URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21166
[ Назад ]

Исходное сообщение
"резервирование IPSec канала "
Отправлено beaver33 , 15-Июн-10 11:00

Здравствуйте, админы.
Суть вопроса, в следующем.
Есть вот такая схемка
контора                               офис
CISCO 2821 ____________IPSec__________CISCO 877
x.x.x.x                               y.y.y.y
с этим подключением всё понятно, всё работает.
В конторе появился еще один адрес от другого провайдера.
Можно ли узнать, каким образом можно настроить CISCO 877 из офиса, чтобы при недоступности адреса CISCO 2821 x.x.x.x, CISCO 877 y.y.y.y автоматически переключалась на адрес z.z.z.z CISCO 2611, с поднятием IPSec. А при восстановлении основого канала, CISCO 877 переключилась автоматически обратно на CISCO 2821 x.x.x.x.
У основного провайдера на одном из участков, возле нащей конторы,
могут проводиться ремонтные работы, и адрес CISCO 2821  x.x.x.x может быть недоступен.
На CISCO 877 y.y.y.y - провайдер один. И новый адрес CISCO 2611 z.z.z.z я с CISCO 877 y.y.y.y вижу.

контора   обвал у основного провайдера      офис
CISCO 2821 ____________IPSec_______________CISCO 877
x.x.x.x                                                               y.y.y.y
                                                                           |
          автоматическое переключение                                      |
               на резервный канал                                      |
контора-------------IPSec--------------------------------------------------|
CISCO 2611
z.z.z.z
Что именно использовать на CISCO 877, SLA, track ?

Содержание

резервирование IPSec канала ,shadow_alone, 12:03 , 15-Июн-10
резервирование IPSec канала ,shadow_alone, 12:05 , 15-Июн-10
- резервирование IPSec канала ,beaver33, 12:26 , 15-Июн-10
  - резервирование IPSec канала ,shadow_alone, 12:31 , 15-Июн-10
    - резервирование IPSec канала ,beaver33, 09:18 , 17-Июн-10
резервирование IPSec канала ,Gbyte, 12:16 , 15-Июн-10
- резервирование IPSec канала ,beaver33, 12:34 , 15-Июн-10
  - резервирование IPSec канала ,GolDi, 12:54 , 15-Июн-10
    - резервирование IPSec канала ,beaver33, 14:26 , 15-Июн-10
      - резервирование  IPSec канала ,Gbyte, 08:38 , 16-Июн-10
        
        резервирование  IPSec канала ,walterwest7, 10:49 , 16-Июн-10
        
        резервирование  IPSec канала ,walterwest7, 11:57 , 16-Июн-10
        
        резервирование  IPSec канала ,shadow_alone, 12:17 , 16-Июн-10
        
        резервирование  IPSec канала ,beaver33, 09:20 , 17-Июн-10
        
        резервирование  IPSec канала ,karen durinyan, 16:47 , 18-Июн-10

Сообщения в этом обсуждении

"резервирование IPSec канала "
Отправлено shadow_alone , 15-Июн-10 12:03

ip sla + track на отбивание IPSEC и перемену маршрута, приблизительно так:
ip route через основной канал track 1
ip route через резервный с большей метрикой
ip sla 10
icmp-echo GW_of_main_channel
timeout 2000
threshold 2
frequency 10
ip sla schedule 10 life forever start-time now
event manager applet app-sla-10
event track 1 state down
action 1.0 cli command "enable"
action 1.1 cli command "clear crypto session remote основной канал"
event manager applet app-sla-11
event track 1 state up
action 1.0 cli command "enable"
action 1.1 cli command "clear crypto session remote резервный канал"

"резервирование IPSec канала "
Отправлено shadow_alone , 15-Июн-10 12:05

Упс, думал на одной циске.
Тогда еще проще если каналы поднимаются с 2-х разных девайсов.
для конторы просто меняйте маршрут при пропадании канала на компе или ip ru на source адрес.
а для 877 то что описал выше.

