distribution list eigrp

Problemy związane z routingiem
Wiadomość
Autor
ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

distribution list eigrp

#1

#1 Post autor: ukaszq »

Witam,

Nie wiem co robię źle, ale nie umiem sobie poradzić z distribution list w EIGRP. Moim założeniem jest, aby wszystkie sieci na tym routerze nie miały dostępu do sieci: 10.10.38.0/24. Mimo takiej konfiguracji jak poniżej mam dostęp do sieci 10.10.38.0, ping odpowiada.
Ustawiłem ACL:

Kod: Zaznacz cały

access-list 20 deny   10.10.38.0 0.0.0.255
access-list 20 permit any

router eigrp 20
distribute-list 20 in Tunnel1
network 10.10.6.0 0.0.0.127
passive-interface default
no passive-interface Tunnel1
!
Proszę o pomoc.

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: distribution list eigrp

#2

#2 Post autor: ukaszq »

Mam dwa routery 2921 połączone ze sobą za pomocą VPN site to site. Używam tylko EIGRP jako routingu.
R1: routuje adresację 10.10.38.0/24, R2 (konfig we wcześniejszym poście) ma inne podsieci. Umieszczam distribution list (na R2) po to, by sieci z routera R2 nie miały dostępu do sieci z R1 (10.10.38.0/24). Obecnie moja konfiguracja nie działa. Z R2 mam dostęp do sieci 10.10.38.0/24.

mmoryto
wannabe
wannabe
Posty: 194
Rejestracja: 18 lut 2011, 12:28
Lokalizacja: Kanada

Re: distribution list eigrp

#3

#3 Post autor: mmoryto »

Pokaż:

Kod: Zaznacz cały

sh ip route
z R2.

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: distribution list eigrp

#4

#4 Post autor: ukaszq »

Umieszczam to w IN na R2, ponieważ R1 jest odpowiedzialny za sieć 10.10.38.0/24. Natomiast do R2 nie chce wpuszczać routingu z tej podsieci.

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: distribution list eigrp

#5

#5 Post autor: ukaszq »

sh ip route na R2

Kod: Zaznacz cały

D*EX  0.0.0.0/0 [170/28160256] via 10.10.18.67, 03:40:38, Tunnel1
      10.0.0.0/8 is variably subnetted, 30 subnets, 4 masks
C        10.10.6.0/25 is directly connected, GigabitEthernet0/2.102
L        10.10.6.1/32 is directly connected, GigabitEthernet0/2.102
D        10.10.6.128/25 [90/2685184] via 10.10.18.67, 00:04:22, Tunnel1
D        10.10.18.0/26 [90/2684928] via 10.10.18.67, 00:04:22, Tunnel1
C        10.10.18.64/26 is directly connected, Tunnel1
L        10.10.18.66/32 is directly connected, Tunnel1
D        10.10.34.5/32 [90/2812928] via 10.10.18.67, 00:04:22, Tunnel1
D        10.10.40.0/24 [90/29440256] via 10.10.18.67, 03:40:38, Tunnel1
C        10.10.146.0/26 is directly connected, GigabitEthernet0/0
L        10.10.146.2/32 is directly connected, GigabitEthernet0/0
D     192.168.33.0/24 [90/28160256] via 10.10.18.67, 03:40:38, Tunnel1
Kiedy wyłącze distribution-list in na eigrp, to pojawia się w tablicy adresacja 10.10.38.0/24.

mmoryto
wannabe
wannabe
Posty: 194
Rejestracja: 18 lut 2011, 12:28
Lokalizacja: Kanada

Re: distribution list eigrp

#6

#6 Post autor: mmoryto »

Nawet bez tej trasy 10.10.38.0/24 pchasz wszystko przez Tunnel1 bo tam prowadzi default route.

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: distribution list eigrp

#7

#7 Post autor: judge dredd »

Cześć,

Skoro nie masz w tabeli routingu routera R2 trasy do 10.10.38.0/24 to znaczy, że osiągnąłeś sukces w konfiguracji distribute-listy. Niestety to rozwiązanie nie zapewni tego, co chcesz osiągnąć, bo jest tak, jak pisze mmoryto - jeśli trasa domyślna 0.0.0.0/0 z R2 prowadzi do routera R1, to nawet jeśli nie ma w tabeli routingu routera R2 trasy do 10.10.38.0/24 to pakiety do tej sieci i tak pójdą do R1 trasą domyślną. W drugą stronę wrócą też z powodzeniem, bo na routerze R1 masz na pewno trasy do sieci znajdujących się za R2. Jeśli nie możesz się pozbyć z tabeli routingu routera R2 trasy domyślnej (a zapewne nie możesz), to trzeba to rozwiązać inaczej, np. założyć na routerze R2 access-listę zabraniającą wszystkim wysyłania pakietów do sieci 10.10.38.0/24. Może też być na R1 access-lista zabraniająca wysyłania pakietów do sieci 10.10.38.0/24 z sieci znajdujących się za R2. To tak na szybko najprostsze rozwiązanie bez wchodzenia w niuanse.

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: distribution list eigrp

#8

#8 Post autor: ukaszq »

Dziękuję.
Mogę zastosować ACL na VLANie i chyba tak zrobię. Pytanie czy mogę zastosować ACL z deny dla default routing i umieścić to na distribution-list 20 out vlan120?
Ograniczając dostęp do sieci 10.10.38.0/24 i do 0.0.0.0 na poziomie distribute-list?

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: distribution list eigrp

#9

#9 Post autor: judge dredd »

Obawiam się, że trochę mylisz pojęcia. Distribute-lista nie ogranicza dostępu. Distribute-lista filtruje prefixy, które otrzymujesz przez eigrp od drugiego routera i może zdecydować o tym, że jakieś sieci będą zainstalowane w Twojej tabeli routingu, a inne nie. Jeśli nie potrzebujesz mieć trasy domyślnej na routerze R2, to oczywiście możesz ją wyfiltrować przy pomocy distribute listy, tylko zakładałem, że skoro wysyłasz trasę domyślną z R1 do R2, to jest Ci ona tam potrzebna.

O ACL'ce mówiłem w kontekście normalnie filtrowania ruchu na interfejsie, a nie w kontekście użycia jej w distribute-liście. Normalnie "ip access-group..." itd.

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

ODPOWIEDZ