Lorsque l'on saisit la commande redistribute
connected dans RIP, le routeur diffuse toutes
les routes de type «directement connectées», sans distinction. Difficile de
garder une certaine «intimité» dans ces conditions !
Zebra, qui est bien conçu, propose des mécanismes
pour filtrer la diffusion des routes grâce aux «listes de
distribution».
Supposons qu'un nouveau réseau soit connecté à R2. Pour les besoins de l'exemple, vous pouvez créer une interface fictive simulant ce réseau. Dans le shell Linux, créons cette interface :
R2 # ifconfig dummy0 111.0.0.1/8 up
Zebra détecte cette nouvelle interface et transmet l'information à RIP. Comme à ce stade, RIP doit diffuser toutes les routes connectées. Il informe immédiatement ses voisins. Vérifions ceci sur R1 :
R1(RIP)# show ip rip Codes: R - RIP, C - connected, O - OSPF, B - BGP Network Next Hop Metric From Time C 100.0.0.0/8 1 R 101.0.0.0/8 100.0.0.2 2 100.0.0.2 02:43 C 102.0.0.0/8 1 R 111.0.0.0/8 100.0.0.2 2 100.0.0.2 02:43 C 192.168.1.0/24 1 R 192.168.2.0/24 100.0.0.2 2 100.0.0.2 02:43 R1(RIP)#
On constate que R1 a appris l'existence de 111.0.0.0/8. Nous allons interdire à R2 de diffuser l'existence de ce réseau à ses petits camarades. Pour ce faire, il faut créer une règle indiquant que l'adresse 111.0.0.0/8 est bloquée grâce à une liste de contrôle d'accès. Ensuite, il faut affecter cette règle à une liste de distribution qui indiquera sur quelle interface l'appliquer. Retournons sur R2, dans le terminal de configuration de RIP :
R2(RIP)> enable R2(RIP)# conf t R2(RIP)(config)# access-list1 deny 111.0.0.0/8 R2(RIP)(config)# access-list 1
permit any
| |
Définition de la règle. |
| |
Le chiffre '1' après la commande access-list identifie la liste de contrôle d'accès. Ce numéro sera utilisé pour l'associer à la liste de distribution. N'oubliez pas la deuxième ligne. Il faut dire explicitement à RIP que toutes les autres adresses ne sont pas bloquées. |
Maintenant, affectons la liste de contrôle d'accès à une liste de distribution. Il faut indiquer sur quelles interfaces ces règles sont à appliquer :
R2(RIP)(config)# router rip R2(RIP)(config-router)# distribute-list 1 out eth1 R2(RIP)(config-router)# distribute-list 1 out eth2
A partir de cet instant, plus aucune information n'est diffusée par R2
concernant 111.0.0.0/8. Sur R1, avec une commande show ip
rip, vous constaterez que le temporisateur de la route tombe à 0.
Elle se voit ensuite attribuer une métrique infinie pendant le délai du
temporisateur garbage collect puis elle
disparaît.
Dans notre exemple, le résultat de cette manipulation est que les réseaux directement connectés au routeur R2, en particulier 192.168.2.0/24 qui contient des ordinateurs, peuvent communiquer avec 111.0.0.0/8. En revanche, l'extérieur n'a pas connaissance du réseau 111.0.0.0/8 qui ne peut pas communiquer avec les réseaux situés derrière les autres routeurs.
Cet article n'a pas la prétention de présenter toutes possibilités offertes par les listes de contrôle d'accès et les listes de distribution qui sont, en fait, très nombreuses. La documentation du logiciel indique l'ensemble des paramètres de ces différentes commandes.
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 