5. Манипуляция и классификация

Задачи и инструменты

  • Часто приходится применять определенные действия к некоторому подмножеству объектов (пакетов, маршрутов)

  • Классификация позволяет принять решение о применении действия

  • Манипуляции при принятии решения позволяют изменить объект

  • Инструменты: ACL, Prefix List, Route Map

Access Control List

  • Простейший классификатор, не выполняет манипуляцию

  • Анализирует объекты и выносит вердикт permit/deny:

    • IP-пакеты: адреса источника\назначения, порты TCP\UDP, тип содержимого

    • IP-маршруты: адрес и маска сети\адрес шлюза

    • Кадры Ethernet: MAC источника\назначения, LLC/SPAN вложения

Разновидности:

  • По способу конфигурирования:

    • Нумерованные

    • Именованные

  • По возможностям анализа (только для IPv4):

    • Стандартные

    • Расширенные

  • По типу классифицируемых объектов:

    • IPv4

    • IPv6

    • IEEE 802

    • MPLS

    • DECnet

Вся остальная информация по ACL в CCNA!

Prefix List

  • Классификатор, адаптированный под анализ маршрутов

    • Функционально не отличается от ACL

    • Анализирует IP-адрес (не попадание в эталонную сеть) и длину префикса

  • Для анализа длины префикса используются операторы ge и le

    • Если ни один оператор не задан, требуется точное совпадение длины префикса с маской эталонной сети (частая ошибка настройки)

Cвязь ACL и PFL

  • Префикс-листы удобно использовать для классификации маршрутов

  • Любой префикс-лист можно записать в форме ACL

    • Standard ACL для префикс-листов без операторов

    • Extended ACL для префикс-листов с операторами для анализа маски

    • Исключение - применение с distribute-list в EIGRP и BGP

Route Map

  • Продвинутый инструмент, позволяет:

    • Анализировать различные по природе свойства объекта

    • Выполнять сложные сравнения И\ИЛИ

    • Выполнять манипуляции с анализируемым объектом

  • Как и ACL, имеет упорядоченную структуру блоков и выполнение сравнения в блоках до вынесения явного или неявного вердикта

Блоки Route Map

  • Блоки пронумерованы и выполняются последовательно (сверху вниз)

  • Если в блоке обнаружено совпадение (match), то:

    • Выносится вердикт (permit/deny)

    • Выполняются манипуляции (set)

    • Несколько match-условий в разных строках - разная природа, логика И

    • Несколько match-условий в одной строке - одинаковая природа, логика ИЛИ

Route-map Match-условия

  • Route-map может анализировать разные типы объектов, механизм позволяет заказывать сравнение самых разных свойств и объектов

  • Ответственность за разумность сравнения лежит на операторе

Match

Описание

match ip address [prefix-list]

IP-адрес источника\получателя для пакетов, адрес сети и длина префиксов для маршрутов

match ip next-hop [prefix-list]

IP-адрес шлюза для маршрута

match ip route-source

IP-адрес источника маршрута

match ipv6 address [prefix-list]

IPv6-адреса источника\получателя для пакетов, адрес сети и длина префиксов для маршрутов

match metric

Метрика маршрута

match route-type {external|internal|nssa-external|local}

Тип маршрута

match tag

Метка маршрута для RIP/OSPF/EIGRP/BGP

Route-map Set-манипуляции

  • Route-Map может анализировать разные типы объектов, механизм позволяет манипулировать самыми разными свойствами объектов

  • Ответственность за корректность манипуляции лежит на операторе

Match

Описание

set ip next-hop

Задание шлюза для маршрута или для пакета

set ipv6 next-hop

Задание шлюза для маршрута или для пакета IPv6

set metric-type

Задание типа метрики маршрута EIGRP/OSPF

set metric

Задание метрики маршрута

set origin

Задание атрибута BGP

set community

Задание атрибута BGP

set as-path

Задание атрибута BGP

set tag

Задание метки маршрута RIP/EIGRP/OSPF

Конфигурация Route Map

  • Порядок блоков важен, как и в ACL

Использование Route Map

  • Policy-Based Routing

  • Редистрибуция между протоколами динамической маршрутизации

  • Фильтрация маршрутов в BGP и манипуляции с ними

    • В IOS нормально работать с BGP можно только с использованием Route Map

Использование PBR

  • PBR позволяет отойти от традиционной табличной маршрутизации

    • Маршрутизация в зависимости от адреса источника

    • Маршрутизация в зависимости от сетевого приложения

    • Загрузка нескольких каналов в Интернет

Настройка PBR

  • Конфигурация Route Map

    • Отбираем нужный трафик условиями match

    • Переопределяем next-hop

      • set ip next-hop - задается connected-адрес next-hop

      • set ip next-hop recursive - задается резолвящийся адрес next-hop

      • set ip default next-hop - PBR срабатывает между специфичным маршрутом и 0.0.0.0/0

      • set interface - задается connected-интерфейс

      • set default interface - аналогично set ip default next-hop

    • Необработанные пакеты отправятся по таблице маршрутизации

  • Применяем Route Map для маршрутизации по политике

    • В контексте входящего интерфейса для транзитного трафика

    • В глобальном контексте для локального трафика

  • Настраиваем динамический контроль PBR

    • Объекты отслеживания (IP SLA, маршруты, интерфейсы, споки)

    • CDP (если не задан объект отслеживания)

Конфигурация PBR Route Map

  • Необработанные пакеты отправляются по таблице маршрутизации

  • Route Map применяется для транзитного и локального трафика

Диагностика PBR

  • Обычная трассировка с устройств

  • Дебаг политик

Динамический контроль PBR

  • Требуется отслеживать доступность Next Hop

    • Next Hop в connected-маршруте Ethernet будет жив, пока жива запись ARP

    • Можно использовать ICMP-зонд IP SLA или CDP

Previous4. CEFNext6. RIP

Last updated