CCIE.pl

site 4 CCIE wannabies
It is currently 23 Aug 2017, 06:14

All times are UTC+02:00




Post new topic  Reply to topic  [ 9 posts ] 
Author Message
 Post subject: distribution list eigrp
Post #1 Posted: 24 May 2017, 11:54 
Offline
wannabe
wannabe

Joined: 12 Jun 2011, 21:53
Posts: 136
Witam,

Nie wiem co robię źle, ale nie umiem sobie poradzić z distribution list w EIGRP. Moim założeniem jest, aby wszystkie sieci na tym routerze nie miały dostępu do sieci: 10.10.38.0/24. Mimo takiej konfiguracji jak poniżej mam dostęp do sieci 10.10.38.0, ping odpowiada.
Ustawiłem ACL:

Code:
access-list 20 deny   10.10.38.0 0.0.0.255
access-list 20 permit any

router eigrp 20
distribute-list 20 in Tunnel1
network 10.10.6.0 0.0.0.127
passive-interface default
no passive-interface Tunnel1
!


Proszę o pomoc.


Top
   
Post #2 Posted: 24 May 2017, 12:45 
Offline
wannabe
wannabe

Joined: 12 Jun 2011, 21:53
Posts: 136
Mam dwa routery 2921 połączone ze sobą za pomocą VPN site to site. Używam tylko EIGRP jako routingu.
R1: routuje adresację 10.10.38.0/24, R2 (konfig we wcześniejszym poście) ma inne podsieci. Umieszczam distribution list (na R2) po to, by sieci z routera R2 nie miały dostępu do sieci z R1 (10.10.38.0/24). Obecnie moja konfiguracja nie działa. Z R2 mam dostęp do sieci 10.10.38.0/24.


Top
   
Post #3 Posted: 24 May 2017, 13:03 
Offline
wannabe
wannabe

Joined: 18 Feb 2011, 12:28
Posts: 176
Pokaż:

Code:
sh ip route


z R2.


Top
   
Post #4 Posted: 24 May 2017, 13:36 
Offline
wannabe
wannabe

Joined: 12 Jun 2011, 21:53
Posts: 136
Umieszczam to w IN na R2, ponieważ R1 jest odpowiedzialny za sieć 10.10.38.0/24. Natomiast do R2 nie chce wpuszczać routingu z tej podsieci.


Top
   
Post #5 Posted: 24 May 2017, 13:45 
Offline
wannabe
wannabe

Joined: 12 Jun 2011, 21:53
Posts: 136
sh ip route na R2

Code:
D*EX  0.0.0.0/0 [170/28160256] via 10.10.18.67, 03:40:38, Tunnel1
      10.0.0.0/8 is variably subnetted, 30 subnets, 4 masks
C        10.10.6.0/25 is directly connected, GigabitEthernet0/2.102
L        10.10.6.1/32 is directly connected, GigabitEthernet0/2.102
D        10.10.6.128/25 [90/2685184] via 10.10.18.67, 00:04:22, Tunnel1
D        10.10.18.0/26 [90/2684928] via 10.10.18.67, 00:04:22, Tunnel1
C        10.10.18.64/26 is directly connected, Tunnel1
L        10.10.18.66/32 is directly connected, Tunnel1
D        10.10.34.5/32 [90/2812928] via 10.10.18.67, 00:04:22, Tunnel1
D        10.10.40.0/24 [90/29440256] via 10.10.18.67, 03:40:38, Tunnel1
C        10.10.146.0/26 is directly connected, GigabitEthernet0/0
L        10.10.146.2/32 is directly connected, GigabitEthernet0/0
D     192.168.33.0/24 [90/28160256] via 10.10.18.67, 03:40:38, Tunnel1


Kiedy wyłącze distribution-list in na eigrp, to pojawia się w tablicy adresacja 10.10.38.0/24.


Top
   
Post #6 Posted: 24 May 2017, 13:46 
Offline
wannabe
wannabe

Joined: 18 Feb 2011, 12:28
Posts: 176
Nawet bez tej trasy 10.10.38.0/24 pchasz wszystko przez Tunnel1 bo tam prowadzi default route.


Top
   
Post #7 Posted: 24 May 2017, 15:46 
Offline
wannabe
wannabe
User avatar

Joined: 02 Aug 2009, 15:23
Posts: 96
Cześć,

Skoro nie masz w tabeli routingu routera R2 trasy do 10.10.38.0/24 to znaczy, że osiągnąłeś sukces w konfiguracji distribute-listy. Niestety to rozwiązanie nie zapewni tego, co chcesz osiągnąć, bo jest tak, jak pisze mmoryto - jeśli trasa domyślna 0.0.0.0/0 z R2 prowadzi do routera R1, to nawet jeśli nie ma w tabeli routingu routera R2 trasy do 10.10.38.0/24 to pakiety do tej sieci i tak pójdą do R1 trasą domyślną. W drugą stronę wrócą też z powodzeniem, bo na routerze R1 masz na pewno trasy do sieci znajdujących się za R2. Jeśli nie możesz się pozbyć z tabeli routingu routera R2 trasy domyślnej (a zapewne nie możesz), to trzeba to rozwiązać inaczej, np. założyć na routerze R2 access-listę zabraniającą wszystkim wysyłania pakietów do sieci 10.10.38.0/24. Może też być na R1 access-lista zabraniająca wysyłania pakietów do sieci 10.10.38.0/24 z sieci znajdujących się za R2. To tak na szybko najprostsze rozwiązanie bez wchodzenia w niuanse.

Pozdrawiam!

JD


Top
   
Post #8 Posted: 26 May 2017, 09:59 
Offline
wannabe
wannabe

Joined: 12 Jun 2011, 21:53
Posts: 136
Dziękuję.
Mogę zastosować ACL na VLANie i chyba tak zrobię. Pytanie czy mogę zastosować ACL z deny dla default routing i umieścić to na distribution-list 20 out vlan120?
Ograniczając dostęp do sieci 10.10.38.0/24 i do 0.0.0.0 na poziomie distribute-list?


Top
   
Post #9 Posted: 31 May 2017, 11:29 
Offline
wannabe
wannabe
User avatar

Joined: 02 Aug 2009, 15:23
Posts: 96
Obawiam się, że trochę mylisz pojęcia. Distribute-lista nie ogranicza dostępu. Distribute-lista filtruje prefixy, które otrzymujesz przez eigrp od drugiego routera i może zdecydować o tym, że jakieś sieci będą zainstalowane w Twojej tabeli routingu, a inne nie. Jeśli nie potrzebujesz mieć trasy domyślnej na routerze R2, to oczywiście możesz ją wyfiltrować przy pomocy distribute listy, tylko zakładałem, że skoro wysyłasz trasę domyślną z R1 do R2, to jest Ci ona tam potrzebna.

O ACL'ce mówiłem w kontekście normalnie filtrowania ruchu na interfejsie, a nie w kontekście użycia jej w distribute-liście. Normalnie "ip access-group..." itd.

Pozdrawiam!

JD


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 9 posts ] 

All times are UTC+02:00


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited