Lệnh ip prefix-list:

Một phần của tài liệu Chương i tổng quan BGP (Trang 31 - 37)

sử dụng lệnh ip prefix-list có một số thuận lợi hơn so với việc sử dụng access-list là - Hiệu suất được cải thiện khi loading và tìm route trong một danh sách lớn.

- Hỗ trợ cập nhật từng phần increment update. Lọc route với extended access list không hỗ trợ cho

việc cập nhật từng phần. - Dòng lệnh than thiện hơn - Tính uyển chuyển cao, Cú pháp của lệnh như sau:

router(config)#ip prefix-list list-name [seq seq-value] deny/permit network/len [ge ge-value] [le le- value].

Ví dụ về cấu hình bằng lênh ip prefix-list

RTA(config)#ip prefix-list GROVER permit 192.0.0.0/8 le 24 RTA(config)#ip prefix-list GROVER deny 192.0.0.0/8 ge 25

l. Theo ví dụ này thì ở câu lệnh đầu tiên chấp nhận tất cả các route có các chiều dài mask lên đến 24 bit với prefix 192.0.0.0/8, và từ chối (deny) tấ cả các route cụ thể hơn.

Ở câu lệnh thứ hai thì nó sẽ kiểm tra prefix bắt đầu với 192 ở octet đầu tiên. Sau đó quan tâm đến chỉ các route cụ thể hơn bằng cách kiểm tra chiều dài của mask. Vì thế cả 192.168.32.0/19 và

192.168.1.0/24 đều được ở trạng thái cho phép(permit), nhưng mạng prefix 192.168.1.32/27 thì không bởi vì chiều dài mask của nó lớn hơn 25. Cả ge và le có thể được sử dụng chung theo lệnh sau:

RTA(config)#ip prefix-list OSCAR permit 10.0.0.0/8 ge 16 le 24

Lệnh này permit tất cả prefix trong mạng 10.0.0.0/8 với chiều dài mask tử 16 cho đến 24 bits. Mỗi prefix list được gán cho một số thứ tự, số này được gán mặc định hoặc được gán bằng tay. Bằng cách đánh số, một entry có thể đựơc chèn vào tại bất kỳ điểm nào của list. Điều này quan trọng vì router kiểm tra prefix list từ tuần tự từ nhỏ đến lớn. Khi có một match xảy ra thì router sẽ không tiếp tục tét đến các entry của các tuần tự sau nữa. Ta có thể sử dụng lênh show ip prefix-list để kiểm tra.

Số tuần tự này sẽ được tạo ra và tăng dần từng bậc +5. giá trị đầu tiên được tạo ra trong prefix list là 5 tiếp theo là 10, 15….. Nếu cấu hình bằng tay một giá trị và tiếp theo không xác định các giá trị thì số thứ tứ cho entry sẽ tự động tăng lên theo bâc +5. Ví dụ giá trị đầu tiên được xác định là 3 và sau đó thì không có tuần tự được chỉ định cho các entry khác thì số tuần tự sẽ được tao ra là 8, 13, 18….ví du:

RTA(config)#ip prefix-list ELMO seq 12 deny 192.168.1.0/24

Cuối cùng khi sử dụng prefix list thì ta phải theo một số luật sau - Một prefix list trống sẽ mặc đinh là permit tất cả prefix

- Có một ngầm định deny được đưa ra nếu prefix không match bất kỳ entry nào của prefix.

- Khi có nhiều entry của prefix list match, thì tuần tự của entry nào nhỏ nhất sẽ được match thật sự

III.4. Route-map

Route map là các công cụ trong đó các logic “if/then” có thể được áp dụng cho một router. Các route- map là các công cụ lập trình được dùng để kiểm soát quá trình redistribution, để hiện thực PBR, để kiểm soát quá trình NAT hoặc để hiện thực BGP.

Bạn có thể dùng route-map cho các mục đích sau đây:

- Để kiểm soát quá trình redistribution: các route map cho phép kiểm soát một mức cao hơn so với cách dùng distribution list. Route-map không đơn thuần ngăn chặn hay cho phép một mạng giống như distribute list mà còn có khả năng gán metric cho những route bị so trùng .

- Để kiểm soát và thay đổi thông tin định tuyến: các route map được dùng để .- Định nghĩa chính sách trong PBR: các route-map ra các quyết định dựa trên địa chỉ nguồn. Khi một phép so trùng được tìm thấy trong access-list, sẽ có các hành động tương ứng.

