форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"IPsec. Как забэкапить?"

Сообщение от Андрей (??) on 30-Апр-08, 16:10

Приветствую. Вопрос такой. Есть центральный офис и есть несколько наших филиалов в других городах. Между центральным офисом и филиалами подняты Site-to-Site IPSec тунели. В центральном офисе стоит рутер cisco 2821. В филиалах стоят cisco 1841. И центральный офис и филиалы выходят в инет через эзернет (фиксированный открытый ip-адрес есть везде). Проблема заключается в следующем. Последнее время, периодически в центральном офисе отваливается внешний канал, ну там у провайдера есть проблемы... Соответственно, нет ни инета, ни тунелей с нашими филиалами в эти моменты времени. У нас есть еще одним рутер cisco 2821. Появилась мысль подключить второй рутер cisco 2821 к другому провайдеру (ну и тоже купить у него открытый ip-адрес) и забэкапить выход в инет в ipsec тунели с нашими филиалами, а заодно и сам рутер. Т.е. если умирает канал с нашим "старым" провйдером, то весь трафик должен идти через "нового" провайдера. В принципе это более менее понятно как сделать (хотя бы через те же метрики у шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с нашими филиалами при условии, что есть два рутера, "смотрящих" в инет и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, при котором при падении одного интернет-канала тунели VPN с филиалами тоже падали и устанавливались через какое-то небольшое время через другой канал. Что можете посоветовать? Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как тогда можно сделать?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPsec. Как забэкапить?"

Сообщение от gintonic (ok) on 30-Апр-08, 17:24

>[оверквотинг удален] >весь трафик должен идти через "нового" провайдера. В принципе это более >менее понятно как сделать (хотя бы через те же метрики у >шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с >нашими филиалами при условии, что есть два рутера, "смотрящих" в инет >и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, >при котором при падении одного интернет-канала тунели VPN с филиалами тоже >падали и устанавливались через какое-то небольшое время через другой канал. Что >можете посоветовать? >Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как >тогда можно сделать? не надо 2й рутер...просто зарегистрировать свою AS и поднять BGP на 2х провайдеров.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPsec. Как забэкапить?"

