Kontrolisanje saobraaja kojeg generiu ruteri

route mape, distribucione liste, prefiks liste

Kontrolisanje routing update-a

Propagacija informacija o rutiranju moe se kontrolisati
pomou:
Route mapa
Distribucionih lista
Prefiks lista

Napomena:
Ne postoji jedan tip filtera koji je pogodan za svaku situaciju.

Route mape
Route mape su sline po funkciji ACL-u, ali pruaju puno
vei stepen kontrole.
Route mape su sline skriptama.
Radi lakeg dokumentovanja mogu da budu imenovane umjesto
numerisane.
Pojedine linije su sekvencijalno numerisane radi lakeg editovanja.
Koriste se match & set uslovi, slini if, then logici.
Ovo dozvoljava da se testiranje vri koritenjem match komandi. Ako je
postavljeni uslov ispunjen, mogu se izvriti akcije definisane pomou set
komande radi modifikovanja atributa paketa ili ruta.

Primjena Route mapa

Filtriranje ruta prilikom redistribucije
Svi IP protokoli rutiranja mogu da ih koriste prilikom redistribucije.
Primijenjuju se pomou komande redistribute protocol routemap.

Policy-based routing (PBR)

PBR dozvoljava definisanje pravila rutiranja koja se razlikuju od baznih
pravila definisanih u tabeli rutiranja.
Primijenjuju se pomou komande ip policy route-map u interfejs
konfiguracionom modu.

BGP
Route mape su primarni alat za implementiranje BGP logike odluivanja.

Definisanje Route mape

Definisanje route mape i ulazak u konfiguracioni mod za route mape
Router(config)#
route-map map-tag [permit | deny] [sequence-number]
Parameter

Description

map-tag

Ime route mape.

permit | deny

(Opcionalno) Parametar koji specifikuje akcije koju je potrebno

preduzeti ako su ispunjeni uslovi navedeni u match komandama;
znaenje permit ili deny komande zavisi od konteksta u kojem se
koristi route mapa.

sequence-number

(Opcionalno) Sequence number koji pokazuje na poziciju nove

komande u route mapi sa istim imenom.

Svaka komanda route map je numerisana pomou sequence

number i samim tim, moe da se edituje.
Podrazumijevane vrijednosti route-map komande su permit i
sequence-number 10.
5

Route mapa Operaciona logika

Route mapa se sastoji od liste komandi.
Lista se procesira top-down slino access listi.
Sequence numbers se koriste radi umetanja ili brisanja odreene
komande.

Primijenjuje se prvi pronaeni match.

Komanda match moe sadravati vie referenci.
Vie match uslova u istoj liniji koristi logiko ILI.
Vie match uslova u razdvojenim linijama koristi logiko I.

Kada se prvi put pronae match, primijenjuje se akcija definisana pod

set komandom i naputa se route mapa.
Preostale route-map komande se ne procesiraju.

Route mapa primjer

route-map DEMO permit 10
OR
AND

match X Y Z
match A

AND

set B
set C

If {(X OR Y OR Z)

AND A match}
Then {Set B AND C}
(and exit route-map)

route-map DEMO permit 20

match Q
set R

Else
If Q matches
Then set R

route-map DEMO permit 30

Else
Set nothing

(and exit route-map)

(and exit route-map)

Match uslov u istoj linije oznaava ILI uslov.

Vie match & set uslova u razdvojenim linijama oznaavaju I uslov.
Route-map komanda bez komande match se smatra ispunjenim uslovom.
Kao i kod access lista, implicitni deny any se nalazi na kraju route mape.
Posljedice zavise od konteksta u kojem se primijenjuje route mapa.
7

match komande
Specifikovanje uslova koji mora biti ispunjen.
Router(config-route-map)#
match condition

Komanda match condition se koristi za definisanje

uslova koji se provjeravaju.
Neki od ovih uslova se koriste za BGP politiku odluivanja,
neki za PBR, a neki za filtriranje redistribucije.

match komande
Komanda

Opis

match community

Meuje BGP atribut Community

match interface

Meuje bilo koje rute koje imaju next hop preko jednog od
specifikovanih interfejsa.

match ip address

Meuje bilo koje rute koje imaju adresu iz odredine mree koja je
dozvoljena ili zabranjena preko standardne ili proirene ACL.

match ip next-hop

Meuje bilo koje rute koje imaju next-hop adresu koja se prenosi
od strane jedne od specifikovanih ACL listi.

match route-type

Meuje rute specifikovanog tipa.

match tag

Meuje tag rute.

set komande
Modifikovanje akcija.
Router(config-route-map)#
set action

Specifikovana action mijenja ili dodaje karakteristike

svim rutama za koje je ispunjen uslov definisan komandom
match condition.

10

set komande
Komanda

Opis

set as-path

Modifikuje AS path za BGP rute

set community

Postavlja BGP Community atribut

set interface

Odreuje interfejs preko kojeg treba poslati paket ako je ispunjen uslov
definisan match komandom route mape za PBR.

set ip next-hop

Odreuje next hop na koji treba poslati paket ako je ispunjen uslov
definisan match komandom route mape za PBR.

set local-preference

Specifikuje BGP local preference vrijednost.

set metric

Postavlja vrijednost metrike za protokol rutiranja.

set metric-type

Postavlja tip metrike za odredini protokol rutiranja.

set tag

Taguje rute za odredini protokol rutiranja.

set weight

Specifikuje BGP weight vrijednost.

11

Koritenje distribucionih listi

Jo jedan nain za kontrolisanje routing update poruka je
pomou distribucionih lista koje dozvoljavaju da se ACL
primjene na routing update radi filtriranja.
Administratori kontroliu koje e se rute distribuirati.
Kontrolisanje se vri iz sigurnosnih razloga, zbog rastereivanja
optereenja i iz upravljakih razloga.

Bitno je naglasiti da se distribucione liste koriste za kontrolu

saobraaja kojeg generiu ruteri, dok se ACL koriste za
filtriranje korisnikog saobraaja.
Primjer plana implementacije:
Identifikovanje mrenog saobraaja koji e se filtrirati pomou ACL ili
route mapa.
Povezivanje distribucione liste sa ACL ili route mapom koritenjem
komande distribute-list.
12

Filtriranje dolaznih routing update-a

Definisanje filtera za dolazne routing updates.
Router(config-router)#
distribute-list {access-list-number | name} in [interface-type
interface-number]

Parametar

Opis

access-list-number |
Specifikovanje standardne ACL preko broja ili imena.
name
in

Primjena ACL na dolazne routing updates.

interface-type
interface-number

(Opcionalno) Specifikovanje interfejsa sa kojeg se update filtriraju.

13

Filtriranje odlaznih routing update-a

Definisanje filtera za odlazne routing updates.
Router(config-router)#
distribute-list {access-list-number | name} out [interface-name]

Parametar

Opis

access-list-number |
Specifikovanje standardne ACL preko broja ili imena.
name
out

Primjena ACL na odlazne routing updates.

interface-name

(Opcionalno) Specifikovanje interfejsa na kojem se update-i filtriraju

prije slanja.

14

Primjer 1a
EIGRP AS 1
10.0.0.0

192.168.5.0

172.16.0.0

R2

R1
D 10.0.0.0/8 [90/...]

S0/0/0

R3

D 172.16.0.0/16 [90/...]
D 10.0.0.0/8 [90/...]

R2(config)# access-list 7 permit 172.16.0.0 0.0.255.255

R2(config)#
R2(config)# router eigrp 1
R2(config-router)# network 172.16.0.0
R2(config-router)# network 192.168.5.0
R2(config-router)# distribute-list 7 out Serial0/0/0
R2(config-router)#

U ovom primjeru, mrea 10.0.0.0 mora biti sakrivena od hostova u mrei 192.168.5.0.
Komanda distribute-list out na ruteru R2 primijenjuje ACL 7 na pakete koji
izlaze kroz interfejs S0/0/0. ACL 7 dozvoljava da se distribuiraju samo informacije o
mrei 172.16.0.0.
Implicitno deny any na kraju ACL spreava distribuiranje informacija o bilo kojoj
drugoj mrei, ukljuujui i mreu 10.0.0.0.

15

Primjer 1b
EIGRP AS 1
10.0.0.0

192.168.5.0

172.16.0.0

R2

R1
D 10.0.0.0/8 [90/...]

S0/0/0

R3

D 172.16.0.0/16 [90/...]
D 10.0.0.0/8 [90/...]

R2(config)# access-list 7 deny 10.0.0.0 0.255.255.255

R2(config)# access-list 7 permit any
R2(config)#
R2(config)# router eigrp 1
R2(config-router)# network 172.16.0.0
R2(config-router)# network 192.168.5.0
R2(config-router)# distribute-list 7 out Serial0/0/0
R2(config-router)#

Kao alternativa, mrea 10.0.0.0 moe biti eksplicitno iskljuena, a da se dozvole sve druge
rute.

16

Nedostaci distribucionih lista

Nedostaci koritenja distribucionih lista ukljuuju:
Mrenu masku nije lako meovati.
ACL se evaluiraju sekvencijalno za svaki IP prefiks u routing update
porukama.
Proirena ACL moe biti nezgodna za konfiguraciju.
Distribuciona lista skriva mrene informacije:
Na primjer, u mrei sa redundantnim putanjama, distribuciona lista moe
dozvoliti update poruke samo o nekim putanjama, radi izbjegavanja petlji u
rutiranju.
Ako primarna putanja padne, rezervne putanje se ne koriste poto ostatak
mree nema informaciju o njima.

17

Koritenje prefiks lista

Prefiks liste mogu da se koriste kao alternativa ACL u
mnogim komandama za filtriranje ruta.
Osobine prefiks lista ukljuuju:

Poboljanje performansi u odnosu na ACL u pretraivanju velikih lista.

Podrka za inkrementalne modifikacije.
User-friendly CLI.
Vea fleksibilnost u specifikovanju opsega za mrene maske.

18

Slinosti prefiks lista i ACL

Prefiks lista se moe sastojati od proizvoljnog broja linija.
Kada ruter vri evaluaciju rute pomou prefiks liste, prva
linija na kojoj se nalazi match predstavlja ili permit ili deny
komandu.
Ako ni u jednoj liniji ne postoji me, posljedica je implicitni
deny, kao i kod ACL.

19

Prefiks liste pravila filtriranja

Prazna prefiks lista dozvoljava sve prefikse.
Ako je prefiks dozvoljen, ruta se koristi.
Prefiks liste se sastoje od komandi numerisanih sa
sequence numbers. Ruter poinje potragu za meom sa
vrha prefiks liste, tj. od komande sa najniom sequence
number vrijednou.
Kada se nae me, ruter ne treba da prolazi kroz ostatak
prefiks liste.
Do implicitnog deny se dolazi u sluaju nepostojanja mea
u prefiks listi.

20

Konfigurisanje prefiks liste

Definisanje prefiks liste
Router(config)#
ip prefix-list {list-name | list-number} [seq seq-value] {deny |
permit} network/length [ge ge-value] [le le-value]

Parametar

Opis

list-name

Naziv prefiks liste.

list-number

Broj prefiks liste.

seq seq-value

32-bitni sequence number komande prefix-list.

Default sequence numbers se inkrementiraju za 5 (5, 10, 15...).

deny | permit

Akcija koja se preduzima kada se nae me.

network /
length

Prefix koji se meuje i njegova duina.

Mrea je 32-bitna adresa; duina je cijeli broj.

ge ge-value

le le-value

(Opcionalno) Opseg duina prefiksa koji se meuju.

Za opseg se podrazumijeva da je od ge-value do 32 samo ako je atribut
ge specifikovan.
(Opcionalno) Opseg duina prefiksa koji se meuju.
Za opseg se podrazumijeva da je do le-value samo ako je atribut le
specifikovan.
21

Konfigurisanje prefiks liste

Za brisanje prefiks liste koristi se komanda no ip
prefix-list list-name.
Savjet:
Radi boljih preformansi, najee procesirane komande treba da se
konfiguriu sa niim vrijednostima sequence numbers.
Kljuna rije seq seq-value se moe koristiti za numerisanje
komandi.

