The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Динамическая моршрутизация в сети с trusted и non-trusted роутерами (route)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: route,  (найти похожие документы)
Date: Sat, 16 Feb 2002 18:43:39 +0000 (UTC) From: Alex Zhilyakov <az@mv.ru> Newsgroups: fido7.ru.cisco Subject: Динамическая моршрутизация в сети с trusted и non-trusted роутерами > У меня есть магистральная сетка, которая сделана на catalyst'ах, причем не все > под мои управлением (на части у меня есть только vlan). Catalyst'ы связаны по > оптике 1Gb. К этому ethernet'у прицпляются маршрутизаторы нашей конторы (много > подразделений по всему городу). Где могу, я забираю маршрутизацию на свои 3640 > по vlan trunk, но могу не везде. В результате у части подразделений есть свои > рутеры, воткнутые в магистраль (в основном это fbsd). Проблема в том, что не > всем таким маршрутизаторам я доверяю и, соответственно, я не хочу, чтобы они > могли что-нибудь анонсить. В идеале, я хочу, чтобы анонсировали только мои > маршрутизаторы, но пользоваться анонсами могли все и, чтобы если я добавляю > новый маршрутизатор мне не надо было оповещать всех "появился новый рутер, > добавьте его в свои списки". Самое простое - это разделить trusted/non-trusted роутеры на уровне routing protocol'а. Например, между trusted routers гонять ospf с authentication, а для non-trusted отдавать роутинг каким-нибудь ripv2, запретив на trusted routers прием rip updates. Таким образом, внутри trusted бэкбона вы имеете секьюрный обмен роутинг информацией в ospf, а вне его роутеры слушают то, что им дадут по ripv2. Как запретить в бэкбоне прием ripv2 - оставим на рассмотрение читателя :) Недостатки такой схемы ее недостатки очевидны (нагрузка на cpu, траффик в сети и прочие заморочки), достоинством является то, что это будет работать и это довольно просто реализовать. PS. Можно запустить два ospf процесса, один с auth, другой без, если надо, то сделать redistribution только в одну сторону, во втором ospf написать distribute-list, режущий все lsa на прием... [может] даже работать будет, хотя что-то мне подсказывает, что это уже из разряда извратов :)
From: Alex Zhilyakov <az@mv.ru> >> PS. Можно запустить два ospf процесса, один с auth, другой без, если надо, то >> сделать redistribution только в одну сторону, во втором ospf написать > Как можно запустить два разных OSPF процесса на одних и тех же > интерфейсах? Что при этом получится? Это же не IGRP, где номер > процесса передается в протоколе. Нда, это я не проверивши сказал. Теоретически, чтобы стать adjacent, роутеры should agree on area id, auth password, stub flag, таймерах, етц, то есть поле для деятельности есть. Практически же router ospf 1 network 10.0.0.0 0.255.255.255 area 0 ! router ospf 2 area 1 authentication message-digest network 10.0.0.0 0.0.0.255 area 1 cisco#show ip ospf 1 interface Ethernet0 is up, line protocol is up Internet Address 10.0.0.1/8, Area 0 Process ID 1, Router ID 158.252.42.126, Network Type BROADCAST, Cost: 10 ... cisco#show ip ospf 2 interface cisco# То бишь дуля с маслом.

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Ваш комментарий
Имя:         
E-Mail:      
Заголовок:
Текст:





  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor