Дибров М.В. Маршрутизаторы
Подождите немного. Документ загружается.
На рисунке 17.7 приводится пример настройки перераспределения марш-
рутной информации в протокол OSPF из протокола EIGRP.
На маршрутизаторе R1 запущены оба протокола маршрутизации: про-
токолы EIGRP и OSPF. Маршрутизатор R1 производит перераспределение
полной маршрутной информации из N1 в N2, устанавливает метрику для
перераспределенных маршрутов в протокол OSPF, равную 100, а также назна-
чает 1 тип внешних маршрутов для перераспределяемой маршрутной инфор-
мации. Это значит, что метрика перераспределенных маршрутов в домене
маршрутизации OSPF будет изменяться по мере распространения внешних
маршрутов по домену OSPF.
291
18 Управление трафиком маршрутных обновлений
В крупных сетях передачи данных часто возникает необходимость рас-
пространять маршрутную информацию управляемо. Например, на рисунке
18.1 приводится ситуация, в которой двум маршрутизаторам, принадлежащим
различным сетям передачи данных и находящихся под различным админи-
стративным управлением, требуется установить соединение при помощи ди-
намического протокола маршрутизации с целью частичного обмена маршрут-
ной информацией.
Сеть N2Сеть N1
R1 R2
Рисунок 18.1 – Необходимость управления
маршрутной информацией
В рассматриваемом примере, маршрутизатору R1 необходимо полно-
стью запретить распространение маршрутной информации из сети N1, однако
он должен иметь возможность получать маршрутные обновления от маршру-
тизатора R2. Маршрутизатору R2 в свою очередь необходимо объявлять
маршрутизатору R1 только часть известных ему сетей получателей располо-
женных в сети N2.
Рассмотренные в примере задачи принято называть фильтрацией марш-
рутной информации. Выделяют три основных вида управления маршрутной
информацией:
– Назначение пассивных интерфейсов.
– Фильтрация маршрутной информации передаваемой между соседни-
ми маршрутизаторами.
– Фильтрация маршрутной информации при перераспределении марш-
рутной информации между протоколами маршрутизации.
18.1 Использование пассивных интерфейсов
О применении пассивных интерфейсов для управления распространени-
ем маршрутной информации через интерфейсы маршрутизаторов, на которых
назначены IP адреса принадлежащие сетям, участвующим в процессе марш-
292
рутизации, уже не раз нами упоминалось. Теперь необходимо подробно оста-
новиться на данном механизме.
Как известно, все динамические протоколы маршрутизации после свое-
го запуска на маршрутизаторе и описания сетей участвующих в процессе
маршрутизации, начинают производить автоматическую рассылку служеб-
ных пакетов протокола маршрутизации со всех интерфейсов принадлежащих
сетям, описанным в настройках протокола маршрутизации. Это необходимо
для автоматического обнаружения соседних маршрутизаторов, с целью обме-
на с ними маршрутной информацией.
В настоящее время рекомендуется производить разделение адресного
пространства используемого в корпоративной сети передачи данных не толь-
ко по территориальному, но и функциональному признаку. Основными груп-
пами при делении адресного пространства по функциональному принципу яв-
ляются:
– Транспортные сети. В группу транспортных сетей входят сети, назна-
ченные на магистральных каналах связи между соседними маршрутизатора-
ми;
– Сети управления. В группу сетей управления входят сети, из которых
назначаются IP адреса для управления телекоммуникационным оборудовани-
ем;
– Пользовательские сети. В группу пользовательских сетей входят сети,
которые назначаются для нужд пользователей.
Понятно, что при подобном функциональном разделении адресного
пространства, для обмена маршрутной информацией между соседними марш-
рутизаторами достаточно чтобы служебные пакеты протоколов маршрутиза-
ции передавались только по транспортным сетям.
Однако для того чтобы протокол маршрутизации узнал о существова-
нии пользовательских сетей и сетей управления необходимо, либо произвести
перераспределение непосредственно подключенных сетей в протокол марш-
рутизации, либо описать их в протокол маршрутизации. Как говорилось в
предыдущей главе, перераспределение непосредственно подключенных сетей
в самые распространенные в настоящее время протоколы маршрутизации, та-
кие как EIGRP или OSPF, может приводить к неоптимальной работе этих про-
токолов маршрутизации, а в некоторых случаях, и к образованию маршрут-
ных петель.