Сообщение от CrAzOiD (ok) on 30-Апр-08, 18:47

>[оверквотинг удален] >весь трафик должен идти через "нового" провайдера. В принципе это более >менее понятно как сделать (хотя бы через те же метрики у >шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с >нашими филиалами при условии, что есть два рутера, "смотрящих" в инет >и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, >при котором при падении одного интернет-канала тунели VPN с филиалами тоже >падали и устанавливались через какое-то небольшое время через другой канал. Что >можете посоветовать? >Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как >тогда можно сделать? как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPsec. Как забэкапить?"
	Сообщение от Avalone (??) on 30-Апр-08, 22:54
	>как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации Циска предлагает в случае 2х отдельных центральных роутеров DMVPN. Вроде как работает :) Поищите по сайту Циско - там довольно много про него сказанно, + в цисковских рекомендациях по построению филиальной сети на ИПСек рекомендуется именно эта схема из за отсутствия единой точки отказа в "голове"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IPsec. Как забэкапить?"
	Сообщение от Андрей (??) on 01-Май-08, 16:00
	>[оверквотинг удален] >>шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с >>нашими филиалами при условии, что есть два рутера, "смотрящих" в инет >>и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, >>при котором при падении одного интернет-канала тунели VPN с филиалами тоже >>падали и устанавливались через какое-то небольшое время через другой канал. Что >>можете посоветовать? >>Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как >>тогда можно сделать? > >как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации А есть ли вариант без использования gre и роутинга, а разруливания только самим ipsec'ом статически? Т.е., грубо говоря, в случае падения связи с таким то соседом, устанавливаем тунель с другим соседом?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPsec. Как забэкапить?"
	Сообщение от CrAzOiD (ok) on 01-Май-08, 17:52
	>[оверквотинг удален] >>>падали и устанавливались через какое-то небольшое время через другой канал. Что >>>можете посоветовать? >>>Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как >>>тогда можно сделать? >> >>как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации > >А есть ли вариант без использования gre и роутинга, а разруливания только >самим ipsec'ом статически? Т.е., грубо говоря, в случае падения связи с >таким то соседом, устанавливаем тунель с другим соседом? да, чуть выше вам ответили, это DMVPN
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IPsec. Как забэкапить?"
	Сообщение от Алексей (??) on 03-Май-08, 13:05
	>[оверквотинг удален] >>>>Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как >>>>тогда можно сделать? >>> >>>как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации >> >>А есть ли вариант без использования gre и роутинга, а разруливания только >>самим ipsec'ом статически? Т.е., грубо говоря, в случае падения связи с >>таким то соседом, устанавливаем тунель с другим соседом? > >да, чуть выше вам ответили, это DMVPN При всем уважении к Вам, господа, но нафига Вы человеку мозги закампостировали? Зачем DMVPN? Зачем Gre по IPsec'у ??? Достаточно просто обычной связки IPSec'а и DPD. В стндартном IPSec'е в крипто мапе можно указать несколько set peer'ов, но в данном случае, для бэкапа set peer'а для первого в списке set peer'а нужно в конце дописать опцию default. И фсе. Теперь первый set peer будет дефолтовым, а к остальным set peer'ам будет устанавливаться тунель в случае отказа первого set peer'а, это будет делаться просто через DPD.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IPsec. Как забэкапить?"
	Сообщение от Avalone (??) on 03-Май-08, 21:41
	>[оверквотинг удален] >>да, чуть выше вам ответили, это DMVPN > >При всем уважении к Вам, господа, но нафига Вы человеку мозги закампостировали? >Зачем DMVPN? Зачем Gre по IPsec'у ??? Достаточно просто обычной связки >IPSec'а и DPD. В стндартном IPSec'е в крипто мапе можно указать >несколько set peer'ов, но в данном случае, для бэкапа set peer'а >для первого в списке set peer'а нужно в конце дописать опцию >default. И фсе. Теперь первый set peer будет дефолтовым, а к >остальным set peer'ам будет устанавливаться тунель в случае отказа первого set >peer'а, это будет делаться просто через DPD. Угу... это называется IPSec Direct Encapsulation для "филиалов", т.к. дальше надо настраивать головные роутеры (2 шт в нашем треде) для работы в связке :) А это уже IPsec VPN WAN Design Overview http://www.cisco.com/application/pdf/en/us/guest/netsol/ns17... там же плюсы и минусы разных вариантов. И далее доки по 28хх серии IPSec часть. И вообще -  http://www.cisco.com/go/srnd Solutions Reference Network Design (SRND) guides provide deployment scenarios that incorporate Cisco products and technologies into an architecture that is tested and documented in Cisco labs or field-proven.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IPsec. Как забэкапить?"
	Сообщение от Алексей (??) on 04-Май-08, 10:36
	>[оверквотинг удален] > >там же плюсы и минусы разных вариантов. > >И далее доки по 28хх серии IPSec часть. > >И вообще -  http://www.cisco.com/go/srnd > >Solutions Reference Network Design (SRND) guides provide deployment scenarios that incorporate Cisco >products and technologies into an architecture that is tested and documented >in Cisco labs or field-proven. Зачем Вам такие сложности? Связку головных рутеров можно просто поднять через тот же HSRP для внутренних пользователей, соответственно какой-то из рутеров будет активным изначально в этой связке. На него из филиалов на внешний интерфейс делать set peer <адрес> default, а соответственно на второй головной рутер (который в связке в hsrp будет бэкапным) делать обычный set peer. Соответственно филильный рутер будет обнаруживать"смерть соседа" по DPD (dead peer detection) через кипаливы (которые в свою очередь опять же могут быть как по требованию, так и периодические). Ну и после обнаружения "смерти" филиальный рутер будет уже соединяться с бэкапным рутером, который уже к тому времени через hsrp уже станет активным для локальной сети и весь трафик пойдет через него. Чем Вам не нравиться такой вариант?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IPsec. Как забэкапить?"

Сообщение от stitch636 on 06-Май-08, 11:48

Можно ещё два маршрута через туннели в tunnel mode ipsec с разными метриками. Проще управлять трафиком: разные transform-set'ы, разные ip mtu на туннелях и т.д. С динамической маршрутизацией или без - это в зависимости от требований к времени переключения, сложности конфигурации и т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IPsec. Как забэкапить?"

Сообщение от igor69 on 06-Май-08, 17:35

>[оверквотинг удален] >весь трафик должен идти через "нового" провайдера. В принципе это более >менее понятно как сделать (хотя бы через те же метрики у >шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с >нашими филиалами при условии, что есть два рутера, "смотрящих" в инет >и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, >при котором при падении одного интернет-канала тунели VPN с филиалами тоже >падали и устанавливались через какое-то небольшое время через другой канал. Что >можете посоветовать? >Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как >тогда можно сделать? Не надо второго роутера.На одном роутере прописываете два WAN адреса (используете инкапсуляцию dot1Q)- от двух разных провайдеров. затем в конфиге включаете такую запись track 1 rtr 1 reachability Затем прописываете роуты на сетку один роут через одного провайдера, второй через другого, примерно так : ip route 192.168.222.0 255.255.255.0 10.10.10.1 trac 1 (основной) ip route 192.168.222.0 255.255.255.0 10.10.20.1 254     (резервный) Теперь задаёте тайм аут опроса линка , так: ip sla 1 icmp-echo 10.10.10.1 source-interface Fa 0/1.1 timeout 2000 frequency 3 ip sla schedule 1 life forever start-time now Таким образом, когда линк первого провайдера отвалится по тайм-ауту, маршруты пойдут по второму роуту. На другой стороне соответственно, прописываете два пира, две политики ipsec isakamp, но работать будет только тот, который активен в текущий момент :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]