Nie wiem co robię źle, ale nie umiem sobie poradzić z distribution list w EIGRP. Moim założeniem jest, aby wszystkie sieci na tym routerze nie miały dostępu do sieci: 10.10.38.0/24. Mimo takiej konfiguracji jak poniżej mam dostęp do sieci 10.10.38.0, ping odpowiada.
Ustawiłem ACL:
Mam dwa routery 2921 połączone ze sobą za pomocą VPN site to site. Używam tylko EIGRP jako routingu.
R1: routuje adresację 10.10.38.0/24, R2 (konfig we wcześniejszym poście) ma inne podsieci. Umieszczam distribution list (na R2) po to, by sieci z routera R2 nie miały dostępu do sieci z R1 (10.10.38.0/24). Obecnie moja konfiguracja nie działa. Z R2 mam dostęp do sieci 10.10.38.0/24.
D*EX 0.0.0.0/0 [170/28160256] via 10.10.18.67, 03:40:38, Tunnel1
10.0.0.0/8 is variably subnetted, 30 subnets, 4 masks
C 10.10.6.0/25 is directly connected, GigabitEthernet0/2.102
L 10.10.6.1/32 is directly connected, GigabitEthernet0/2.102
D 10.10.6.128/25 [90/2685184] via 10.10.18.67, 00:04:22, Tunnel1
D 10.10.18.0/26 [90/2684928] via 10.10.18.67, 00:04:22, Tunnel1
C 10.10.18.64/26 is directly connected, Tunnel1
L 10.10.18.66/32 is directly connected, Tunnel1
D 10.10.34.5/32 [90/2812928] via 10.10.18.67, 00:04:22, Tunnel1
D 10.10.40.0/24 [90/29440256] via 10.10.18.67, 03:40:38, Tunnel1
C 10.10.146.0/26 is directly connected, GigabitEthernet0/0
L 10.10.146.2/32 is directly connected, GigabitEthernet0/0
D 192.168.33.0/24 [90/28160256] via 10.10.18.67, 03:40:38, Tunnel1
Kiedy wyłącze distribution-list in na eigrp, to pojawia się w tablicy adresacja 10.10.38.0/24.
Skoro nie masz w tabeli routingu routera R2 trasy do 10.10.38.0/24 to znaczy, że osiągnąłeś sukces w konfiguracji distribute-listy. Niestety to rozwiązanie nie zapewni tego, co chcesz osiągnąć, bo jest tak, jak pisze mmoryto - jeśli trasa domyślna 0.0.0.0/0 z R2 prowadzi do routera R1, to nawet jeśli nie ma w tabeli routingu routera R2 trasy do 10.10.38.0/24 to pakiety do tej sieci i tak pójdą do R1 trasą domyślną. W drugą stronę wrócą też z powodzeniem, bo na routerze R1 masz na pewno trasy do sieci znajdujących się za R2. Jeśli nie możesz się pozbyć z tabeli routingu routera R2 trasy domyślnej (a zapewne nie możesz), to trzeba to rozwiązać inaczej, np. założyć na routerze R2 access-listę zabraniającą wszystkim wysyłania pakietów do sieci 10.10.38.0/24. Może też być na R1 access-lista zabraniająca wysyłania pakietów do sieci 10.10.38.0/24 z sieci znajdujących się za R2. To tak na szybko najprostsze rozwiązanie bez wchodzenia w niuanse.
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Dziękuję.
Mogę zastosować ACL na VLANie i chyba tak zrobię. Pytanie czy mogę zastosować ACL z deny dla default routing i umieścić to na distribution-list 20 out vlan120?
Ograniczając dostęp do sieci 10.10.38.0/24 i do 0.0.0.0 na poziomie distribute-list?
Obawiam się, że trochę mylisz pojęcia. Distribute-lista nie ogranicza dostępu. Distribute-lista filtruje prefixy, które otrzymujesz przez eigrp od drugiego routera i może zdecydować o tym, że jakieś sieci będą zainstalowane w Twojej tabeli routingu, a inne nie. Jeśli nie potrzebujesz mieć trasy domyślnej na routerze R2, to oczywiście możesz ją wyfiltrować przy pomocy distribute listy, tylko zakładałem, że skoro wysyłasz trasę domyślną z R1 do R2, to jest Ci ona tam potrzebna.
O ACL'ce mówiłem w kontekście normalnie filtrowania ruchu na interfejsie, a nie w kontekście użycia jej w distribute-liście. Normalnie "ip access-group..." itd.
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)