Следовательно, для протоколов маршрутизации EIGRP и OSPF
единственно правильным способом объявлять группы пользовательских сетей
и сетей управления телекоммуникационным оборудованием в процесс марш-
рутизации, является способ описания данных сетей при помощи команд net-
work. На рисунке 18.2 приводится пример распространения служебных паке-
тов протоколами маршрутизации при описании сетей всех типов в процесс
маршрутизации при помощи команд network, без применения механизмов
управления служебным трафиком протоколов маршрутизации.
293
10.89.0.64/26
10.89.0.0/26
R1 R2
r1#
router eigrp 200
network 10.89.0.0 0.0.0.63
network 10.89.0.64 0.0.0.63
network 10.93.0.0 0.0.0.3
10.93.0.0/30
Рисунок 18.2 – Распространение служебной информации протоколами
маршрутизации без механизмов фильтрации
Из рисунка видно, что самым простым способом избежать распростра-
нения служебной информации через интерфейсы, которые не принадлежат
транспортным сетям, это запрет распространения маршрутной информации
через данные интерфейсы.
Интерфейсы с IP адресами, принадлежащими сетям, описанным в про-
цессе маршрутизации, но в которые запрещено распространять служебную
информацию протоколов маршрутизации получили название пассивных ин-
терфейсов.
Описание интерфейса пассивным, не изменяет алгоритм распростране-
ния процессом маршрутизации информации о сети получатели настроенной
на этом интерфейсе через интерфейсы, принадлежащие транспортным сетям.
Применение пассивных интерфейсов не только снижает нагрузку на
маршрутизатор, путем уменьшения объемов генерируемого и передаваемого
служебного трафика, но и повышает уровень информационной безопасности
в корпоративной сети передачи данных. Примером повышения уровня без-
опасности может служить запрет распространения служебных пакетов марш-
рутной информации в пользовательские сети, в которых по определению не
могут находиться маршрутизаторы. Однако в таких сетях находится большое
число компьютеров конечных пользователей, к которым злоумышленники
могут получить доступ тем или иным способом. Маршрутная информация,
перехваченная злоумышленником, может быть использована им с целью про-
ведения дальнейшей атаки на корпоративную сеть передачи данных.
18.1.1 Настройка пассивных интерфейсов
Настройка пассивных интерфейсов осуществляется при помощи ко-
манды passive-interface, синтаксис которой приводиться в примере 18.1.
294
Пример 18.1 – Синтаксис команды passive-interface
(config-router)# passive-interface [default] {interface-type interface-number}
(config-router)# no passive-interface {interface-type interface-number}
Описание параметров команды passive-interface приводиться в таблице
18.1.
Таблица 18.1 – Параметры команды passive-interface
Параметр Описание
interface-type interface-number Тип и номер интерфейса, назначаемого
пассивным.
default Назначение пассивными всех интер-
фейсов маршрутизатора по умолча-
нию.
Пример настройки пассивных интерфейсов приводится на рисунке 18.3.
10.89.0.64/26
10.89.0.0/26
R1 R2
r1#
router eigrp 200
passive-interface default
no passive-interface Serial0
network 10.89.0.0 0.0.0.63
network 10.89.0.64 0.0.0.63
network 10.93.0.0 0.0.0.3
10.93.0.0/30
S0F0
Рисунок 18.3 – Настройка пассивных интерфейсов
Необходимо заметить, что на рисунке, использована команда passive-in-
terface с ключом default, а интерфейсы, принадлежащие к транспортным се-
тям, описаны при помощи команды no passive-interface. Это сделано с целью
уменьшения строк в конфигурации маршрутизатора, т.к. в большинстве слу-
чаев транспортных сетей на маршрутизаторах меньше, чем всех остальных.
295
18.2 Фильтрация маршрутной информации, передаваемой между марш-
рутизаторами
Назначение пассивных интерфейсов маршрутизатора, удобно лишь в
том случае если необходимо полностью запретить распространение служеб-
ной информации протоколов маршрутизации через выбранный интерфейс.
Если необходимо чтобы маршрутизаторы устанавливали соседские от-
ношения и обменивались только частью маршрутной информации, необходи-
мо применять другие способы фильтрации маршрутной информации.
Таким способом фильтрации маршрутной информации является сравне-
ние содержащихся сетей получателей в маршрутных обновлениях с определен-
ным условием (Рисунок 18.4).
R1 R2
Рисунок 18.4 – Проверка условий при обмене
маршрутной информацией
Если сеть получатель удовлетворяет условию, то над ней производится
действие, указанное в условии, либо пропускается маршрутизатором, либо от-
брасывается. Действительный смысл слова «отбрасывается» зависит от того,
отправляется или принимается маршрутная информация.
