URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17763
[ Назад ]

Исходное сообщение
"BGP и access-list"
Отправлено Markoff , 06-Дек-08 12:18

Подскажите, уважаемые гуру.
Есть некий маршрутизатор, принимающий bgp.
За ним есть некий хост, которому нужно разрешить ходить только по тем адресам, которые входят в обрако bgp. Как это сделать?
Можно, конечно убрать на этом хосте дефолтный маршрут, но это не есть защита. Надо сделать как-то с использованием access-list
Ниже конфиг (адреса изменены, но суть осталась)
!
interface GigabitEthernet0/0
description ---------- GE 0/0 External Ethernet Interface
ip address 13.12.11.10 255.255.255.0
ip access-group 100 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect fw-out out
ip virtual-reassembly
duplex full
speed 100
media-type rj45
no cdp enable
!
interface GigabitEthernet0/1
description ---------- GE 0/1 Internal Ethernet Interface
ip address 13.12.10.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip inspect fw-in out
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
!
router bgp 16555
no synchronization
bgp log-neighbor-changes
network 13.12.10.0 mask 255.255.255.0
neighbor 13.12.11.1 remote-as 15555
neighbor 13.12.11.1 version 4
neighbor 13.12.11.1 send-community
!
access-list 100 permit tcp any host 13.12.10.2 eq 22
access-list 100 deny ip any any log
access-list 101 permit ip any any
!

Содержание

BGP и access-list,Av, 14:43 , 06-Дек-08
- BGP и access-list,Markoff, 16:13 , 06-Дек-08
  - BGP и access-list,KiM, 16:34 , 06-Дек-08
    - BGP и access-list,den, 14:29 , 08-Дек-08
      - BGP и access-list,Markoff, 14:32 , 08-Дек-08
        
        BGP и access-list,den, 10:55 , 30-Дек-08
    - BGP и access-list,EDA_SPB, 13:10 , 30-Дек-08

Сообщения в этом обсуждении

"BGP и access-list"
Отправлено Av , 06-Дек-08 14:43

>Надо сделать как-то с использованием access-list
Так делайте с использованием access-list'ов. В чем же проблема?
access-list 101 permit ip 13.12.10.2 ...
access-list 101 deny ip 13.12.10.2 any
access-list 100 permit ip ... 13.12.10.2

"BGP и access-list"
Отправлено Markoff , 06-Дек-08 16:13

>Так делайте с использованием access-list'ов. В чем же проблема?
проблема в моем незнании, видимо.
так можно прописать, но это, если сети не меняются.
предположим, что сегодня в облаке такие сети:
13.10.10.0/24
13.10.11.0/24
а завтра такие:
13.10.10.0/24
13.10.15.0/24
на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). И эти сети очень часто меняются (добавляются новые, уходят старые). А надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ только в те сети, которые о себе анонсируют по bgp.

"BGP и access-list"
Отправлено KiM , 06-Дек-08 16:34

>[оверквотинг удален]
>13.10.10.0/24
>13.10.11.0/24
>а завтра такие:
>13.10.10.0/24
>13.10.15.0/24
>на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300).
>И эти сети очень часто меняются (добавляются новые, уходят старые). А
>надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим
>сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ
>только в те сети, которые о себе анонсируют по bgp.
mpls & address-family ipv4 vrf

"BGP и access-list"
Отправлено den , 08-Дек-08 14:29

>[оверквотинг удален]
>>13.10.10.0/24
>>13.10.11.0/24
>>а завтра такие:
>>13.10.10.0/24
>>13.10.15.0/24
>>на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300).
>>И эти сети очень часто меняются (добавляются новые, уходят старые). А
>>надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим
>>сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ
>>только в те сети, которые о себе анонсируют по bgp.
ну дык если этой сети нету в таблице роутинга на рутере, то он сгенерит клиенту icmp dest net unreach и пакет никуда не уйдет дальше сервера.

"BGP и access-list"
Отправлено Markoff , 08-Дек-08 14:32

>ну дык если этой сети нету в таблице роутинга на рутере, то
>он сгенерит клиенту icmp dest net unreach и пакет никуда
>не уйдет дальше сервера.
на роутере-то есть дефолтный маршрут.
более того, есть хосты, которым надо ходить везде, но есть и те, которым только внутри облака.

"BGP и access-list"
Отправлено den , 30-Дек-08 10:55

маршрутизатор на чем сделан ?

"BGP и access-list"
Отправлено EDA_SPB , 30-Дек-08 13:10

>[оверквотинг удален]
>>а завтра такие:
>>13.10.10.0/24
>>13.10.15.0/24
>>на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300).
>>И эти сети очень часто меняются (добавляются новые, уходят старые). А
>>надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим
>>сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ
>>только в те сети, которые о себе анонсируют по bgp.
>
>mpls & address-family ipv4 vrf
Вариант.
Но часто такая схема довольно тяжело реализуема.
Первое что подумалось - динамика между рутером и машиной с redestribute bgp. Без дефолта на машине.
Второе - замарочиться со скриптами. Bgpq + upload.