- Để thêm vào mức độ tinh tế trong cấu hình NAT: các route map định nghĩa dãy của các địa chỉ public và địa chỉ private. Có các lệnh show để giám sát và kiểm tra hoạt động của NAT.

- Để hiện thực BGP: một trong những điểm mạnh của giao thức BGP là khả năng thực hiện policy based routing. Các thuộc tính trong BGP được dùng để ảnh hưởng đến đường đi cho traffic. Các thuộc tính này thường được hiện thực dùng route maps. Nếu có một phép so trùng thì áp dụng thuộc tính này. Khi này dùng lệnh set để thực hiện. Route map là phương thức chủ yếu được dùng bởi BGP để định

Route map rất giống ACL. Cả hai thực hiện tác vụ if/then, trong đó các tiêu chí được dùng để xác định là gói tin có được cho phép hoặc từ chối hay không. Sự khác nhau cơ bản là route map có khả năng thực hiện hành động thay đổi thuộc tính đến các gói dữ liệu thõa điều kiện so trùng. Trong một ACL, tiêu chí so trùng là ngầm định, trong một route map, đó là một keyword. Điều này có nghĩa rằng, nếu một gói thỏa với một tiêu chuẩn cho trong một route map, một vài hành động phải được thực hiện để thay đổi gói, trong khi accesslist chỉ đơn giản cho phép hoặc từ chối một gói.

Các đặc điểm của route map được tóm tắt trong danh sách sau:

- Một route map có một danh sách các tiêu chí và tiêu chuẩn chọn lựa, được liệt kê với phát biểu mạtch. - Một route map có khả năng thay đổi các gói hoặc các route bị so trùng bằng cách dùng lệnh set. - Một tập hợp của các phát biểu mạch có cùng tên được xem là cùng một route map

- Route map sẽ ngừng xử lý ngay khi có một phép so trùng được thực hiện, giống như một ACL. - Trong một route map, mỗi phát biểu được đánh số thứ tự và có thể được soạn thảo riêng lẽ.

- Số thứ tự được dùng để chỉ ra thứ tự trong đó các điều kiện được kiểm tra. Như vậy nếu hai phát biểu trong route map có tên là BESTTEST, một phát biểu có chỉ số là 5, một phát biểu có chỉ số là 15 thì phát biểu có chỉ số là 5 sẽ được kiểm tra trước. Nếu không có một phát biểu match trong phát biểu 5 thì phát biểu thứ 15 sẽ được kiểm tra.

- Route map có thể dùng các IP access-list chuẩn hoặc mở rộng để thiết lập các chính sách định tuyến. - Các access-list mở rộng có thể được dùng để chỉ ra tiêu chí so sánh dựa trên phần địa chỉ nguồn và địa chỉ đích, ứng dụng, kiểu giao thức, kiểu dịch vụ ToS và độ ưu tiên.

- Lệnh match trong các cấu hình route map được dùng để định nghĩa điều kiện phải kiểm tra. - Lệnh set trong cấu hình route map được dùng để định nghĩa hành động theo sau một phát biểu so sánh.

- Một route map có thể chứ các phép AND và OR. Giống như một access-list, có một phát biểu ngầm định DENY ở cuối một route map. Hành động theo sau của phát biểu deny này tùy thuộc route map được dùng như thế nào. Để hiểu điều này một cách chính xác, bạn cần hiểu chính xác route map hoạt động như thề nào.

Danh sách sau đây sẽ giải thích logic của hoạt động route-map:

- Phát biểu của route map dùng cho PBR có thể được đánh dấu như là permit hoặc deny

- Chỉ nếu phát biểu được đánh dấu như permit và gói tin bị so trùng, lệnh set mới được áp dụng.

- Các phát biểu trong route-map sẽ tương ứng với các dòng của một access-list. Chỉ ra một điều kiện so sánh trong route map thì cũng tương tự như chỉ ra nguồn và đích trong access list

- Các phát biểu trong route map được so sánh với đường đi của gói để xem có một so trùng nào đó hay không. Các phát biểu này sẽ được lần lượt kiểm tra từ trên xuống dưới.

- Một phát biều so trùng có thể chứa nhiều điều kiện. Ít nhất một điều kiện trong phát biểu match phải là đúng. Đây là phép logic OR

- Một route-map có thể chứa nhiều phát biểu so sánh. Tất cả các phát biểu match trong route map phải được xem xét là đúng để cho phát biểu của route map là so trùng. Điều kiện này gọi là phép logic AND.

