https://www.opennet.dev/openforum/vsluhforumID6/17763.html Подскажите, уважаемые гуру.<br>Есть некий маршрутизатор, принимающий bgp.<br>За ним есть некий хост, которому нужно разрешить ходить только по тем адресам, которые входят в обрако bgp. Как это сделать?<br>Можно, конечно убрать на этом хосте дефолтный маршрут, но это не есть защита. Надо сделать как-то с использованием access-list<br>Ниже конфиг (адреса изменены, но суть осталась)<br><br>!<br>interface GigabitEthernet0/0<br> description ---------- GE 0/0 External Ethernet Interface<br> ip address 13.12.11.10 255.255.255.0<br> ip access-group 100 in<br> ip verify unicast reverse-path<br> no ip redirects<br> no ip unreachables<br> no ip proxy-arp<br> ip inspect fw-out out<br> ip virtual-reassembly<br> duplex full<br> speed 100<br> media-type rj45<br> no cdp enable<br>!<br>interface GigabitEthernet0/1<br> description ---------- GE 0/1 Internal Ethernet Interface<br> ip address 13.12.10.1 255.255.255.0<br> ip access-group 101 in<br> ip nat inside<br> ip inspect fw-in out<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br> media-type rj45<br>!<br>router bgp 16555<br> no sy https://www.opennet.dev/openforum/vsluhforumID6/17763.html#7 Tue, 30 Dec 2008 10:10:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;а завтра такие: <br>&gt;&gt;13.10.10.0/24 <br>&gt;&gt;13.10.15.0/24 <br>&gt;&gt;на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). <br>&gt;&gt;И эти сети очень часто меняются (добавляются новые, уходят старые). А <br>&gt;&gt;надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим <br>&gt;&gt;сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ <br>&gt;&gt;только в те сети, которые о себе анонсируют по bgp. <br>&gt;<br>&gt;mpls & address-family ipv4 vrf <br><br>Вариант.<br>Но часто такая схема довольно тяжело реализуема.<br>Первое что подумалось - динамика между рутером и машиной с redestribute bgp. Без дефолта на машине.<br>Второе - замарочиться со скриптами. Bgpq + upload.<br> https://www.opennet.dev/openforum/vsluhforumID6/17763.html#6 Tue, 30 Dec 2008 07:55:48 GMT маршрутизатор на чем сделан ?<br> https://www.opennet.dev/openforum/vsluhforumID6/17763.html#5 Mon, 08 Dec 2008 11:32:07 GMT &gt;ну дык если этой сети нету в таблице роутинга на рутере, то <br>&gt;он сгенерит клиенту icmp dest net unreach и пакет никуда <br>&gt;не уйдет дальше сервера. <br><br>на роутере-то есть дефолтный маршрут.<br>более того, есть хосты, которым надо ходить везде, но есть и те, которым только внутри облака.<br><br> https://www.opennet.dev/openforum/vsluhforumID6/17763.html#4 Mon, 08 Dec 2008 11:29:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;13.10.10.0/24 <br>&gt;&gt;13.10.11.0/24 <br>&gt;&gt;а завтра такие: <br>&gt;&gt;13.10.10.0/24 <br>&gt;&gt;13.10.15.0/24 <br>&gt;&gt;на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). <br>&gt;&gt;И эти сети очень часто меняются (добавляются новые, уходят старые). А <br>&gt;&gt;надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим <br>&gt;&gt;сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ <br>&gt;&gt;только в те сети, которые о себе анонсируют по bgp. <br><br>ну дык если этой сети нету в таблице роутинга на рутере, то он сгенерит клиенту icmp dest net unreach и пакет никуда не уйдет дальше сервера.<br> https://www.opennet.dev/openforum/vsluhforumID6/17763.html#3 Sat, 06 Dec 2008 13:34:45 GMT &gt;[оверквотинг удален]<br>&gt;13.10.10.0/24 <br>&gt;13.10.11.0/24 <br>&gt;а завтра такие: <br>&gt;13.10.10.0/24 <br>&gt;13.10.15.0/24 <br>&gt;на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). <br>&gt;И эти сети очень часто меняются (добавляются новые, уходят старые). А <br>&gt;надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим <br>&gt;сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ <br>&gt;только в те сети, которые о себе анонсируют по bgp. <br><br>mpls & address-family ipv4 vrf<br> https://www.opennet.dev/openforum/vsluhforumID6/17763.html#2 Sat, 06 Dec 2008 13:13:08 GMT &gt;Так делайте с использованием access-list'ов. В чем же проблема? <br><br>проблема в моем незнании, видимо.<br><br>так можно прописать, но это, если сети не меняются.<br>предположим, что сегодня в облаке такие сети:<br>13.10.10.0/24<br>13.10.11.0/24<br>а завтра такие:<br>13.10.10.0/24<br>13.10.15.0/24<br>на самом деле речь идет о достаточно большом кол-ве сетей (порядка 300). И эти сети очень часто меняются (добавляются новые, уходят старые). А надо, чтобы подопытная наша машина 13.12.10.2 имела доступ ко всем этим сетям, а к остальным сетям доступа небыло. Иными словами нужен доступ только в те сети, которые о себе анонсируют по bgp.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/17763.html#1 Sat, 06 Dec 2008 11:43:44 GMT &gt;Надо сделать как-то с использованием access-list <br><br>Так делайте с использованием access-list'ов. В чем же проблема?<br><br>access-list 101 permit ip 13.12.10.2 ...<br>access-list 101 deny ip 13.12.10.2 any<br><br>access-list 100 permit ip ... 13.12.10.2<br><br> <br><br><br>