Cisco, Route Filtering - RIP, Lọc route với giao thức RIP

Bài Lab

Các kiến thức sử dụng trong bài: Spanning Tree Protocol, RIPv2, Route Filtering

YÊU CẦU:


1. Cấu hình ban đầu:

• Cấu hình STP trên switch giúp mạng hội tụ nhanh
• Cấu hình RIPv2 đảm bảo tất cả các IP phải ping thấy nhau.

2. Lọc route với Passive - Interface
Cấu hình trên R1 sao cho mọi dữ liệu ra khỏi R4 bắt buộc phải theo hướng kết nối R4 và R2

3. Lọc route với Standard Access-List, Distribute List
Cấu hình trên R1 đảm bảo chỉ cho phép subnet 172.16.51.0/24 của R5 và 172.16.41.0/24 của R4 thấy nhau, các subnet khác của R4, R5 không được phép. (phải bỏ cấu hình yêu cầu 2 trước khi làm)

4. Lọc route với Extended ACL:
Cấu hình trên R3 sao cho dữ liệu ra khỏi R3 đến subnet 172.16.41.0/24 chỉ được phép thông R2.5. Lọc route với Prefix-List
Trên R2 tạo thêm các loopback với địa chỉ IP như sau:
+ Loopback 1: 10.1.128.1/17
+ Loopback 2: 10.1.64.1/18
+ Loopback 3: 10.1.32.1/19
+ Loopback 4: 10.1.16.1/20
+ Loopback 5: 10.1.8.1/21
+ Loopback 6: 10.1.4.1/22
+ Loopback 7: 10.1.2.1/23
+ Loopback 8: 10.1.1.1/24
+ Loopback 9: 10.1.0.129/25
+ Loopback 10: 10.1.0.65/26

• Tất cả các loopback từ 1->10 tham gia vào RIP
• Cấu hình trên R1 sẽ đi đến các subnet loopback vừa tạo có prefix-length từ 20 đến 24 đi theo hướng R4, các interface còn lại đi theo hướng R2 

6. Lọc route bằng cách hiệu chỉnh AD

Bằng cách cấu hình hiệu chỉnh AD trên R2 sao cho lọc và xóa route 172.16.42.0/24 ra khỏi bảng định tuyến trênR2.

7. Hiệu chỉnh AD theo neighbor

Sử dụng kỹ thuật hiệu chỉnh AD neighbor và cấu hình trên R1 đảm bảo dữ liệu đi từ R1 đến subnet 172.16.41.0/24 bắt buộc phải thông qua R2.

8. Lọc route với offset-list
Sử dụng offset - list và cáu hình trên R4 sao cho R4 đi đến subnet 172.16.11.0/24 của R1 phải thông qua R2.


GỢI Ý CẤU HÌNH

1. Cấu hình ban đầu:

• Cấu hình STP trên switch giúp mạng hội tụ nhanh
• Cấu hình RIPv2 đảm bảo tất cả các IP phải ping thấy nhau.

!Switch

spanning-tree mode rapid-pvst
spanning-tree portfast default

!R1

interface Ethernet0/3
no shutdown
ip address 192.168.15.1 255.255.255.0
interface Ethernet0/2
no shutdown
ip address 192.168.14.1 255.255.255.0
interface Ethernet0/0
no shutdown
ip address 192.168.123.1 255.255.255.0
interface lo11
ip address 172.16.11.1 255.255.255.0
exit
router rip
version 2
network 172.16.0.0
network 192.168.14.0
network 192.168.15.0
network 192.168.123.0
no auto-summary

!R2

interface Ethernet0/1
no shutdown
ip address 192.168.24.2 255.255.255.0
interface Ethernet0/0
no shutdown
ip address 192.168.123.2 255.255.255.0
interface lo22
ip address 172.16.22.1 255.255.255.0
exit
router rip
version 2
network 172.16.0.0
network 192.168.24.0
network 192.168.123.0
no auto-summary

!R3

interface Ethernet0/0
no shutdown
ip address 192.168.123.3 255.255.255.0
interface lo33
ip address 172.16.33.1 255.255.255.0
exit
router rip
version 2
network 172.16.0.0
network 192.168.123.0
no auto-summary

!R4

interface Ethernet0/1
no shutdown
ip address 192.168.24.4 255.255.255.0
interface Ethernet0/2
no shutdown
ip address 192.168.14.4 255.255.255.0
interface lo41
ip address 172.16.41.1 255.255.255.0
interface lo42
ip address 172.16.42.1 255.255.255.0
exit
router rip
version 2
network 172.16.0.0
network 192.168.14.0
network 192.168.24.0
no auto-summary