Если маршрутная информация отправляется самим маршрутизатором, то-
гда оно должно содержать только те сети получатели которые удовлетворяют
указанному условию. Сети получатели, не удовлетворяющие условию, удаля-
ются из маршрутного объявления. Условие, которое налагается на сети получа-
тели, объявляемые самим маршрутизатором, называются исходящим фильтром
(outbound filter).
Если маршрутизатор получает маршрутное обновление, при обновлении
таблицы маршрутизации, он рассматривает только те сети получатели, которые
удовлетворяют условию. Точно так же сети получатели, не удовлетворяющие
условию, отбрасываются. Условие, которое маршрутизатор налагает на сети по-
лучатели, содержащиеся в полученных маршрутных обновлениях, называется
входящим фильтром (inbound filter).
Входящие и исходящие фильтры могут применяться как на конкретные
интерфейсы маршрутизатора, так и ко всему процессу маршрутизации. Исходя-
щие фильтры могут применяться только в дистанционно-векторных протоколах
296
маршрутизации. Они не могут использоваться для фильтрации внутренних
маршрутов в протоколах маршрутизации по состоянию канала, поскольку эти
протоколы в своей работе исходят из предпосылки, что все маршрутизаторы
знают действительную топологию сети. Исходящая фильтрация не позволяет
некоторым маршрутизаторам узнавать часть топологической информации сети,
которая не удовлетворяет условиям исходящего фильтра.
Хотя входящие фильтры могут использоваться с обоими типами протоко-
лов маршрутизации, их действие различается в зависимости от того, является
ли протокол маршрутизации дистанционно-векторным либо это протокол
маршрутизации по состоянию канала. В обоих случаях основная функция вхо-
дящего фильтра заключается в том, чтобы маршрутизатор не вносил фильтра в
таблицу маршрутизации маршруты до сетей получателей, не удовлетворяющих
условиям фильтра. В случае с дистанционно векторными протоколами маршру-
тизации, сети получатели, не удовлетворяющие условиям входящего фильтра,
не вносятся в таблицу маршрутизации. Как известно, если дистанционно век-
торный протокол маршрутизации, не может внести маршрут в таблицу маршру-
тизации он не может распространять его далее своим соседям.
В отличие от дистанционно-векторных протоколов маршрутизации, про-
токолы маршрутизации по состоянию канала, в независимости от того описаны
или не описаны входящие фильтры, заносят в таблицу топологии все приходя-
щие сети получатели. Однако если внесенная сеть получатель не удовлетворяет
условиям настроенного фильтра, маршрут до этой сети получателя не будет
внесен в таблицу маршрутизации, но по алгоритму работы протоколов маршру-
тизации данного типа, топологическая информация будет передана далее всем
маршрутизаторам входящих в область маршрутизации.
Существуют два типа описания правил для фильтрации маршрутных об-
новлений:
– Фильтрация сетей получателей по IP адресу сети;
– Фильтрация сетей получателей по длине префикса.
18.2.1 Фильтрация сетей получателей по IP адресу сети
Наиболее легким способом фильтрации маршрутных обновлении по IP
адресу сети получателя является применения стандартных списков доступа, ко-
торые будут применяться для фильтрации маршрутных обновлений.
Список доступа заданный на маршрутизаторе представляет, структуру,
изображенную на рисунке 18.5, состоящую из одного или нескольких правил.
Каждое правило, представляет собой, описание IP адреса сети получателя
с обратной маской сети (wildcard) и действие, которое нужно произвести, если
сеть получатель удовлетворяет описанному правилу. Действий соответственно
может быть два, это пропустить сеть получатель, или отбросить ее.
Как видно из рисунка 18.5 список доступа может состоять из множества
строк, каждая из которых будет описывать свое правило.
297
•
список контроля доступа 1
♦
правило списка ACL 1;
♦
правило списка ACL 1.
•
список контроля доступа 2
♦
правило списка ACL 2;
♦
правило списка ACL 2;
♦
правило списка ACL 2.
•
список контроля доступа 3
♦
правило списка ACL 3.
Рисунок 18.5 – Внутренняя структура списка доступа
На рисунке 18.6 приводится алгоритм обработки маршрутизатором,
маршрутных обновлений фильтром, содержащим список доступа, состоящий из
нескольких строк.
