Cartes de routage

Ce chapitre décrit comment configurer et personnaliser les cartes de routage pour l’ASA.

À propos des cartes de routage

Les cartes de routage sont utilisées lors de la redistribution des routes dans un processus de routage OSPF, RIP, EIGRP ou BGP. Elles sont également utilisées lors de la génération d’une route par défaut dans un processus de routage. Une carte de routage définit les routes du protocole de routage spécifié qui peuvent être redistribuées dans le processus de routage cible.

Les cartes de routage ont de nombreuses caractéristiques en commun avec les listes de contrôle d’accès bien connues. Voici quelques-unes des caractéristiques communes aux deux :

  • Il s’agit d’une séquence ordonnée d’instructions individuelles, et chacune a un résultat d’autorisation ou de refus. L’évaluation d’une liste de contrôle d’accès ou d’une carte de routage comprend une analyse de liste, dans un ordre prédéterminé, et une évaluation des critères de chaque énoncé qui correspond. Une analyse de liste est abandonnée une fois que la première correspondance d’instruction est trouvée et qu’une action associée à la correspondance d’instruction est effectuée.

  • Ce sont des mécanismes génériques. Les correspondances de critères et l’interprétation des correspondances sont dictées par la façon dont elles sont appliquées et par la fonctionnalité qui les utilise. Une carte de routage appliquée à différentes entités peut être interprétée différemment.

Voici quelques-unes des différences entre les cartes de routage et les listes de contrôle d’accès :

  • Les cartes de routage sont plus flexibles que les listes de contrôle d’accès et peuvent vérifier les routages en fonction de critères que les listes de contrôle d’accès ne peuvent pas vérifier. Par exemple, une carte de routage peut vérifier si le type de routage est interne.

  • Chaque liste de contrôle d’accès se termine par une instruction de refus implicite, par convention de conception. Si la fin d’une carte de routage est atteinte pendant les tentatives de mise en correspondance, le résultat dépend de l’application spécifique de la carte de routage. Les cartes de routage appliquées à la redistribution se comportent de la même manière que les listes de contrôle d’accès : si la route ne correspond à aucune clause d’une carte de routage, la redistribution de la route est refusée, comme si la carte de routage contient une déclaration de refus à la fin.

Clauses d’autorisation et de refus

Les cartes de routage peuvent avoir des clauses d’autorisation et de refus. La clause deny rejette les correspondances de routage de la redistribution. Vous pouvez utiliser une liste de contrôle d’accès comme critère de correspondance dans la carte de routage. Étant donné que les listes de contrôle d’accès ont également des clauses d’autorisation et de refus, les règles suivantes s’appliquent lorsqu’un paquet correspond à la liste de contrôle d’accès :

  • ACL permit + route map permit : les routes sont redistribuées.

  • ACL permit + route map deny : les routes ne sont pas redistribuées.

  • ACL deny + route map permit or deny : la clause route-map n’est pas mise en correspondance et la prochaine clause route-map est évaluée.

Valeurs de clause de correspondance et de définition

Chaque clause de carte de routage a deux types de valeurs :

  • Une valeur de correspondance sélectionne les routages auxquels cette clause doit être appliquée.

  • Une valeur définie modifie les renseignements qui seront redistribués dans le protocole cible.

Pour chaque voie de routage qui est redistribuée, le routeur évalue d’abord les critères de correspondance d’une clause de la carte de routage. Si les critères de correspondance sont réussis, la route est redistribuée ou rejetée comme l’exige la clause allow ou deny , et certains de ses attributs peuvent être modifiés par les valeurs définies à partir des commandes set . Si les critères de correspondance échouent, cette clause ne s’applique pas à la voie de routage et le logiciel procède à l’évaluation de la voie de routage en fonction de la clause suivante de la carte de routage. L’analyse de la carte de routage se poursuit jusqu’à ce qu’une clause correspondant à la route soit trouvée ou jusqu’à ce que la fin de la carte de routage soit atteinte.