22

PBR (PolicyBased Routing)

PBR (eng. Policy Based Routing)

23

Kontrola putanje koritenjem PBR-a

Ruteri normalno prosljeuju pakete na osnovu odredinih
adresa i informacija iz tabela rutiranja.
PBR se moe iskoristiti za implementiranje polisa koje selektivno
prouzrokuju da paketi putuju i drugim putanjama, zavisno od izvorine
adrese ili nekih drugih parametara, i time praktino zaobilaze tabelu
rutiranja.

PBR prua ekstremno moan, jednostavan i fleksibilan alat

za implementiranje rjeenja u sluajevima kada legalna,
ugovorna ili politika ogranienja diktiraju da se saobraaj
mora rutirati ba nekom odreenom putanjom.

24

Konfigurisanje PBR-a
Plan implementacije:
Definisanje i imenovanje route mape pomou komande
route-map.
Definisanje uslova koji treba da se meuju (komande match).
Definisanje akcija koje treba preduzeti kada doe do mea (komande
set).

Definisanje interfejsa koji se povezuje sa route mapom

koritenjem komande na nivou interfejsa ip policy
route-map.
PBR se primjenjuje na dolazne pakete.

Verifkovanje kontrole putanje.

25

Logika PBR operisanja

Dolazni paket

Da li je route
mapa
primjenjena
na ulazni
interfejs?

Ne

Da

Da li postoji
me u deny
komandi?

Da

Prosljeivanje
paketa
preko tabele
rutiranja.

Ne

Da li postoji
me u permit
komandi?

R1

Da

Primjena set
komandi.

26

route-map komande za PBR

Router(config)#
route-map map-tag [permit | deny] [sequence-number]

Definisanje uslova za route mapu.

Router(config-route-map)#
match {conditions}

Definisanje uslova koji moraju da se meuju.

Router(config-route-map)#
set {actions}

Definisanje akcije koju treba preduzeti kada se desi me.

Router(config-if)#
ip policy route-map map-tag

Primjena route mape na ulaznom interfejsu.

27

Match komande
Specifikovanje uslova koji mora da se meuje.
Router(config-route-map)#

match condition

Route mapa konfiguraciona komanda match condition

se koristi za definisanje uslova koji moraju da se provjere.
Neki od tih uslova se koriste za BGP prosljeivanje, neki za
PBR, a neki za filtriranje redistribucije.

28

match komande kod PBR tehnike

Komanda

Opis

match community

Meuje BGP atribut Community

match interface

Meuje bilo koje rute koje imaju next hop preko jednog od
specifikovanih interfejsa.

match ip address

Meuje bilo koje rute koje imaju adresu iz odredine mree koja je
dozvoljena ili zabranjena preko standardne ili proirene ACL.

match ip next-hop

Meuje bilo koje rute koje imaju next-hop adresu koja se prenosi
od strane jedne od specifikovanih ACL listi.

match route-type

Meuje rute specifikovanog tipa.

match tag

Meuje tag rute.

29

Komanda match ip-address

Specifikovanje uslova koji moraju da se meuju koritenjem ACL ili prefiks lista.
Router(config-route-map)#

match ip address {access-list-number | name} [...access-listnumber | name] | prefix-list prefix-list-name [..prefixlist-name]

Parametar

Opis

access-list-number |
name

Broj ili naziv standardne ili proirene ACL koja se koristi za

testiranje dolaznih paketa.
Ako se specifikuje vie ACL, meiranje bilo koje od njih rezultuje
meom.

prefix-list prefixlist-name

Naziv prefiks liste koja se koristi za testiranje dolaznih paketa.

Ako se specifikuje vie prefiks listi, meiranje bilo koje od njih
rezultuje meom.

30

Komanda match length

Specifikovanje uslova za meovanje koritenjem veliine paketa.
Router(config-route-map)#

match length min max

Parametar

Opis

min

Minimalna L3 veliina, dozvoljena za me.

max

Maksimalna L3 veliina, dozvoljena za me.

31

Komanda set
Modifikovanje meovanih uslova.
Router(config-route-map)#

set action

Komanda modifikuje meovane rute.

Specifina action mijenja ili dodaje karakteristike,
rutama koje imaju specifikovan uslov match condition.

32

set komande kod PBR tehnike

Komanda

Opis

set as-path

Modifikuje AS path za BGP rute

set community

Postavlja BGP Community atribut

set interface

Odreuje interfejs preko kojeg treba poslati paket ako je ispunjen uslov
definisan match komandom route mape za PBR.

set ip next-hop

Odreuje next hop na koji treba poslati paket ako je ispunjen uslov
definisan match komandom route mape za PBR.

set local-preference

Specifikuje BGP local preference vrijednost.

set metric

Postavlja vrijednost metrike za protokol rutiranja.

set metric-type

Postavlja tip metrike za odredini protokol rutiranja.

set tag

Taguje rute za odredini protokol rutiranja.

set weight

Specifikuje BGP weight vrijednost.

33

Komanda set ip next-hop

Specifikovanje next hop IP adrese za meovane pakete.
Router(config-route-map)#

set ip next-hop ip-address

Komanda prua IP adresu koja se koriste za specifikovanje

susjednog next-hop rutera na putanji do odredita do kojeg
paketi treba da budu isporueni.

34

Komanda set interface

Specifikovanje interfejsa kroz koji se paket rutira.
Router(config-route-map)#

set interface type number

35

Konfiguracija PBR na interfejsu

Identifikovanje route mape za PBR na interfejsu.
Router(config-if)#
ip policy route-map map-tag

Parametar map-tag parameter predstavlja ime route

mape koja se koristi za PBR.
Mora meovati tag mape specifikovan komandom routemap.

36

Verifikacija PBR
Komanda
show ip policy
show route-map [map-name]

debug ip policy

Opis
Prikazuje route mape koritene za PBR.
Prikazuje konfigurisane route mape.
Prikazuje PBR detalje da li paket meuje uslov, i ako da,
rezultujue informacije o rutiranju za paket.

37

Koritenje PBR primjer

ISP 1
Customer
A

192.168.6.0
.6

S0/0/0

10.1.0.0 /24

R2

Internet

Fa0/0

ISP 2

R1
10.2.0.0 /24

S0/0/1
172.16.7.0

.7

R3

R1(config)# access-list 1 permit 10.1.0.0 0.0.0.255

R1(config)# access-list 2 permit 10.2.0.0 0.0.0.255
R1(config)# route-map EQUAL-ACCESS permit 10
R1(config-route-map) # match ip address 1
R1(config-route-map)# set ip next-hop 192.168.6.6
R1(config-route-map)# route-map EQUAL-ACCESS permit 20
R1(config-route-map)# match ip address 2
R1(config-route-map)# set ip next-hop 172.16.7.7
R1(config-route-map)# route-map EQUAL-ACCESS permit 30
R1(config-route-map)# set interface null0
R1(config-route-map)# exit
R1(config)# interface FastEthernet 0/0
R1(config-if)# ip address 10.1.1.1 255.255.255.0
R1(config-if)# ip policy route-map EQUAL-ACCESS
R1(config-if)# exit
38

Verifikacija PBR primjer

ISP 1
Customer
A

192.168.6.0
.6

S0/0/0

10.1.0.0 /24

R2

Internet

Fa0/0

ISP 2

R1
10.2.0.0 /24

S0/0/1
172.16.7.0

.7

R3

R1# show ip policy

Interface
Route map
FastEthernet0/0
EQUAL-ACCESS
R1#

39

Verifikacija PBR primjer

ISP 1
Customer
A

192.168.6.0
S0/0/0

10.1.0.0 /24

R2
.6

Internet

Fa0/0

ISP 2

R1
10.2.0.0 /24

S0/0/1

172.16.7.0

.7

R3

R1# show route-map

route-map EQUAL-ACCESS, permit, sequence 10
Match clauses:
ip address (access-lists): 1
Set clauses:
ip default next-hop 192.168.6.6
Policy routing matches: 3 packets, 168 bytes
route-map EQUAL-ACCESS, permit, sequence 20
Match clauses:
ip address (access-lists): 2
Set clauses:
ip default next-hop 172.16.7.7
route-map EQUAL-ACCESS, permit, sequence 30
Set clauses:
default interface null0

40