!R5

interface Ethernet0/3
no shutdown
ip address 192.168.15.5 255.255.255.0
interface lo51
ip address 172.16.51.1 255.255.255.0
interfacelo52
ip address 172.16.52.1 255.255.255.0
exit
router rip
version 2
network 172.16.0.0
network 192.168.15.0
no auto-summary

2. Lọc route với Passive - Interface
Cấu hình trên R1 sao cho mọi dữ liệu ra khỏi R4 bắt buộc phải theo hướng kết nối R4 và R2

!Bảng route ban đầu

R4#show ip route rip

đã xóa 1 số dòngGateway of last resort is not set

172.16.0.0/16 is variably subnetted, 9 subnets, 2 masks
R 172.16.11.0/24 [120/1] via 192.168.14.1, 00:02:19, Ethernet0/2
R 172.16.22.0/24 [120/1] via 192.168.24.2, 00:00:07, Ethernet0/1
R 172.16.33.0/24 [120/2] via 192.168.24.2, 00:00:07, Ethernet0/1
                             [120/2] via 192.168.14.1, 00:02:19, Ethernet0/2
R 172.16.51.0/24 [120/2] via 192.168.14.1, 00:02:19, Ethernet0/2
R 172.16.52.0/24 [120/2] via 192.168.14.1, 00:02:19, Ethernet0/2
R 192.168.15.0/24 [120/1] via 192.168.14.1, 00:02:19, Ethernet0/2
R 192.168.123.0/24 [120/1] via 192.168.24.2, 00:00:07, Ethernet0/1
                                 [120/1] via 192.168.14.1, 00:02:19, Ethernet0/2

Để thực hiện yêu cầu ta cấu hình không cho R1 quảng bá route qua cổng Et0/2 bằng cấu hình Passive-interface (Et0/2 của R1 có thể nhận bảng route thông qua cổng này bình thường).
!Cấu hình

router rip
 passive-interface Ethernet0/2
end
!

!Kết quả sau khi cấu hình

R4#show ip route rip

đã xóa 1 số dòng
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 9 subnets, 2 masks
R 172.16.11.0/24 [120/2] via 192.168.24.2, 00:00:08, Ethernet0/1
R 172.16.22.0/24 [120/1] via 192.168.24.2, 00:00:08, Ethernet0/1
R 172.16.33.0/24 [120/2] via 192.168.24.2, 00:00:08, Ethernet0/1
R 172.16.51.0/24 [120/3] via 192.168.24.2, 00:00:08, Ethernet0/1
R 172.16.52.0/24 [120/3] via 192.168.24.2, 00:00:08, Ethernet0/1
R 192.168.15.0/24 [120/2] via 192.168.24.2, 00:00:08, Ethernet0/1
R 192.168.123.0/24 [120/1] via 192.168.24.2, 00:00:08, Ethernet0/1

3. Lọc route với Standard Access-List, Distribute List
Cấu hình trên R1 đảm bảo chỉ cho phép subnet 172.16.51.0/24 của R5 và 172.16.41.0/24 của R4 thấy nhau, các subnet khác của R4, R5 không được phép. (phải bỏ cấu hình yêu cầu 2 trước khi làm)
Ta thấy R1 có hướng kết nối trực tiếp đến với nhiều router khác, R5 chỉ có một hướng kết nối trực tiếp R1 mà thôi. Nên ta chọn Access-List sẽ cài đặt trên cổng E0/3 của R1 là hợp lý nhất.
!R1

ip access-list standard R4_41.0_TO_R5
 permit 172.16.41.0
 deny   any
ip access-list standard R5_51.0_TO_R4
 permit 172.16.51.0
 deny   any
exit
!
router rip
 distribute-list R5_51.0_TO_R4 in Ethernet0/3
 distribute-list R4_41.0_TO_R5 out Ethernet0/3
end
!