Конец
Начало
Проверка
выполнения первого
условия в списке
ДаДа
Проверка
выполнения последующих
условий в списке
Отбросить сеть
получатель
Пропустить сеть
получатель
Нет
Да Да
Отбросить сеть
получатель
Пропустить сеть
получатель
Нет
Проверка
выполнения последнего
условия в списке
Отбросить сеть
получатель
Да Да
Пропустить сеть
получатель
Нет
Отбросить сеть
получатель
Рисунок 18.6 – Алгоритм работы списка доступа
298
Необходимо обратить особое внимание на то, что проверка поступившей
в маршрутном обновлении информации производится до первого совпадения, и
далее список правил не просматривается. Следовательно, с сетью получателем
производится то действие, что было назначено при обнаружении соответствия
первому совпавшему правилу. Исходя из этого, можно сформулировать прин-
цип построения списка правил. Правила с описанием частных маршрутов долж-
ны быть занесены в список перед суммарными маршрутами.
В связи с тем, что при добавлении нового правила в стандартный список
доступа производится в конец списка, изменение списка доступа необходимо
производить с предварительным удалением ранее заданного списка, и последу-
ющим заполнением отредактированного списка.
Настройка списка доступа, осуществляется последовательным добавле-
нием в конфигурацию маршрутизатора правил списка доступа, используя ко-
манду access-list. Синтаксис команды приводится в примере 18.2.
Пример 18.2 – Синтаксис команды access-list
(config)# access-list access-list-number {deny | permit} source [source-wild-
card]
(config)# no access-list access-list-number
Описание параметров команды access-list приводиться в таблице 18.2.
Таблица 18.2 – Параметры команды access-list
Параметр Описание
access-list-number Номер списка доступа, к которому
принадлежит описываемое правило.
deny Отбросить сеть получатель при поло-
жительном выполнении указанного
правила.
permit Пропустить сеть получатель при поло-
жительном выполнении указанного
правила.
source IP адрес сети, с которой производится
сравнение.
source-wildcard Обратная маска сети, с которой произ-
водится сравнение.
Обратная маска (wildcard mask) представляет собой 32 битовую величи-
ну, которая разделена на четыре октета, каждый из которых состоит из вось-
ми битов. Если в какой-либо позиции маски стоит бит, равный нулю, то соот-
ветствующий бит адреса должен быть проверен. Если же в какой-либо пози-
299
ции бит, равен единице, то соответствующий бит адреса должен быть
проигнорирован (Рисунок 18.7).
00000000 .00000000 .00000000 .00000000
00000000 .00000000 .00000000 .11111111
00000000 .00000000 .11111111 .11111111
00000000 .11111111 .11111111 .11111111
00000000 .00000001 .00000000 .11111111
00001010 .01011000 .00011001 .01000000
10 . 88. 25. 64
IP адрес
Wildcard
1 сеть получатель 10.88.25.64
Все возможные подсети 10.88.25.0/24
Все возможные подсети 10.88.0.0/16
Все возможные подсети 10.0.0.0/8
Все возможные подсети 10.88.25.0/24 и 10.89.25.0/24
0 . 0. 0. 0
0 . 0. 0. 255
0 . 0. 255. 255
0 . 255. 255. 255
0 . 1. 0. 255
Рисунок 18.7 – Обработка маршрутизатором обратной маски
Инвертированная маска, как и маска подсети, тесно связана с IP адре-
сом. В инвертированной маске используются нули и единицы, для того чтобы
указать, как следует трактовать соответствующие биты IP адреса.
Инвертированная маска используется для указания одного или несколь-
ких адресов, которые будут проверяться на соответствие условиям списка
контроля доступа. Термин использование инвертированной маски (wildcard
masking) обозначает процесс побитового сравнения и подстановки значений
битов адреса.
Несмотря на то, что инвертированная маска списков контроля доступа и
маска подсети представляют собой 32 битовые величины, выполняемые ими
функции, значительно отличаются. Нули и единицы в маске подсети опреде-
ляют сеть, подсеть и номер узла. Биты инвертированной маски указывают,
будет ли проверяться соответствующий бит. Еще одним важным отличием
обратной маски от маски подсети, показанным на рисунке 18.7, является то,
что в обратной маске числа отличные от нуля не только начиная с правого
октета, а в произвольном месте обратной маски.
Кроме нумерованных списков доступа, для фильтрации маршрутных
обновлений IP протокола можно использовать именованные списки. Главным
отличием таких списков от рассмотренных ранее, является возможность ука-
зания в качестве идентификатора списка доступа не номера, а символьного
имени.
Создание именованного списка доступа осуществляется при помощи ко-
манды ip access-list. Синтаксис команды приводится в примере 18.3. Добавле-
ние проверяемых правил осуществляется при помощи команд permit и deny,
синтаксис которых приводится в примерах 18.4 и 18.5.
300