Lọc route trong quá trình update nội bộ

[hoanggialiem]

Các giao thức thuộc quan điểm Distance Vector (EIGRP, RIP) có một công cụ để chọn lọc route trong quá trình gởi hoặc nhận cập nhật thông tin định tuyến.

Ví dụ như có mô hình kết nối:
7-16-2012 10-09-21 PM.jpg

R1 sở hữu các lớp mạng:
1.1.1.0/24
11.11.11.0/24

Hệ thống này được định tuyến bằng giao thức RIP. Tuy nhiên do nhu cầu chỉ muốn R3 không biết được mạng 1.1.1.0/24.
Như vậy giải pháp đưa ra là như thế nào?

Cách số 1: không chạy giao thức RIP trên interface có mạng 1.1.1.0/24
Với cách này thì R3 sẽ không nhận được mạng 1.1.1.0/24 nhưng cuối cùng các Router còn lại cũng không nhận được luôn.

Cách số 2 (Vẫn chạy RIP trên interface 1.1.1.0/24): sử dụng công cụ distribute-list (trong quá trình update nội bộ) phân biệt với distribute-list sử dụng trong quá trình redistribute nhé.
Với cách số 2 thì có 2 quan điểm:

1. Yêu cầu R1 không gởi mạng 1.1.1.0/24 ra
2. R1 vẫn gởi các lớp mạng ra bình thường nhưng R3 từ chối không nhận lớp mạng 1.1.1.0/24

Với quan điểm số 1: R1 không gởi ra thì cũng chẳng router nào nhận được
Quan điểm số 2 là hợp lý vì R1 vẫn cứ gởi thoải mái còn nhận hay không là tùy R3.

Như vậy tiến hành cấu hình trên R3 để từ chối nhận lớp mạng 1.1.1.0/24

Bước 1: Viết một IP Prefix-list mô tả lớp mạng 1.1.1.0/24 với hành động là từ chối:
IP Prefix-list DENY_1 deny 1.1.1.0/24
IP prefix-list DENY_1 permit 0.0.0.0/0 le 32

Bước 2: Sử dụng công cụ distribute-list trong mode Router
Router rip
distribute-list prefix DENY_1 in fastethernet 0/0

Nếu không ghi interface phía sau có nghĩa là sẽ áp dụng chiều in cho tất cả các interface.

Kết quả khi show bảng route ra trên R3 sẽ chỉ thấy mạng 11.11.11.0/24
Lưu ý rằng khi thay đổi chính sách định tuyến trong RIP thì nên làm động tác
clear ip route * rồi sau đó
show ip route rip

Hoặc có thể debug ip rip để theo dõi quá trình gởi/nhận thông tin của RIP.

Bây giờ lại phát sinh ra 1 yêu cầu như sau:

R3 sẽ không nhận bất kỳ mạng nào từ R1 thì mình phải làm sao?

[tamle]

Chào thầy !
Theo hướng dẫn của thầy thì viết thêm 1 cái prefix-list deny lớp mạng còn lại nhưng giả sử có 100 lớp mạng, ta phải viết 100 cái prefix-list lận.
Chắc có cách tối ưu hơn phải ko thầy ?
Mong thầy hướng dẫn thêm e chưa học tới bài ACL.

[hoanggialiem]

Từ khóa gateway trong công cụ distribute-list.

Distribute-list gateway /abc/ in với abc là tên của IP prefix-list.
Gói tin update từ R1 gởi về sẽ lấy source route là 192.168.1.1 do đó trong IP prefix-list sẽ DENY địa chỉ IP này.

IP prefix-list DENY_R1 deny 192.168.1.1/32
IP prefix-list DENY_R1 permit 0.0.0.0/0 le 32 --> cho phép tất cả các source route còn lại.

Tiếp theo:
Router rip
distribute-list gateway DENY_R1 in

Như vậy R3 sẽ không nhận bất kỳ gói update nào có source route là 192.168.1.1
Kể cả phía sau router R1 còn những Router khác nữa và những Router đó có những lớp mạng khác nhau thì R3 cũng không nhận.
Vì những lớp mạng đó do R1 gởi về đều có source route là 192.168.1.1