!Kiểm tra sau khi cấu hình access-list

R1#show access-lists

Standard IP access list R4_41.0_TO_R5
10 permit 172.16.41.0 (11 matches)
20 deny any (101 matches)
Standard IP access list R5_51.0_TO_R4
10 permit 172.16.51.0 (10 matches)
20 deny any (47 matches)

R1#show ip protocols

*** IP Routing is NSF aware ***
Routing Protocol is "rip"
Outgoing update filter list for all interfaces is not set
Ethernet0/3 filtered by R4_41.0_TO_R5 (per-user), default is not set
Incoming update filter list for all interfaces is not set
Ethernet0/3 filtered by R5_51.0_TO_R4 (per-user), default is not set
Sending updates every 30 seconds, next due in 21 seconds

  !Kiểm tra kết quả bảng route trên R4, R5

R4#show ip route rip

Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 8 subnets, 2 masks
R 172.16.11.0/24 [120/1] via 192.168.14.1, 00:00:20, Ethernet0/2
R 172.16.22.0/24 [120/1] via 192.168.24.2, 00:00:23, Ethernet0/1
R 172.16.33.0/24 [120/2] via 192.168.24.2, 00:00:23, Ethernet0/1
                             [120/2] via 192.168.14.1, 00:00:20, Ethernet0/2
R 172.16.51.0/24 [120/2] via 192.168.14.1, 00:00:20, Ethernet0/2
R 192.168.15.0/24 [120/1] via 192.168.14.1, 00:00:20, Ethernet0/2
R 192.168.123.0/24 [120/1] via 192.168.24.2, 00:00:23, Ethernet0/1
                                [120/1] via 192.168.14.1, 00:00:20, Ethernet0/2

R5#show ip route rip

172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
R 172.16.41.0/24 [120/2] via 192.168.15.1, 00:00:18, Ethernet0/3

4. Lọc route với Extended ACL: Cấu hình trên R3 sao cho dữ liệu ra khỏi R3 đến subnet 172.16.41.0/24 chỉ được phép thông R2.
Kiểm tra bảng route trên R3 lúc chưa cấu hình

R3#show ip route 172.16.41.1

Routing entry for 172.16.41.0/24
Known via "rip", distance 120, metric 2
Redistributing via rip
Last update from 192.168.123.2 on Ethernet0/0, 00:00:09 ago
Routing Descriptor Blocks:
* 192.168.123.2, from 192.168.123.2, 00:00:09 ago, via Ethernet0/0
Route metric is 2, traffic share count is 1
192.168.123.1, from 192.168.123.1, 00:00:12 ago, via Ethernet0/0
Route metric is 2, traffic share count is 1

Ta thấy R3 học được subnet 172.16.41.0 từ IP 192.168.123.1 của R1 và 192.168.123.1 của R2 thông qua interface Et0/0 của nó. Vậy để đáp ứng yêu cầu đặt ra, ta viết ACL chặn hướng quảng bá của subnet 172.16.41.0 từ IP 192.168.123.1 đến R3 và áp theo chiều in đối với interface Et0/0.

!Cấu hình

access-list 101 deny ip host 192.168.123.1 host 172.16.41.0
access-list 101 permit ip any any
access-list 101 remark R4_41.0_TO_R3_via_R1
exit
!
router rip
distribute-list 101 in Ethernet0/0
end
!

!Kiểm tra

R3#show access-lists 101

Extended IP access list 101
10 deny ip host 192.168.123.1 host 172.16.41.0 (6 matches)
20 permit ip any any (58 matches)

R3#show ip route 172.16.41.0

Routing entry for 172.16.41.0/24
Known via "rip", distance 120, metric 2
Redistributing via rip
Last update from 192.168.123.2 on Ethernet0/0, 00:00:21 ago
Routing Descriptor Blocks:
* 192.168.123.2, from 192.168.123.2, 00:00:21 ago, via Ethernet0/0
Route metric is 2, traffic share count is 1

R3#traceroute 172.16.41.1

Type escape sequence to abort.
Tracing the route to 172.16.41.1
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.123.2 1 msec 2 msec 1 msec
2 192.168.24.4 1 msec 2 msec *

5. Lọc route với Prefix-List
Trên R2 tạo thêm các loopback với địa chỉ IP như sau:
          + Loopback 1: 10.1.128.1/17
          + Loopback 2: 10.1.64.1/18
          + Loopback 3: 10.1.32.1/19
          + Loopback 4: 10.1.16.1/20
          + Loopback 5: 10.1.8.1/21
          + Loopback 6: 10.1.4.1/22
          + Loopback 7: 10.1.2.1/23
          + Loopback 8: 10.1.1.1/24
          + Loopback 9: 10.1.0.129/25
          + Loopback 10: 10.1.0.65/26

• Tất cả các loopback từ 1->10 tham gia vào RIP

!R2

interface loopback 1
ip add 10.1.128.1 255.255.128.0
interface loopback 2
ip add 10.1.64.1 255.255.192.0
interface loopback 3
ip add 10.1.32.1 255.255.224.0
interface loopback 4
ip add 10.1.16.1 255.255.240.0
interface loopback 5
ip add 10.1.8.1 255.255.248.0
interface loopback 6
ip add 10.1.4.1 255.255.252.0
interface loopback 7
ip add 10.1.2.1 255.255.254.0
interface loopback 8
ip add 10.1.1.1 255.255.255.0
interface loopback 9
ip add 10.1.0.129 255.255.255.128
interface loopback 10
ip add 10.1.0.65 255.255.255.192
exit
!

router rip
network 10.0.0.0
end
!