* Dùng với NAT

* Dùng trong redistribution * Dùng với BGP

* Dùng trong PBR

- Câu lệnh access list trong Cisco IOS thường được dùng như là một công cụ để chọn lựa "matching" một mẫu traffic nào đó đi qua router. Như bạn cũng đã biết, ở trạng thái bình thường, router cho phép hầu như mọi lưu lượng IP đi qua nó. Nếu, trong một điều kiện nào đó, bạn không muốn cho lưu lượng mail (SMTP/POP3) được đi qua router, bạn cần cấm các traffic này. Lúc này, bạn viết ra một access- list, "quan tâm" đến TCP (SMTP/POP3). Sau đó bạn áp access list vào cổng của router, theo chiều IN/OUT.

Trong ví dụ trên, access list được dùng để lọc gói. Ví dụ cũng chỉ ra là bạn cần chỉ ra traffic mà bạn đang quan tâm (SMTP/POP3), bước kế tiếp là bạn áp dụng access list vào một interface nào đó của router.

Vậy, ACL là một công cụ để lựa ra một loại traffic nào đó mà mình quan tâm.

Công cụ route-map trong Cisco IOS cung cấp một thuận toán tương tự như logic If/Then/Else thường thấy trong các ngôn ngữ lập trình. Một route map chứa một hoặc nhiều câu lệnh route-map và router sẽ xử lý các câu lệnh route-map dựa vào thứ tự đi kèm với chúng.

Mỗi câu lệnh route-map có những thông số so trùng (match) bên trong được cấu hình bằng câu lệnh match. (Để so trùng tất cả gói tin, một mệnh đề route-map chỉ đơn giản đưa ra một câu lệnh match). Đồng thời, câu lệnh route-map cũng có một hoặc nhiều câu lệnh tùy chọn set dùng để áp đặt

thông tin, chẳng hạn áp đặt metric cho một số route được redistribute.

Như vậy, một cảm giác giống nhau giữa hai câu lệnh là cả hai cùng có thể thể hiện thuận toán if-then khi cấu hình router. Tuy nhiên, sự khác nhau là route-map mang tính chất tổng quát hơn. Và trong route map cũng có dùng access list.

Các quy luật tổng quát của route map như sau:

• Mỗi câu lệnh route-map phải có một tên gọi rõ ràng, tất cả các câu lệnh có cùng tên gọi này đều thuộc chung một route map.

• Mỗi câu lệnh route-map phải có một hành động (permit hoặc deny).

• Mỗi câu lệnh route-map có một số thứ tự duy nhất, cho phép xóa, chèn các câu lệnh route-map đơn. • Khi dùng route-map trong quá trình redistribute, route map sẽ xử lý route lấy từ bảng định tuyến hiện thời chứ không lấy từ database.

• Khi một route cụ thể đã được so trùng trong route map, nó sẽ không được xử lý trong các câu lệnh route-map đằng sau đó nữa (dùng cho redistribution).

• Khi một route đã được so trùng với phát biểu route map, nếu route-map có thông số permit đi kèm thì route đó sẽ được redistribute (dùng cho redistribution).

• Khi một route đã được so trùng với phát biểu route map, nếu route-map có thông số deny đi kèm thì route đó sẽ không được redistribute (dùng cho redistribution).

• Route map thường hay gây nhầm lẫn, đặc biệt khi dùng thông số deny trong câu lệnh route-map. Route-map, prefix-list và distribution-list trong BGP

TH1:

Match A B C (match điều kiện theo hàng ngang): thì đây là phép OR. TH2:

Match A Match B Match C

(match điều kiện theo hàng dọc): thì đây là phép AND. TH3:

Match A B Match C

(match điều kiện theo hàng dọc và ngang ): thì đây là phép OR (A hoặc B thỏa) xong rồi AND.

Hình: Sơ đồ demo BGP

1.Yêu cầu:

- cấu hình kết nối IBGP và EBGP, sử dụng local preference và MED để chọn đường đi ra và đi vào mạng,

- Trong mạng nội bộ gồm có KMA1 và KMA2 chạy gia thức định tuyến EIGRP, Và trên ISP chay BGP với AS=200, KMA1 và KMA2 với AS=64512

- Đường đi từ KMA ra ngoài ISP sẽ đi theo đường 192.168.1.4/3 - Đường đi từ ISP đẩy vào KMA sẽ đi theo đường 192.168.1.0/30 Và đường còn lại sẽ làm dự phòng

Một phần của tài liệu Chương i tổng quan BGP (Trang 31 - 37)

(47 trang)