Mario Munoz - supportforums.cisco.com de Subneteo-Conocimiento de ACL extendidasy...
Transcript of Mario Munoz - supportforums.cisco.com de Subneteo-Conocimiento de ACL extendidasy...
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Cisco Confidential 1© 2013 Cisco and/or its affiliates. All rights reserved.
Mario Munoz
Diciembre 2013
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
• Introducción
• Herramientas
• Prefix List
• Route Maps
• Redistribución en OSPF
• Configuración
• Verificación
• Mini-Lab
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
• Objetivo es conocer las herramientas usadas para redistribuir rutas y como se aplican en las configuraciones del cliente, específicamente con OSPF y así entender mejor las configuraciones existentes.
• Prerrequisitos:
-Conocimiento de Subneteo
-Conocimiento de ACL extendidas y estándar
-Conocimiento de funcionalidad básica de OSPF
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
• Similares a las listas de Acceso
• En estas se seleccionan prefijos y su longitud:
x.x.x.x prefijo exacto
y.y.y.y longitud: se expresa /y donde puede ser del 0 al 32
• No se puede seleccionar el destino ni puertos como en las ACL extendidas
• Se aplican en filtrado, simplificación y distribución de rutas y para políticas de QoS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
• ip prefix-list name [ seq number ] { permit | deny } prefix [ eqlength ] | [ ge length ] |[ le length ]
• Seq es para el orden de la línea
• Puedes especificar si la longitud es mayor o menor a la dada con los comandos ge y le
• Se recomienda que lo mas especifico se escriba primero
• Ejemplo:
ip prefix-list DataCenter seq 10 permit 10.251.0.0/17
ip prefix-list eBGP_in seq 5 deny 10.251.0.0/17
ip prefix-list eBGP_in seq 1000 permit 0.0.0.0/0 le 32
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
• class-map [type {stack | access-control | port-filter | queue-threshold | logging log-class}] [match-all | match-any] class-map-name
• Match-any: con que se cumpla con una característica se selecciona
• Match-all: debe de cumplir con todas las características para ser seleccionado
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
• Se utilizan principalmente en la redistribución de rutas entre diferentes protocolos y para Enrutamiento basado en Políticas
• Son similares a las ACL, ayudan a seleccionar el trafico y a definir acciones
• Al final no tiene una negación implícita como las ACLs
• Según donde se aplique se interpretara de maneras diferentes
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Route-MapRoute-Map
Entrada 1Entrada 1
Entrada 2Entrada 2
EntradaEntrada
MatchMatch
SetSet
Selecciona
Modifica la
información��
• Se pueden tener varias entradas por Mapa
• Se pueden tener varias clausulas de Set por entrada
• Se aplican todos los cambios (set) por entrada
• Si no existe clausula de match entonces todo se selecciona
• Se recorren de manera secuencial
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
• route-map name {permit | deny} [sequence_number]
• Creas una entrada en el mapa
• hostname(config-route-map)# match ip address acl_id [acl_id] [...] [prefix-list]
• Comparas contra una ACL o lista de Prefijos, se usa un or como operación lógica
• hostname(config-route-map)# match metric metric_value
• Compara contra la metrica dada
• hostname(config-route-map)# match route-type {internal | external [type-1 | type-2]}
• Compara contra el tipo de ruta
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
• hostname(config-route-map)# set metric metric
• Modifica a una metrica especifica
• hostname(config-route-map)# set metric-type {type-1|type-2}
• Especifica el tipo de metrica en la ruta
• hostname(config-route-map)# set tag tag
• Le da un numero para etiquetar y poder dar un trato especial
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
• Se utiliza para pasar rutas aprendidas por un protocolo de ruteo a otro
• Ayuda a segmentar el uso de protocolos y rutas
• Puede usarse como mecanismo de control de rutas
• Lo mas común es utilizar route-maps en conjunto a prefix list y/o ACLs
• Se puede redistribuir desde BGP, OSPF, EIGRP, IS-IS, directamente conectadas y estáticas
• Debes definir entre que protocolos, que sub redes y que valores usaras
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
(config)#Ip ospf process-id
(config-router)# Redistribute {eigrp id | bgp as-id | static | connected} [metric metric] [metric-type 1|2 ] [tag tag][route-map name ] [subnets]
• Debes especificar de que protocolo e instancia importaras rutas
• La palabra reservada subnets ayuda a no resumir las rutas (clase completa) y así importar rutas mas exactas
• Opcionalmente puedes usar el route-map para un mejor filtrado y opciones de redistribución
• Las opciones del route-map toman precedencia ante las del comando
• Métrica entre 0 – 16777214
• Tag 32 bits
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
router ospf 1
router-id 1.1.1.1
auto-cost reference-bandwidth 40000
area 0 authentication message-digest
redistribute connected subnets route-map connected->ospf
redistribute bgp 65194 metric 100 subnets route-map bgp->ospf
O
• Se puede redistribuir de varios protocolos a la vez
• Normalmente se configura al ultimo la redistribución
Ahora analicemos
el route-mapO
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
route-map bgp->ospf deny 10
match ip address prefix-list DeniedNetworks
route-map bgp->ospf permit 100
set metric 10
set metric-type type-1
set tag 20
ip prefix-list DeniedNetworks
seq 10 permit 10.250.0.0/17
• Con esto redistribuiremos todas las redes menos las del
prefijo 10.250.0.0/17
• Las que se redistribuyan tendrán una métrica de 10, serán
del Tipo 1 y tendrán un tag de 20 en la BD de OSPF, estuyo
por que recordemos que toma mas importancia el route-map
que los valores en el comando redistribute
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
• Show ip route -> para ver si se esta instalando la ruta
• Show ip route ip -> para ruta especifica
• Show run | sec ospf -> para ver las configuraciones de ospf
• Show ip prefix-list
• Show route-map name
• Show ip access-list
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
• http://www.cisco.com/en/US/tech/tk365/tk480/tsd_technology_support_sub-protocol_home.html
• http://www.cisco.com/web/techdoc/dc/reference/cli/nxos/commands/bgp/ip_prefix-list.html
• http://www.cisco.com/en/US/docs/security/asa/asa84/configuration85/guide/route_maps.html
• http://www.cisco.com/en/US/docs/ios/12_2/iproute/command/reference/1rfospf.html