• Cấu hình trên R1 sẽ đi đến các subnet loopback vừa tạo có prefix-length từ 20 đến 24 đi theo hướng R4, các interface còn lại đi theo hướng R2 

!Kiểm tra trước khi cấu hình

R1#show ip route 10.0.0.0

Routing entry for 10.0.0.0/8, 10 known subnets Variably subnetted with 10 masks
Redistributing via rip
R 10.1.0.64/26 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.0.128/25 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.1.0/24 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.2.0/23 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.4.0/22 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.8.0/21 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.16.0/20 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.32.0/19 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.64.0/18 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0
R 10.1.128.0/17 [120/1] via 192.168.123.2, 00:00:12, Ethernet0/0

Ta thấy 10 loopback vừa tạo đều đi qua đường đấu nối trực tiếp đó là R2 với IP 192.168.123.2. Để cấm 1 subnet không được phép đi qua R2 thì ta chỉ cần cấm không cho R2 quảng bá subnet đó đến R1 qua công Et0/0 là được.

!R1

ip prefix-list LOOPBACK deny 10.0.0.0/8 ge 20 le 24
ip prefix-list LOOPBACK permit 0.0.0.0/0 le 32
!
router rip
distribute-list prefix LOOPBACK in Ethernet0/0

!kiểm tra prefix-list vừa cấu hình có match không

R1#show ip prefix-list detail

Prefix-list with the last deletion/insertion: LOOPBACK
ip prefix-list LOOPBACK: count: 2, range entries: 2, sequences: 5 - 10, refcount: 4 seq 5 deny 10.0.0.0/8 ge 20 le 24 (hit count: 30, refcount: 1) seq 10 permit 0.0.0.0/0 le 32 (hit count: 52, refcount: 1)

!Kiểm tra bảng route

R1#show ip route 10.0.0.0

Routing entry for 10.0.0.0/8, 10 known subnets
Variably subnetted with 10 masks
Redistributing via rip
R 10.1.0.64/26 [120/1] via 192.168.123.2, 00:00:24, Ethernet0/0
R 10.1.0.128/25 [120/1] via 192.168.123.2, 00:00:24, Ethernet0/0
R 10.1.1.0/24 [120/2] via 192.168.14.4, 00:00:04, Ethernet0/2
R 10.1.2.0/23 [120/2] via 192.168.14.4, 00:00:04, Ethernet0/2
R 10.1.4.0/22 [120/2] via 192.168.14.4, 00:00:04, Ethernet0/2
R 10.1.8.0/21 [120/2] via 192.168.14.4, 00:00:04, Ethernet0/2
R 10.1.16.0/20 [120/2] via 192.168.14.4, 00:00:04, Ethernet0/2
R 10.1.32.0/19 [120/1] via 192.168.123.2, 00:00:24, Ethernet0/0
R 10.1.64.0/18 [120/1] via 192.168.123.2, 00:00:24, Ethernet0/0
R 10.1.128.0/17 [120/1] via 192.168.123.2, 00:00:24, Ethernet0/0

Ta thấy các prefix-length từ 20->24 đã đi thông qua R1 và metric =2

6. Lọc route bằng cách hiệu chỉnh AD

Bằng cách cấu hình hiệu chỉnh AD trên R2 sao cho lọc và xóa route 172.16.42.0/24 ra khỏi bảng định tuyến trên R2.

R2#show ip route 172.16.42.0

Routing entry for 172.16.42.0/24
Known via "rip", distance 120, metric 1
Redistributing via rip
Last update from 192.168.24.4 on Ethernet0/1, 00:00:02 ago
Routing Descriptor Blocks:
* 192.168.24.4, from 192.168.24.4, 00:00:02 ago, via Ethernet0/1
Route metric is 1, traffic share count is 1

Ta thấy trong bảng route của R2 có AD hay distance = 120 bây giờ ta sẽ điều chỉnh là 255 thì route 172.16.42.0 sẽ bị xóa bỏ ra khỏi bảng route của R2

!R2

access-list 1 permit 172.16.42.0
access-list 1 deny any
!
router rip
distance 255 0.0.0.0 255.255.255.255 1
end
!