"резервирование IPSec канала "
Отправлено beaver33 , 15-Июн-10 12:26

>Упс, думал на одной циске.
>
>Тогда еще проще если каналы поднимаются с 2-х разных девайсов.
>для конторы просто меняйте маршрут при пропадании канала на компе или ip
>ru на source адрес.
>а для 877 то что описал выше.
Здравстуйте, shadow_alone.
Спасибо за Ваш ответ.
Т.е. в итоге,
1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl, IPSec)
как и на основной CISCO 2821 x.x.x.x. Т.е. сделаю 2 канала.
2. делаю настройку на 877, по Вашему совету.
3. ну и собственно тестируюсь
Спасибо, Вам за Ваше внимание.

"резервирование IPSec канала "
Отправлено shadow_alone , 15-Июн-10 12:31

>Здравстуйте, shadow_alone.
>Спасибо за Ваш ответ.
>Т.е. в итоге,
>1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl,
>IPSec)
>как и на основной CISCO 2821 x.x.x.x. Т.е. сделаю 2 канала.
>2. делаю настройку на 877, по Вашему совету.
>3. ну и собственно тестируюсь
>Спасибо, Вам за Ваше внимание.
Именно так.

"резервирование IPSec канала "
Отправлено beaver33 , 17-Июн-10 09:18

>[оверквотинг удален]
>>Спасибо за Ваш ответ.
>>Т.е. в итоге,
>>1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl,
>>IPSec)
>>как и на основной CISCO 2821 x.x.x.x. Т.е. сделаю 2 канала.
>>2. делаю настройку на 877, по Вашему совету.
>>3. ну и собственно тестируюсь
>>Спасибо, Вам за Ваше внимание.
>
>Именно так.
Здравствуйте, shadow_alone.
1. настроил резервный туннель на CISCO 2611 z.z.z.z и на CISCO 877 (создал еще один туннель).
2. Когда создавал на CISCO 877 дополнительный туннель, основной отключил, чтобы проверить работу по резервному. Всё работает.
3. Сегодня, следуя Вашему совету, попробую сделать резервирование.
4. Как потом можно будет проверить какой канал используется (ну кроме пингов и трасс), отловить возможные ошибки.
Спасибо.

"резервирование IPSec канала "
Отправлено Gbyte , 15-Июн-10 12:16

2811 и 2611 как в сеть маршруты объявляют? ядро сети что из себя представляет? или эти маршрутизаторы и есть ядро?

"резервирование IPSec канала "
Отправлено beaver33 , 15-Июн-10 12:34

>2811 и 2611 как в сеть маршруты объявляют? ядро сети что из
>себя представляет? или эти маршрутизаторы и есть ядро?
Здравстуйте, Gbyte
Маршрутизаторы просто "смотрят" в интернет через IPSec друг на дружку, через провайдера.
Вопрос, как на CISCO 877 заставить отловить момент падения соединения IPSEc соединения на CISCO 2811, и заставить CISCO 877 отправить трафик на CISCO 2611, через созданный канал IPSEc. Спасибо.

"резервирование IPSec канала "
Отправлено GolDi , 15-Июн-10 12:54

>>2811 и 2611 как в сеть маршруты объявляют? ядро сети что из
>>себя представляет? или эти маршрутизаторы и есть ядро?
>
>Здравстуйте, Gbyte
>Маршрутизаторы просто "смотрят" в интернет через IPSec друг на дружку, через провайдера.
>
>Вопрос, как на CISCO 877 заставить отловить момент падения соединения IPSEc соединения
>на CISCO 2811, и заставить CISCO 877 отправить трафик на CISCO
>2611, через созданный канал IPSEc. Спасибо.
Настроить динамическую маршрутизацию между девайсами.

"резервирование IPSec канала "
Отправлено beaver33 , 15-Июн-10 14:26

уточнение
1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl, IPSec)
как и на основной CISCO 2821 x.x.x.x.
Т.е. сделаю 2-ой резервный канал на CISCO 2611 z.z.z.z
2. делаю настройку на CISCO 877, по Вашему, shadow_alone, совету.
добавляю 2-ой резервный туннель IPSec на CISCO 877, и делаю роуты с большей метрикой для 2-го туннеля.
3. ну и собственно тестируюсь
угу ?

"резервирование IPSec канала "
Отправлено Gbyte , 16-Июн-10 08:38

>[оверквотинг удален]
>
>1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl,
>IPSec)
>как и на основной CISCO 2821 x.x.x.x.
>Т.е. сделаю 2-ой резервный канал на CISCO 2611 z.z.z.z
>2. делаю настройку на CISCO 877, по Вашему, shadow_alone, совету.
>добавляю 2-ой резервный туннель IPSec на CISCO 877, и делаю роуты с
>большей метрикой для 2-го туннеля.
>3. ну и собственно тестируюсь
>угу ?
в сети которая за 2821 и 2611 маршрут в сеть, которая за 877, как попадает? или у вас в сети только 2821 и 2611? - нужно же при переключении на резервный туннель чтобы в вашей сети маршрут прописался уже через 2611...
если вопрос непонятен, может схемку изобразите сети?

"резервирование IPSec канала "
Отправлено walterwest7 , 16-Июн-10 10:49

Подскажите пожалуйста как быть если с одной стороны 2821 с резервированием канала через IP SLA, с другой 1841 с одним провайдером.
На 1841 я так понимаю создаем два тунеля, а как указать приоритетность, чтобы сперва основной запускался, и в случае востановления основного провайдера на 1841 поднимался основной тунель.

"резервирование IPSec канала "
Отправлено walterwest7 , 16-Июн-10 11:57

>Подскажите пожалуйста как быть если с одной стороны 2821 с резервированием канала
>через IP SLA, с другой 1841 с одним провайдером.
>На 1841 я так понимаю создаем два тунеля, а как указать приоритетность,
>чтобы сперва основной запускался, и в случае востановления основного провайдера на
>1841 поднимался основной тунель.
Как вообще на 1841 на одном интерфейсе можно два тунеля поднять?

"резервирование IPSec канала "
Отправлено shadow_alone , 16-Июн-10 12:17

запросто.

"резервирование IPSec канала "
Отправлено beaver33 , 17-Июн-10 09:20

>запросто.
Здравствуйте, shadow_alone.
1. настроил резервный туннель на CISCO 2611 z.z.z.z и на CISCO 877 (создал еще один туннель).
2. Когда создавал на CISCO 877 дополнительный туннель, основной отключил, чтобы проверить работу по резервному. Всё работает.
3. Сегодня, следуя Вашему совету, попробую сделать резервирование.
4. Как потом можно будет проверить какой канал используется (ну кроме пингов и трасс), отловить возможные ошибки.
Спасибо.

"резервирование IPSec канала "
Отправлено karen durinyan , 18-Июн-10 16:47

>[оверквотинг удален]
>
>Здравствуйте, shadow_alone.
>1. настроил резервный туннель на CISCO 2611 z.z.z.z и на CISCO 877
>(создал еще один туннель).
>2. Когда создавал на CISCO 877 дополнительный туннель, основной отключил, чтобы проверить
>работу по резервному. Всё работает.
>3. Сегодня, следуя Вашему совету, попробую сделать резервирование.
>4. Как потом можно будет проверить какой канал используется (ну кроме пингов
>и трасс), отловить возможные ошибки.
>Спасибо.
1. Na cisce s ip sla "show track 10". v zavisimosti State mozhete opredelit' route.
2. "show crypto ipsec sa" Opiat' smotrem na Status. i t.d.
variantov mnogo.