Как стать автором
Обновить

Построение полносвязной сети с применением ГОСТового шифрования, или как скрестить Cisco и Континент

Уровень сложностиСредний
Время на прочтение22 мин
Количество просмотров6.6K
Всего голосов 4: ↑4 и ↓0+4
Комментарии19

Комментарии 19

И установит какой-нибудь нерадивый админ (или по злому умыслу) неправильный приоритет в одной из точек, схема развалится и долго будут искать причину :)

Я, честно говоря, не понял. Неправильный приоритет чего? Можно как-то пояснить?

Для выбора выбора DR и BDR

И почему же? Ну, пройдут выборы, выберут другой DR.

Какой-то один маршрутизатор будет получать всю маршрутную информацию и его ресурсы могут быть перегружены. При этом неправильно настроить LSAPDU, то маршрутизаторы могут потерять возможность обмениваться данными

Да, Вы правы. Если на споке выставить приоритет побольше, то DR переползёт туда.

Но, точно так же настраивается классический DMVPN, он тоже подвержен этой проблеме. Поэтому моя схема в этом плане не хуже.

И всё таки проблема мне кажется надуманной. У злобного администратора масса возможностей уронить сеть. В этом плане хуже сетевика только электрик.
В конце концов можно ввести команды
format flash:
erase nvram:
reload at

Нужно вести стороннее логирование входов и ввода любых команд.

Если есть необходимость просто уронить сеть, то можно и нулевой провод перерубить :) Тут вопрос в том, чтобы сделать все так умышленно, чтобы другие очень долго разбирались что не так, т.к. вроде бы всё нормально настроено и работает.

Ну, как я уже писал, тут только логирование поможет.

Кстати, спасибо. Ваш ранний коммент натолкнул меня на мысль.

Поскольку трафик в опорной сети не шифруется, а только завернут в GRE, то возможна атака на протокол маршрутизации извне.

Прямо, хоть бери и ещё раз шифруй. :)

Не дай бог придти туда работать или уволится тот кто знает как это работает.

Что актуально для любой большой и сложной сети.

192.168.0.0/16... дальше читать бессмысленно....

DMVPN - помню, это был тренд в 2000-х годах. Относительно недавно на Хабре даже писали про использование X.25 среди энтузиастов.

Действительно. Зачем, только, C-Terra презентовала в 2017 году нативную поддержку DMVPN в своих криптошлюзах? Наверное, за невостребованностью.

А где автор на Континенте 3.9 нашел поддержку VRF`ов ?

Если верить телеграмм-каналу "кода безопасности" vrf они хотят как новинку ввести только с 4.1.9.

Вообще другая ветка.

А где читатель нашел в статье использование VRF на криптошлюзах? В данной топологии VRF используются только на маршрутизаторах.

У вас на главной картинке - каждый криптошлюз (КШ) пересечен овалов определяющим VRF(internal/external), более того , отдельный овал захватывает отдельный интерфейс - будто определенный сетевой интерфейс относится к своему VRF.

Не путайте людей. И не вводите в заблуждение, так как фичи vrf не было и нет на 3.9 ветке.

Спасибо за замечание. Учту.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации