EIGRP OSPF Можно ли положить сеть?

Question

[ELysenko]

На предприятии 1 используется EIGRP, на предприятии 2- OSPF. Возник вопрос объединения сети. До определенного момента была настроена взаимная статическая маршрутизация. Добавили второй физический канал связи между предприятиями и соответственно решили настроить динамическое распределение маршрутов. В настройке проблем нет. Вопрос в следующем. Для распределения выбран пограничным роутер на предприятии 2. На нем должен быть сконфигурирован процесс eigrp - расширен домен eigrp предприятия 1. Админы предприятия 1 не имеют доступа к роутеру предприятия 2. Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1? С обеих сторон вроде люди адекватные работают, но чем черт не шутит, тем более предприятие 1 достаточно стратегическое по сути. Не встречали ли подобные случаи. В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp. Используют ли в таких случаях промежуточный процесс eigrp, который бы соединял два предприятия. В таком случае - osfp домен и eigrp домен работали на оборудовании в пределах своих предприятий.
Благодарю.

Answer 1

[JDima]

Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1

Запросто.

В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp

Не... Худшее - это когда у предприятия 1 есть жутко важная сеть 10.0.0.0/24, а предприятие 2 присылает анонс на 10.0.0.0/25, и сразу получит трафик до половины жутко важной сети. Если есть пересечение адресных пространств, нечто подобное несложно организовать по ошибке.

Решение: на самом дальнем из доступных предприятию 1 железок с EIGRP вбить в prefix-list'ы полный список сетей с масками, которые может прислать принадлежащий предприятию 2 EIGRP сосед. Этот prefix-list привязать к distribute-list'у в процессе EIGRP.

Но это все равно не от всего защитит. Мощный флуд query может вызвать проблемы. Так почему бы не поднять между двумя предприятиями BGP, и чтобы каждое из них полностью контролировало свой IGP, и при этом был обмен через посторонний протокол? Конечно, при этом тоже нужно будет фильтровать префиксы во всех точках пересечения.

Comments

[Ринат Гарипов]

JDima а такой вариант: между 1 и 2 соседство по eigrp а далее в сети 2 - редистрибуция eigrp в ospf имеет право на жизнь?

[JDima]

Ринат Гарипов: тогда под контролем людей в "2" будет одно устройство в EIGRP домене.

Так что мешает поднять между двумя сетями BGP с аккуратной фильтрацией по списку префиксов?

Если очень хочется обойтись без BGP, то можно поднять еще один процесс, между двумя устройствами, с двумя редистрибуциями.

[Ринат Гарипов]

JDima для меня не очевидно, чем лучше 2 редистрибуции, можете пояснить?

[JDima]

Ринат Гарипов: лучше тем, что очень сложно защитить домен IGP от плохого поведения одного из включенных в него устройств (хуже всего OSPF, но и EIGRP тоже не сахар). А вот BGP традиционно используется для подключения "вражеских" устройств, там немерено разных рычагов и переключателей для защиты от чего угодно, если правильно настроить - будет вполне безопасно.

А что так смущает в двух редистрибуциях?

[Ринат Гарипов]

JDima да собственно ничего не смущает, просто хотел понять преимущества одного решения перед другим.

Answer 2

[throughtheether]

Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1?

Да, можно.

Не встречали ли подобные случаи.

Встречали, флуд/спуфинг LSA (в случае с OSPF) начинающим "безопасником", который не в той консоли начал экспериментировать. Ну или банальная (и не такая страшная) петля маршрутизации на границе между владениями.

В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp.

Или роутер сойдет с ума (баг в прошивке) и начнет рассылать некорректные сообщения протокола маршрутизации, отсюда повышенная утилизация ресурсов и прочие негативные последствия.

Концептуально, в случае разделения сети на домены контроля и управления BGP - лучший вариант. Или, если у вас всего два линка между доменами контроля, можете попробовать управляемую статическую маршрутизацию (track в cisco, аналоги в juniper) и при дальнейшей модернизации сети решительно переходить на BGP (в т.ч. моедрнизировать устройства и т.д.)