5. Манипуляция и классификация
Задачи и инструменты
Часто приходится применять определенные действия к некоторому подмножеству объектов (пакетов, маршрутов)
Классификация позволяет принять решение о применении действия
Манипуляции при принятии решения позволяют изменить объект
Инструменты: ACL, Prefix List, Route Map
Access Control List
Простейший классификатор, не выполняет манипуляцию
Анализирует объекты и выносит вердикт permit/deny:
IP-пакеты: адреса источника\назначения, порты TCP\UDP, тип содержимого
IP-маршруты: адрес и маска сети\адрес шлюза
Кадры Ethernet: MAC источника\назначения, LLC/SPAN вложения
Разновидности:
По способу конфигурирования:
Нумерованные
Именованные
По возможностям анализа (только для IPv4):
Стандартные
Расширенные
По типу классифицируемых объектов:
IPv4
IPv6
IEEE 802
MPLS
DECnet
Вся остальная информация по ACL в CCNA!
Prefix List
Классификатор, адаптированный под анализ маршрутов
Функционально не отличается от ACL
Анализирует IP-адрес (не попадание в эталонную сеть) и длину префикса
Для анализа длины префикса используются операторы ge и le
Если ни один оператор не задан, требуется точное совпадение длины префикса с маской эталонной сети (частая ошибка настройки)
Cвязь ACL и PFL
Префикс-листы удобно использовать для классификации маршрутов
Любой префикс-лист можно записать в форме ACL
Standard ACL для префикс-листов без операторов
Extended ACL для префикс-листов с операторами для анализа маски
Исключение - применение с distribute-list в EIGRP и BGP
Route Map
Продвинутый инструмент, позволяет:
Анализировать различные по природе свойства объекта
Выполнять сложные сравнения И\ИЛИ
Выполнять манипуляции с анализируемым объектом
Как и ACL, имеет упорядоченную структуру блоков и выполнение сравнения в блоках до вынесения явного или неявного вердикта
Блоки Route Map
Блоки пронумерованы и выполняются последовательно (сверху вниз)
Если в блоке обнаружено совпадение (match), то:
Выносится вердикт (permit/deny)
Выполняются манипуляции (set)
Несколько match-условий в разных строках - разная природа, логика И
Несколько match-условий в одной строке - одинаковая природа, логика ИЛИ
Route-map Match-условия
Route-map может анализировать разные типы объектов, механизм позволяет заказывать сравнение самых разных свойств и объектов
Ответственность за разумность сравнения лежит на операторе
Match | Описание |
match ip address [prefix-list] | IP-адрес источника\получателя для пакетов, адрес сети и длина префиксов для маршрутов |
match ip next-hop [prefix-list] | IP-адрес шлюза для маршрута |
match ip route-source | IP-адрес источника маршрута |
match ipv6 address [prefix-list] | IPv6-адреса источника\получателя для пакетов, адрес сети и длина префиксов для маршрутов |
match metric | Метрика маршрута |
match route-type {external|internal|nssa-external|local} | Тип маршрута |
match tag | Метка маршрута для RIP/OSPF/EIGRP/BGP |
Route-map Set-манипуляции
Route-Map может анализировать разные типы объектов, механизм позволяет манипулировать самыми разными свойствами объектов
Ответственность за корректность манипуляции лежит на операторе
Match | Описание |
set ip next-hop | Задание шлюза для маршрута или для пакета |
set ipv6 next-hop | Задание шлюза для маршрута или для пакета IPv6 |
set metric-type | Задание типа метрики маршрута EIGRP/OSPF |
set metric | Задание метрики маршрута |
set origin | Задание атрибута BGP |
set community | Задание атрибута BGP |
set as-path | Задание атрибута BGP |
set tag | Задание метки маршрута RIP/EIGRP/OSPF |
Конфигурация Route Map
Порядок блоков важен, как и в ACL
Использование Route Map
Policy-Based Routing
Редистрибуция между протоколами динамической маршрутизации
Фильтрация маршрутов в BGP и манипуляции с ними
В IOS нормально работать с BGP можно только с использованием Route Map
Использование PBR
PBR позволяет отойти от традиционной табличной маршрутизации
Маршрутизация в зависимости от адреса источника
Маршрутизация в зависимости от сетевого приложения
Загрузка нескольких каналов в Интернет
Настройка PBR
Конфигурация Route Map
Отбираем нужный трафик условиями match
Переопределяем next-hop
set ip next-hop - задается connected-адрес next-hop
set ip next-hop recursive - задается резолвящийся адрес next-hop
set ip default next-hop - PBR срабатывает между специфичным маршрутом и 0.0.0.0/0
set interface - задается connected-интерфейс
set default interface - аналогично set ip default next-hop
Необработанные пакеты отправятся по таблице маршрутизации
Применяем Route Map для маршрутизации по политике
В контексте входящего интерфейса для транзитного трафика
В глобальном контексте для локального трафика
Настраиваем динамический контроль PBR
Объекты отслеживания (IP SLA, маршруты, интерфейсы, споки)
CDP (если не задан объект отслеживания)
Конфигурация PBR Route Map
Необработанные пакеты отправляются по таблице маршрутизации
Route Map применяется для транзитного и локального трафика
Диагностика PBR
Обычная трассировка с устройств
Дебаг политик
Динамический контроль PBR
Требуется отслеживать доступность Next Hop
Next Hop в connected-маршруте Ethernet будет жив, пока жива запись ARP
Можно использовать ICMP-зонд IP SLA или CDP
Last updated