Kiểm tra kết quả

R2#show access-lists

Standard IP access list 1
10 permit 172.16.42.0 (81 matches)
20 deny any (446 matches)

R2#show ip route 172.16.42.0

% Subnet not in table

R2#show ip route rip

Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
R 172.16.11.0/24 [120/1] via 192.168.123.1, 00:00:22, Ethernet0/0
R 172.16.33.0/24 [120/1] via 192.168.123.3, 00:00:20, Ethernet0/0
R 172.16.41.0/24 [120/1] via 192.168.24.4, 00:00:12, Ethernet0/1
R 172.16.51.0/24 [120/2] via 192.168.123.1, 00:00:22, Ethernet0/0
R 192.168.14.0/24 [120/1] via 192.168.123.1, 00:00:22, Ethernet0/0
                               [120/1] via 192.168.24.4, 00:00:12, Ethernet0/1
R 192.168.15.0/24 [120/1] via 192.168.123.1, 00:00:22, Ethernet0/0

7. Hiệu chỉnh AD theo neighbor
Sử dụng kỹ thuật hiệu chỉnh AD neighbor và cấu hình trên R1 đảm bảo dữ liệu đi từ R1 đến subnet 172.16.41.0/24 bắt buộc phải thông qua R2.

R1#show ip route 172.16.41.0

Routing entry for 172.16.41.0/24
Known via "rip", distance 120, metric 1
Redistributing via rip
Last update from 192.168.14.4 on Ethernet0/2, 00:00:04 ago
Routing Descriptor Blocks:
* 192.168.14.4, from 192.168.14.4, 00:00:04 ago, via Ethernet0/2
Route metric is 1, traffic share count is 1

Ta thấy R1 học được lớp subnet 172.16.41.0/24 thông qua 2 đường:

• Kết nối trực tiếp R1-R4 với distance 120, metric =1
• R2 quảng bá đến với distance 120, metric =2. Vì metric R2 không tốt hơn metric của R1 nên hướng kết nối này không được hiển thị trong bảng route của R1. Nên ta điều chỉnh AD = 255 cho hướng kết nối R1-R4 để sub 172.16.41.0/24 ra khỏi bảng route của R1.

!R1

access-list 1 permit 172.16.41.0
access-list 1 deny   any
!router rip
distance 255 192.168.14.4 0.0.0.0 1
end
!

!kiểm tra

R1#show ip route 172.16.41.0

Routing entry for 172.16.41.0/24
Known via "rip", distance 120, metric 2
Redistributing via rip
Last update from 192.168.123.2 on Ethernet0/0, 00:00:12 ago
Routing Descriptor Blocks:
* 192.168.123.2, from 192.168.123.2, 00:00:12 ago, via Ethernet0/0
Route metric is 2, traffic share count is 1

8. Lọc route với offset-list
Sử dụng offset - list và cáu hình trên R4 sao cho R4 đi đến subnet 172.16.11.0/24 của R1 phải thông qua R2.

R4#show ip route 172.16.11.0

Routing entry for 172.16.11.0/24
Known via "rip", distance 120, metric 1
Redistributing via rip
Last update from 192.168.14.1 on Ethernet0/2, 00:00:09 ago
Routing Descriptor Blocks:
* 192.168.14.1, from 192.168.14.1, 00:00:09 ago, via Ethernet0/2
Route metric is 1, traffic share count is 1

Tương tư yêu cầu 7, R4 học subnet 172.16.11.0/24 thông qua R1 và R2. Để subnet 172.16.11.0/24 hiển thị trong bảng định tuyến và thông qua hướng R2, ta có thể chỉnh metric của hướng kết nối R1-R4 là 16 (trong RIP nếu hop count =16 là unreachable ) thì hướng đi này sẽ bị loại bỏ khỏi bảng route. Thay vào đó là hướng đi thông qua R2

!R4

access-list 1 permit 172.16.11.0
access-list 1 deny any
!
router rip
offset-list 1 in 16 Ethernet0/2
end
!

!Kiểm tra

R4#show ip route 172.16.11.0

Routing entry for 172.16.11.0/24
Known via "rip", distance 120, metric 2
Redistributing via rip
Last update from 192.168.24.2 on Ethern
et0/1, 00:00:09 ago
Routing Descriptor Blocks:
* 192.168.24.2, from 192.168.24.2, 00:00:09 ago, via Ethernet0/1
Route metric is 2, traffic share count is 1

Xong!