Привет народ. Подскажите, как грамотно реализовать задачу.

Есть два головных Офиса (расположены в разных городах) и куча отделений по всей стране.

На данный момент в каждом головном офисе есть cisco asa 5520, а на отделениях asa 5505, которые подключаются только к одному офису по Easy VPN.

Необходимо организовать резервирование, на случай полного выхода из строя основного офиса. (Чтобы все отделения автоматом перешли на второй офис).

Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае дизастера) перенаправить весь трафик отделений через другой регион?

В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, к сожалению не поддерживает gre)

• cisco ASA VPN (два майн сайта и много отделений),Николай, 11:59 , 31-Июл-12
  • cisco ASA VPN (два майн сайта и много отделений),Евгений, 12:08 , 31-Июл-12
    • cisco ASA VPN (два майн сайта и много отделений),Николай, 16:34 , 31-Июл-12
      • cisco ASA VPN (два майн сайта и много отделений),Евгений, 17:00 , 31-Июл-12
        • cisco ASA VPN (два майн сайта и много отделений),Николай, 17:21 , 31-Июл-12
          • cisco ASA VPN (два майн сайта и много отделений),Евгений, 17:23 , 31-Июл-12
• cisco ASA VPN (два майн сайта и много отделений),m0ps, 11:50 , 21-Авг-12
  • cisco ASA VPN (два майн сайта и много отделений),Николай, 13:01 , 21-Авг-12
    • cisco ASA VPN (два майн сайта и много отделений),m0ps, 13:23 , 21-Авг-12
      • cisco ASA VPN (два майн сайта и много отделений),Николай, 13:30 , 21-Авг-12
    • cisco ASA VPN (два майн сайта и много отделений),GolDi, 13:53 , 21-Авг-12

>[оверквотинг удален]
> На данный момент в каждом головном офисе есть cisco asa 5520, а
> на отделениях asa 5505, которые подключаются только к одному офису по
> Easy VPN.
> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса.
> (Чтобы все отделения автоматом перешли на второй офис).
> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
> дизастера) перенаправить весь трафик отделений через другой регион?
> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
> к сожалению не поддерживает gre)

Аналога с GRE нет и скорее всего в ближайшее время не будет. Динамическую маршрутизацию в отделение вы тоже не дотяните. Единственное что можно сделать это реверс роуты да и то только на центральный АСЕ и их потом анонсить в динамику. Для ВПН наиболее рабочий вариант Eazy VPN (обратите внимание рабочий, а не удачный) в настройках можно прописать основной/бекапный Eazy VPN АСА концентротор. Но все равно все это унылое .... поскольку при попадании канала и перестройке отделения на резерв основная АСА анонсит дохлых маршрут
к отделению через себя а бекап через себя и тут работоспособность зависит от кармы космических лучей и т.д. :)
Почему так скептически пишу - работал в конторе где по такой схеме терминировалось 213 отделений - вспоминаю со слезами на глазах. Технология хороша для мобильных работников и прочих юзерских окончаний но никак не бранчей.

Николай, больше спасибо.
Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования ASA VPN для подключений офисов и использовать решения на основе, например MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?

> Николай, больше спасибо.
> Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования
> ASA VPN для подключений офисов и использовать решения на основе, например
> MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?

Опять же моё субъективное мнение - мне очень нравиться технология DMVPN в силу того что бранчи могут стоять за НАТ иметь серый динамический ИП плюс динамически простраиваемые тунели между бранчами (опционально, кому надо). Для вашей схемы поднять два независимых DMVPN хаба и с каждого спока построить 2 тунеля. Хабы подружить между собой динамикой, споки застабить и нарисуется отличная схема резервированием. MPLS - я так понял вы говорите о окончании которое подает вам провайдер.

>[оверквотинг удален]
>> Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования
>> ASA VPN для подключений офисов и использовать решения на основе, например
>> MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?
> Опять же моё субъективное мнение - мне очень нравиться технология DMVPN в
> силу того что бранчи могут стоять за НАТ иметь серый динамический
> ИП плюс динамически простраиваемые тунели между бранчами (опционально, кому надо). Для
> вашей схемы поднять два независимых DMVPN хаба и с каждого спока
> построить 2 тунеля. Хабы подружить между собой динамикой, споки застабить и
> нарисуется отличная схема резервированием. MPLS - я так понял вы говорите
> о окончании которое подает вам провайдер.

DMVPN на сколько я знаю не поддерживается cisco ASA... Хотя могу и ошибаться, нужно почитать документацию. Но сама технология конечно хорошая.

C MPLS все верно. Провайдер подает окончание и отделение включается в общий MPLS Circuit. Но это потребует конечно серьезных затрат на сами каналы.

> DMVPN на сколько я знаю не поддерживается cisco ASA... Хотя могу и
> ошибаться, нужно почитать документацию. Но сама технология конечно хорошая.
> C MPLS все верно. Провайдер подает окончание и отделение включается в общий
> MPLS Circuit. Но это потребует конечно серьезных затрат на сами каналы.

Да вы правы DMVPN это для роутеров.

Как вариант можно рассмотреть Dynamic VPN, но как по мне Eazy VPN более гибкое решение. В общем ничего нового я не расскажу - выбор за вами :)

Будем думать. Большое спасибо :)

>[оверквотинг удален]
> На данный момент в каждом головном офисе есть cisco asa 5520, а
> на отделениях asa 5505, которые подключаются только к одному офису по
> Easy VPN.
> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса.
> (Чтобы все отделения автоматом перешли на второй офис).
> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
> дизастера) перенаправить весь трафик отделений через другой регион?
> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
> к сожалению не поддерживает gre)

может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec vpn просто указав в бранчах для криптомапов 2 пира и матчить адреса подсетей обоих головных офисов?

>[оверквотинг удален]
>> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса.
>> (Чтобы все отделения автоматом перешли на второй офис).
>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
>> дизастера) перенаправить весь трафик отделений через другой регион?
>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
>> к сожалению не поддерживает gre)
> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec
> vpn просто указав в бранчах для криптомапов 2 пира и матчить
> адреса подсетей обоих головных офисов?

site-to-site vpn  не поддерживает мультикаст, а динамика строиться на нем, да и некоторые другие полезные фенечки будут при данном варианте отсутствовать.

>[оверквотинг удален]
>>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
>>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
>>> дизастера) перенаправить весь трафик отделений через другой регион?
>>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
>>> к сожалению не поддерживает gre)
>> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec
>> vpn просто указав в бранчах для криптомапов 2 пира и матчить
>> адреса подсетей обоих головных офисов?
> site-to-site vpn  не поддерживает мультикаст, а динамика строиться на нем, да
> и некоторые другие полезные фенечки будут при данном варианте отсутствовать.

а зачем динамика топикстартеру? насколько я понял, он просто как один из вариантов решения задачи упоминал о динамике.
что еще да полезные фенечки, которых L2L не поддерживает (я не в сравнении с DMVPN)?
просто если у ТС уже есть куча ас, то выкидывать их для того что бы строить DMVPN - как-то слишком расточительно (я не отговариваю, и если есть фин возможность - вполне логичный и правильный шаг в плане простоты настройки и масштабируемости распределенной сети, ходя добавится головняка с ACL-ами)
или нужна связанность между бранчами?

спросите у топикстартера :)

>[оверквотинг удален]
>>> (Чтобы все отделения автоматом перешли на второй офис).
>>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
>>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
>>> дизастера) перенаправить весь трафик отделений через другой регион?
>>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
>>> к сожалению не поддерживает gre)
>> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec
>> vpn просто указав в бранчах для криптомапов 2 пира и матчить
>> адреса подсетей обоих головных офисов?
> site-to-site vpn  не поддерживает мультикаст, а динамика строиться на нем,

   eigrp может и на unicaste работать
> и некоторые другие полезные фенечки будут при данном варианте отсутствовать.