Une correspondance ou une valeur définie dans chaque clause peut être manquée ou répétée plusieurs fois, si l’une de ces conditions est remplie :

  • Si plusieurs entrées de correspondance sont présentes dans une clause, elles doivent toutes réussir pour une route donnée afin que cette route corresponde à la clause (c’est-à-dire que l’algorithme AND logique est appliqué pour plusieurs commandes de correspondance).

  • Si une entrée de correspondance fait référence à plusieurs objets dans une seule entrée, l’un ou l’autre doit correspondre (l’algorithme OU logique est appliqué).

  • En l’absence d’entrée de correspondance, toutes les routes correspondent à la clause.

  • Si une entrée d’ensemble n’est pas présente dans une clause d’autorisation de carte de routage, la route est redistribuée sans modification de ses attributs actuels.


Remarque

Ne configurez pas d’entrée d’ensemble dans une clause de refus de carte de routage, car la clause de refus interdit la redistribution de routage : il n’y a aucun renseignement à modifier.

Une clause de carte de routage sans entrée de correspondance ou d’ensemble effectue une action. Une clause d’autorisation vide permet une redistribution des routes restantes sans modification. Une clause de refus vide ne permet pas une redistribution d’autres routes (il s’agit de l’action par défaut si une carte de routage est complètement analysée, mais qu’aucune correspondance explicite n’est trouvée).

Lignes directrices relatives aux cartes de routage

Mode pare-feu

Pris en charge uniquement en mode pare-feu routé. Le mode pare-feu transparent n'est pas pris en charge.

Directives supplémentaires

Les cartes de routage ne prennent pas en charge les ACL qui incluent un utilisateur, un groupe d’utilisateurs ou des objets de nom de domaine complet.

Définir une carte de routage

Vous devez définir une carte de routage lorsque vous précisez les routes du protocole de routage spécifié qui peuvent être redistribuées dans le processus de routage cible.

Procédure

Créez l’entrée de carte de routage :

route-map nom {permis | refuser} [numéro_séquence]

Exemple:


ciscoasa(config)# route-map name {permit} [12]

Les entrées de carte de routage sont lues dans l’ordre. Vous pouvez identifier l’ordre à l’aide de l’argument sequence_number ou l’ASA utilise l’ordre dans lequel vous ajoutez les entrées de la carte de routage.

Personnaliser une carte de routage

Cette section décrit comment personnaliser la carte de routage.

Définir une route pour correspondre à une adresse de destination spécifique

Procédure

Étape 1

Créez l’entrée de carte de routage :

route-map nom {permis | refuser} [numéro_séquence]

Exemple:


ciscoasa(config)# route-map name {permit} [12]

Les entrées de carte de routage sont lues dans l’ordre. Vous pouvez identifier l’ordre à l’aide de l’argument sequence_number, ou l’ASA utilise l’ordre dans lequel vous ajoutez les entrées de la carte de routage.

Étape 2

Faites correspondre toutes les routes dont le réseau de destination correspond à une ACL ou une liste de préfixes standard :

match ip address {acl_id [acl_id] [...] | prefix-list prefix_list_id [prefix_list_id] [...]}

Exemple:


ciscoasa(config-route-map)# match ip address acl1 acl2 acl3

Si vous spécifiez plusieurs ACL ou listes de préfixes, la route peut correspondre à n’importe quelle ACL ou liste de préfixes.

Étape 3

Faites correspondre toutes les routes qui ont une mesure spécifiée :

match metric metric_value

Exemple:


ciscoasa(config-route-map)# match metric 200

Les valeurs metric_value peuvent être comprises entre 0 et 4294967295.

Étape 4

Faites correspondre toutes les routes qui ont une adresse de routeur de saut suivant correspondant à une ACL standard :

match ip next-hop acl_id [acl_id] [...]

Exemple:


ciscoasa(config-route-map)# match ip next-hop acl2

Si vous spécifiez plusieurs ACL, la route peut correspondre à n’importe quelle ACL.

Étape 5

Faites correspondre toutes les routes avec l’interface de saut suivant spécifiée :

match interface if_name

Exemple:


ciscoasa(config-route-map)# match interface if_name

Si vous spécifiez plusieurs interfaces, la route peut correspondre à l’une ou l’autre des interfaces.

Étape 6

Faites correspondre toutes les routes qui ont été annoncées par les routeurs correspondant à une ACL standard :

match ip route-source acl_id [acl_id] [...]

Exemple:


ciscoasa(config-route-map)# match ip route-source acl_id [acl_id] [...]

Si vous spécifiez plusieurs ACL, la route peut correspondre à n’importe quelle ACL.

Étape 7

Faites correspondre le type de route :

match route-type {internal | external [type-1 | type-2]}

Configurer les valeurs de mesure pour une action de routage

Si une route correspond aux commandes match, les commandes set suivantes déterminent l’action à effectuer sur la route avant de la redistribuer.

Pour configurer la valeur de mesure d’une action de routage, procédez comme suit :

Procédure

Étape 1

Créez l’entrée de carte de routage :

route-map nom {permis | refuser} [numéro_séquence]

Exemple:


ciscoasa(config)# route-map name {permit} [12]

Les entrées de carte de routage sont lues dans l’ordre. Vous pouvez identifier l’ordre à l’aide de l’argument sequence_number ou l’ASA utilise l’ordre dans lequel vous ajoutez les entrées de la carte de routage.

Étape 2

Définissez la valeur de la mesure de la carte de routage :

set metric metric_value

Exemple:


ciscoasa(config-route-map)# set metric 200

L’argument metric_value peut aller de 0 à 294967295.

Étape 3

Définissez le type de mesure pour la carte de routage :

set metric-type {type-1type-2}

Exemple:


ciscoasa(config-route-map)# set metric-type type-2

L’argument metric-type peut être type-1 ou type-2.

Exemple de cartes de routage

L’exemple suivant montre comment redistribuer les routes avec un nombre de sauts égal à 1 dans OSPF.

L’ASA redistribue ces routes en tant que LSA externes avec une mesure de 5 et un type de mesure de type 1. 


ciscoasa(config)# route-map 1-to-2 permit
ciscoasa(config-route-map)# match metric 1
ciscoasa(config-route-map)# set metric 5
ciscoasa(config-route-map)# set metric-type type-1

L’exemple suivant montre comment redistribuer la route statique 10.1.1.0 dans le processus EIGRP 1 avec la valeur de la mesure configurée : 


ciscoasa(config)# route outside 10.1.1.0 255.255.255.0 192.168.1.1
ciscoasa(config-route-map)# access-list mymap2 line 1 permit 10.1.1.0 255.255.255.0
ciscoasa(config-route-map)# route-map mymap2 permit 10
ciscoasa(config-route-map)# match ip address mymap2
ciscoasa(config-route-map)# router eigrp 1
ciscoasa(config-router)# redistribute static metric 250 250 1 1 1 route-map mymap2

Historique des cartes de routage

Tableau 1. Historique des fonctionnalités pour les cartes de routage

Nom de la caractéristique

Versions de plateforme

Renseignements sur les fonctionnalités

Cartes de routage

7.0(1)

Nous avons introduit cette fonctionnalité.

Nous avons introduit la commande suivante : route-map.

Prise en charge améliorée pour les cartes de routage statiques et dynamiques

8.0(2)

Une prise en charge améliorée des cartes de routage dynamiques et statiques a été ajoutée.

Prise en charge du basculement dynamique des protocoles de routage dynamique (EIGRP, OSPF et RIP) et du débogage des opérations générales liées au routage

v 8.4(1)

Nous avons introduit les commandes suivantes : debug route, show debug route.

Nous avons modifié la commande suivante : show route.

Routage dynamique en mode de contexte multiple

9.0(1)

Les cartes de routage sont prises en charge en mode de contexte multiple.

Prise en charge BGP

9.2(1)

Nous avons introduit cette fonctionnalité.

Nous avons introduit les commandes suivantes : router bgp

Prise en charge d’IPv6 pour la règle de préfixe

9.3.2

Nous avons introduit cette fonctionnalité.