Ключевые слова:route, (найти похожие документы)
Date: Sat, 16 Feb 2002 18:43:39 +0000 (UTC)
From: Alex Zhilyakov <az@mv.ru>
Newsgroups: fido7.ru.cisco
Subject: Динамическая моршрутизация в сети с trusted и non-trusted роутерами
> У меня есть магистральная сетка, которая сделана на catalyst'ах, причем не все
> под мои управлением (на части у меня есть только vlan). Catalyst'ы связаны по
> оптике 1Gb. К этому ethernet'у прицпляются маршрутизаторы нашей конторы (много
> подразделений по всему городу). Где могу, я забираю маршрутизацию на свои 3640
> по vlan trunk, но могу не везде. В результате у части подразделений есть свои
> рутеры, воткнутые в магистраль (в основном это fbsd). Проблема в том, что не
> всем таким маршрутизаторам я доверяю и, соответственно, я не хочу, чтобы они
> могли что-нибудь анонсить. В идеале, я хочу, чтобы анонсировали только мои
> маршрутизаторы, но пользоваться анонсами могли все и, чтобы если я добавляю
> новый маршрутизатор мне не надо было оповещать всех "появился новый рутер,
> добавьте его в свои списки".
Самое простое - это разделить trusted/non-trusted роутеры на уровне routing
protocol'а. Например, между trusted routers гонять ospf с authentication,
а для non-trusted отдавать роутинг каким-нибудь ripv2, запретив на trusted
routers прием rip updates.
Таким образом, внутри trusted бэкбона вы имеете секьюрный обмен роутинг
информацией в ospf, а вне его роутеры слушают то, что им дадут по ripv2.
Как запретить в бэкбоне прием ripv2 - оставим на рассмотрение читателя :)
Недостатки такой схемы ее недостатки очевидны (нагрузка на cpu, траффик в
сети и прочие заморочки), достоинством является то, что это будет работать
и это довольно просто реализовать.
PS. Можно запустить два ospf процесса, один с auth, другой без, если надо, то
сделать redistribution только в одну сторону, во втором ospf написать
distribute-list, режущий все lsa на прием... [может] даже работать будет, хотя
что-то мне подсказывает, что это уже из разряда извратов :)
From: Alex Zhilyakov <az@mv.ru>
>> PS. Можно запустить два ospf процесса, один с auth, другой без, если надо, то
>> сделать redistribution только в одну сторону, во втором ospf написать
> Как можно запустить два разных OSPF процесса на одних и тех же
> интерфейсах? Что при этом получится? Это же не IGRP, где номер
> процесса передается в протоколе.
Нда, это я не проверивши сказал. Теоретически, чтобы стать adjacent, роутеры
should agree on area id, auth password, stub flag, таймерах, етц, то есть
поле для деятельности есть.
Практически же
router ospf 1
network 10.0.0.0 0.255.255.255 area 0
!
router ospf 2
area 1 authentication message-digest
network 10.0.0.0 0.0.0.255 area 1
cisco#show ip ospf 1 interface
Ethernet0 is up, line protocol is up
Internet Address 10.0.0.1/8, Area 0
Process ID 1, Router ID 158.252.42.126, Network Type BROADCAST, Cost: 10
...
cisco#show ip ospf 2 interface
cisco#
То бишь дуля с маслом.