: >>13.10.10.0/24 >>13.10.15.0/24 >>на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). >>И эти сети очень часто меняются (добавляются новые, уходят старые). А >>надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим >>сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ >>только в те сети, которые о себе анонсируют по bgp. ну дык если этой сети нету в таблице роутинга на рутере, то он сгенерит клиенту icmp dest net unreach и  пакет никуда не уйдет дальше сервера.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "BGP и access-list"
	Сообщение от Markoff (ok) on 08-Дек-08, 14:32
	>ну дык если этой сети нету в таблице роутинга на рутере, то >он сгенерит клиенту icmp dest net unreach и  пакет никуда >не уйдет дальше сервера. на роутере-то есть дефолтный маршрут. более того, есть хосты, которым надо ходить везде, но есть и те, которым только внутри облака.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "BGP и access-list"
	Сообщение от den (??) on 30-Дек-08, 10:55
	маршрутизатор на чем сделан ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "BGP и access-list"
	Сообщение от EDA_SPB on 30-Дек-08, 13:10
	>[оверквотинг удален] >>а завтра такие: >>13.10.10.0/24 >>13.10.15.0/24 >>на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). >>И эти сети очень часто меняются (добавляются новые, уходят старые). А >>надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим >>сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ >>только в те сети, которые о себе анонсируют по bgp. > >mpls & address-family ipv4 vrf Вариант. Но часто такая схема довольно тяжело реализуема. Первое что подумалось - динамика между рутером и машиной с redestribute bgp. Без дефолта на машине. Второе - замарочиться со скриптами. Bgpq + upload.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]