Please help. Как настроить два туннеля между Cisco 871 и Cisco 871, это необходимо для резервирования канала связи.

• tunnel на Cisco 871,Minotaur, 13:52 , 28-Авг-07
  • tunnel на Cisco 871,Stranger007, 08:45 , 29-Авг-07
    • tunnel на Cisco 871,Minotaur, 12:53 , 29-Авг-07
      • tunnel на Cisco 871,Stranger007, 11:22 , 04-Сен-07
      • tunnel на Cisco 871,Stranger007, 16:13 , 04-Сен-07
  • tunnel на Cisco 871,ruslanweb, 23:25 , 30-Сен-07
    • tunnel на Cisco 871,Stranger007, 07:36 , 01-Окт-07
      • tunnel на Cisco 871,ruslanweb, 08:04 , 01-Окт-07
      • tunnel на Cisco 871,ruslanweb, 08:14 , 01-Окт-07
        • tunnel на Cisco 871,Stranger007, 08:19 , 01-Окт-07
          • tunnel на Cisco 871,Stranger007, 08:20 , 01-Окт-07
      • tunnel на Cisco 871,bigdragon, 17:58 , 18-Окт-10
        • tunnel на Cisco 871,bigdragon, 11:52 , 19-Окт-10
          • tunnel на Cisco 871 HELP GURU!!!,vaxer, 20:47 , 23-Окт-10
            • tunnel на Cisco 871 HELP GURU!!!,bigdragon, 09:03 , 25-Окт-10

>Please help. Как настроить два туннеля между Cisco 871 и Cisco 871,
>это необходимо для резервирования канала связи.

Туннели IP-IP? С шифрованием или без?

Вот пример без шифрования:

interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source <Cisco IP Address>
tunnel destination <Remote Cisco IP Address>
tunnel mode ipip

на второй циске:
interface Tunnel0
ip address 192.168.1.2 255.255.255.252
tunnel source <Cisco IP Address>
tunnel destination <Remote Cisco IP Address>
tunnel mode ipip

как мне поступить с резервированием канала связи в такой ситуации:
один канал идет через Wi-max, второй через dial-up. Необходимо что бы при падении Dial-up соединения Cisco 871 сам переключался на резервное Wi-max соединение. И все это через туннель с шифрованием. Динамическая маршрутизация eigrp.
Как я понял мне надо настроить два туннельных канала связи, дать им ручками bandwidth и delay и настроить маршрутизацию  eigrp. Какими же будут
tunnel source <Cisco IP Address>
tunnel destination <Remote Cisco IP Address>
для второго туннеля??? Please help!!!:'(((

>как мне поступить с резервированием канала связи в такой ситуации:
>один канал идет через Wi-max, второй через dial-up. Необходимо что бы при
>падении Dial-up соединения Cisco 871 сам переключался на резервное Wi-max соединение.
>И все это через туннель с шифрованием. Динамическая маршрутизация eigrp.
>Как я понял мне надо настроить два туннельных канала связи, дать им
>ручками bandwidth и delay и настроить маршрутизацию  eigrp. Какими же
>будут
>tunnel source <Cisco IP Address>
>tunnel destination <Remote Cisco IP Address>
>для второго туннеля??? Please help!!!:'(((

Поднимите на каждом маршрутизаторе Loopback-интерфейс.
Задайте на Loopback-ах адреса с маской /32.
Поднимите один тоннель с source и destination Loopback-интерфейсов.
Адреса loopback-интерфейсов смаршрутизируйте статиками либо с помощью eigrp. Я бы сделал статиками, т.к. балансировка Вам вроде бы не нужна.
Для переключения с/на резервное соединение используйте ip sla.

>>tunnel source <Cisco IP Address>
>>tunnel destination <Remote Cisco IP Address>

пока два туннеля пустил по двум разным vlan'ам

настроил туннель, повесил его на vlan 2, циска работает на vlan 1, роутеры между собой пингуются без проблем, а  скомпа удаленный роутер не пингуется. Я так понял что это из-за того что интурфейсы компа и внешнего туннеля в разных  vlan'ах. Посоветуйте что сделать.

>[оверквотинг удален]
> tunnel source <Cisco IP Address>
> tunnel destination <Remote Cisco IP Address>
> tunnel mode ipip
>
>на второй циске:
>interface Tunnel0
> ip address 192.168.1.2 255.255.255.252
> tunnel source <Cisco IP Address>
> tunnel destination <Remote Cisco IP Address>
> tunnel mode ipip

А можно пример с шифрованием? :-)
Только ситуация слегка другая. Нужно две сети связать 192.168.1.0 и 192.168.2.0 сейчас связь через шлюз провайдера, в сети 192.168.1.0 шлюз 192.168.1.1, а в сети 192.168.2.0 шлюз 192.168.2.1.
Я так понимаю, что для связи нужно только default route добавить на первой циске 192.168.1.1, а на второй 192.168.2.1 или что то ещё нужно?

допустим адреса шлюзов 192.168.1.1 и 192.168.2.1, надо адреса самих интерфейсов на циске, допустим они будут 192.168.1.2 и 192.168.2.2, тогда конфа с шифрованием будет примерно следующая...

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 192.168.1.2
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
  mode transport
!
crypto map TUNNEL0 1 ipsec-isakmp
set peer 192.168.1.2
set transform-set VPN
match address IPSEC-TUN
!
interface Tunnel0
ip address 192.168.57.2 255.255.255.0
tunnel source 192.168.2.2
tunnel destination 192.168.1.2
crypto map TUNNEL0
!
interface FastEthernet4
ip address 192.168.1.2 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
!
ip access-list extended IPSEC-TUN
remark IPSEC ACL
permit ip any any

Конфигурация 2-го маршрутизатора зеркальная...
сеть 192.168.57.0 от провайдера не зависит, это сеть туннеля..

>[оверквотинг удален]
>!
>ip route 0.0.0.0 0.0.0.0 Tunnel0
>!
>ip access-list extended IPSEC-TUN
> remark IPSEC ACL
> permit ip any any
>
>
>Конфигурация 2-го маршрутизатора зеркальная...
>сеть 192.168.57.0 от провайдера не зависит, это сеть туннеля..

Спасибо буду пробовать сегодня

>[оверквотинг удален]
>!
>ip route 0.0.0.0 0.0.0.0 Tunnel0
>!
>ip access-list extended IPSEC-TUN
> remark IPSEC ACL
> permit ip any any
>
>
>Конфигурация 2-го маршрутизатора зеркальная...
>сеть 192.168.57.0 от провайдера не зависит, это сеть туннеля..

А адреса шлюзов провайдера нигде прописывать не надо?

нет, маршрутизатор весь трафик просто будет направлять в туннель, я там  в конфе ошибочку допустил...

!
interface FastEthernet4
ip address 192.168.!!!2!!!.2 255.255.255.0
!
там единичка была до этого...

>[оверквотинг удален]
>  crypto map TUNNEL0
> !
> interface FastEthernet4
>  ip address 192.168.1.2 255.255.255.0
> !
> ip route 0.0.0.0 0.0.0.0 Tunnel0
> !
> ip access-list extended IPSEC-TUN
>  remark IPSEC ACL
>  permit ip any any

не получается соединится!
show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: TUNNEL0, local addr хх.хх.213.71

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer хх.хх.9.227 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 882881, #recv errors 0

     local crypto endpt.: хх.хх.213.71, remote crypto endpt.: хх.хх.9.227
     path mtu 1476, ip mtu 1476, ip mtu idb Tunnel0
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

show crypto engine connections active
Crypto Engine Connections

   ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address

router1#show crypto isakmp sa detail
Codes: C - IKE configuration mode, D - Dead Peer Detection
       K - Keepalives, N - NAT-traversal
       X - IKE Extended Authentication
       psk - Preshared key, rsig - RSA signature
       renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id  Local           Remote          I-VRF    Status Encr Hash Auth DH Lifetime                                                                                                                      Cap.

0     хх.хх.213.71    хх.хх.9.227              ACTIVE                0  0                                                                                                                            
       Engine-id:Conn-id =  ???

0     хх.хх.213.71    хх.хх.9.227              ACTIVE                0  0                                                                                                                            
       Engine-id:Conn-id =  ???
(deleted)

не может поднять канал - видимо не хватает Engine-id:Conn-id =  ???
что не так??

можете помочь?
сделано по описанию, но не получается соединиться

такая-же беда!
есть какое нибудь решение?
на циске настроено вот так:

no ip dhcp use vrf connected
!
ip dhcp pool dhcp-pool
   network 192.168.18.0 255.255.255.0
   dns-server 192.168.18.50
   default-router 192.168.18.50
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key supperkey address 22.22.22.22
!
!
crypto ipsec transform-set OFFICE18 esp-3des esp-md5-hmac
!
crypto map TUNNEL0 1 ipsec-isakmp
set peer 22.22.22.22
set transform-set OFFICE18
match address IPSEC-TUN0
!
interface Tunnel0
bandwidth 10000
ip address 192.168.17.40 255.255.255.0
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination 22.22.22.22
crypto map TUNNEL0
!
interface FastEthernet4
description Internet
ip address dhcp
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.18.250 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Tunnel0
!
ip nat inside source list 10 interface FastEthernet4 overload
!
ip access-list extended IPSEC-TUN0
permit ip any any
ip access-list extended inside
!
access-list 10 permit 192.168.18.0 0.0.0.255
no cdp run
!

из локалки 192.168.17.0 шлюз сетки -> 192.168.18.50 пингуется!
когда появляются пакеты с любой из локалок - тоннель поднимается!
но пинги только с одной стороны и локалки не видят друг друга!
подскажите как настроить ACL и маршрутизацию а то уже перепробовал разные варианты а результата нету!!! мозк пухнет и идей никаких.
22.22.22.22 - это внешний айпи куда строим впн
192.168.17.0 локалка удаленного офиса
на этом interface FastEthernet4
description Internet
ip address dhcp - постоянный айпишник (так сложилось исторически)

неужели никто не может помочь советом как правильно???