@ELysenko

EIGRP OSPF Можно ли положить сеть?

На предприятии 1 используется EIGRP, на предприятии 2- OSPF. Возник вопрос объединения сети. До определенного момента была настроена взаимная статическая маршрутизация. Добавили второй физический канал связи между предприятиями и соответственно решили настроить динамическое распределение маршрутов. В настройке проблем нет. Вопрос в следующем. Для распределения выбран пограничным роутер на предприятии 2. На нем должен быть сконфигурирован процесс eigrp - расширен домен eigrp предприятия 1. Админы предприятия 1 не имеют доступа к роутеру предприятия 2. Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1? С обеих сторон вроде люди адекватные работают, но чем черт не шутит, тем более предприятие 1 достаточно стратегическое по сути. Не встречали ли подобные случаи. В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp. Используют ли в таких случаях промежуточный процесс eigrp, который бы соединял два предприятия. В таком случае - osfp домен и eigrp домен работали на оборудовании в пределах своих предприятий.
Благодарю.
  • Вопрос задан
  • 710 просмотров
Решения вопроса 1
@JDima
Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1

Запросто.
В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp

Не... Худшее - это когда у предприятия 1 есть жутко важная сеть 10.0.0.0/24, а предприятие 2 присылает анонс на 10.0.0.0/25, и сразу получит трафик до половины жутко важной сети. Если есть пересечение адресных пространств, нечто подобное несложно организовать по ошибке.

Решение: на самом дальнем из доступных предприятию 1 железок с EIGRP вбить в prefix-list'ы полный список сетей с масками, которые может прислать принадлежащий предприятию 2 EIGRP сосед. Этот prefix-list привязать к distribute-list'у в процессе EIGRP.

Но это все равно не от всего защитит. Мощный флуд query может вызвать проблемы. Так почему бы не поднять между двумя предприятиями BGP, и чтобы каждое из них полностью контролировало свой IGP, и при этом был обмен через посторонний протокол? Конечно, при этом тоже нужно будет фильтровать префиксы во всех точках пересечения.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@throughtheether
human after all
Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1?
Да, можно.

Не встречали ли подобные случаи.
Встречали, флуд/спуфинг LSA (в случае с OSPF) начинающим "безопасником", который не в той консоли начал экспериментировать. Ну или банальная (и не такая страшная) петля маршрутизации на границе между владениями.

В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp.
Или роутер сойдет с ума (баг в прошивке) и начнет рассылать некорректные сообщения протокола маршрутизации, отсюда повышенная утилизация ресурсов и прочие негативные последствия.

Концептуально, в случае разделения сети на домены контроля и управления BGP - лучший вариант. Или, если у вас всего два линка между доменами контроля, можете попробовать управляемую статическую маршрутизацию (track в cisco, аналоги в juniper) и при дальнейшей модернизации сети решительно переходить на BGP (в т.ч. моедрнизировать устройства и т.д.)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы