CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 21 paź 2017, 12:06

Strefa czasowa UTC+02:00




Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 
Autor Wiadomość
Post #1 : 24 maja 2017, 11:54 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 139
Witam,

Nie wiem co robię źle, ale nie umiem sobie poradzić z distribution list w EIGRP. Moim założeniem jest, aby wszystkie sieci na tym routerze nie miały dostępu do sieci: 10.10.38.0/24. Mimo takiej konfiguracji jak poniżej mam dostęp do sieci 10.10.38.0, ping odpowiada.
Ustawiłem ACL:
Kod:
access-list 20 deny   10.10.38.0 0.0.0.255
access-list 20 permit any

router eigrp 20
distribute-list 20 in Tunnel1
network 10.10.6.0 0.0.0.127
passive-interface default
no passive-interface Tunnel1
!
Proszę o pomoc.


Na górę
Post #2 : 24 maja 2017, 12:45 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 139
Mam dwa routery 2921 połączone ze sobą za pomocą VPN site to site. Używam tylko EIGRP jako routingu.
R1: routuje adresację 10.10.38.0/24, R2 (konfig we wcześniejszym poście) ma inne podsieci. Umieszczam distribution list (na R2) po to, by sieci z routera R2 nie miały dostępu do sieci z R1 (10.10.38.0/24). Obecnie moja konfiguracja nie działa. Z R2 mam dostęp do sieci 10.10.38.0/24.


Na górę
Post #3 : 24 maja 2017, 13:03 
Offline
wannabe
wannabe

Rejestracja: 18 lut 2011, 12:28
Posty: 177
Pokaż:
Kod:
sh ip route
z R2.


Na górę
Post #4 : 24 maja 2017, 13:36 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 139
Umieszczam to w IN na R2, ponieważ R1 jest odpowiedzialny za sieć 10.10.38.0/24. Natomiast do R2 nie chce wpuszczać routingu z tej podsieci.


Na górę
Post #5 : 24 maja 2017, 13:45 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 139
sh ip route na R2
Kod:
D*EX  0.0.0.0/0 [170/28160256] via 10.10.18.67, 03:40:38, Tunnel1
      10.0.0.0/8 is variably subnetted, 30 subnets, 4 masks
C        10.10.6.0/25 is directly connected, GigabitEthernet0/2.102
L        10.10.6.1/32 is directly connected, GigabitEthernet0/2.102
D        10.10.6.128/25 [90/2685184] via 10.10.18.67, 00:04:22, Tunnel1
D        10.10.18.0/26 [90/2684928] via 10.10.18.67, 00:04:22, Tunnel1
C        10.10.18.64/26 is directly connected, Tunnel1
L        10.10.18.66/32 is directly connected, Tunnel1
D        10.10.34.5/32 [90/2812928] via 10.10.18.67, 00:04:22, Tunnel1
D        10.10.40.0/24 [90/29440256] via 10.10.18.67, 03:40:38, Tunnel1
C        10.10.146.0/26 is directly connected, GigabitEthernet0/0
L        10.10.146.2/32 is directly connected, GigabitEthernet0/0
D     192.168.33.0/24 [90/28160256] via 10.10.18.67, 03:40:38, Tunnel1
Kiedy wyłącze distribution-list in na eigrp, to pojawia się w tablicy adresacja 10.10.38.0/24.


Na górę
Post #6 : 24 maja 2017, 13:46 
Offline
wannabe
wannabe

Rejestracja: 18 lut 2011, 12:28
Posty: 177
Nawet bez tej trasy 10.10.38.0/24 pchasz wszystko przez Tunnel1 bo tam prowadzi default route.


Na górę
Post #7 : 24 maja 2017, 15:46 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 sie 2009, 15:23
Posty: 107
Cześć,

Skoro nie masz w tabeli routingu routera R2 trasy do 10.10.38.0/24 to znaczy, że osiągnąłeś sukces w konfiguracji distribute-listy. Niestety to rozwiązanie nie zapewni tego, co chcesz osiągnąć, bo jest tak, jak pisze mmoryto - jeśli trasa domyślna 0.0.0.0/0 z R2 prowadzi do routera R1, to nawet jeśli nie ma w tabeli routingu routera R2 trasy do 10.10.38.0/24 to pakiety do tej sieci i tak pójdą do R1 trasą domyślną. W drugą stronę wrócą też z powodzeniem, bo na routerze R1 masz na pewno trasy do sieci znajdujących się za R2. Jeśli nie możesz się pozbyć z tabeli routingu routera R2 trasy domyślnej (a zapewne nie możesz), to trzeba to rozwiązać inaczej, np. założyć na routerze R2 access-listę zabraniającą wszystkim wysyłania pakietów do sieci 10.10.38.0/24. Może też być na R1 access-lista zabraniająca wysyłania pakietów do sieci 10.10.38.0/24 z sieci znajdujących się za R2. To tak na szybko najprostsze rozwiązanie bez wchodzenia w niuanse.

Pozdrawiam!

JD


Na górę
Post #8 : 26 maja 2017, 09:59 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 139
Dziękuję.
Mogę zastosować ACL na VLANie i chyba tak zrobię. Pytanie czy mogę zastosować ACL z deny dla default routing i umieścić to na distribution-list 20 out vlan120?
Ograniczając dostęp do sieci 10.10.38.0/24 i do 0.0.0.0 na poziomie distribute-list?


Na górę
Post #9 : 31 maja 2017, 11:29 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 sie 2009, 15:23
Posty: 107
Obawiam się, że trochę mylisz pojęcia. Distribute-lista nie ogranicza dostępu. Distribute-lista filtruje prefixy, które otrzymujesz przez eigrp od drugiego routera i może zdecydować o tym, że jakieś sieci będą zainstalowane w Twojej tabeli routingu, a inne nie. Jeśli nie potrzebujesz mieć trasy domyślnej na routerze R2, to oczywiście możesz ją wyfiltrować przy pomocy distribute listy, tylko zakładałem, że skoro wysyłasz trasę domyślną z R1 do R2, to jest Ci ona tam potrzebna.

O ACL'ce mówiłem w kontekście normalnie filtrowania ruchu na interfejsie, a nie w kontekście użycia jej w distribute-liście. Normalnie "ip access-group..." itd.

Pozdrawiam!

JD


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 

Strefa czasowa UTC+02:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl