В ГО есть 2 АСЫ каждый из которых подключен к нету через разных провайдеров.
Есть филиалы для организации ipsec с обоими цисками.
Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали связь с 1 ой маршруткой а половина со второй. Но когда пропадает связь на одном из провайдеров, автопереключение на первую или вторую АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для подключения.

А вот на стороне ГО как бы организовать все это?

• 2 ASA + 1 router,Pve1, 12:18 , 08-Июн-11
  • 2 ASA + 1 router,sergeyf, 13:15 , 08-Июн-11
    • 2 ASA + 1 router,sergeyf, 12:43 , 21-Июн-11
      • 2 ASA + 1 router,Николай_kv, 13:04 , 21-Июн-11
        • 2 ASA + 1 router,sergeyf, 13:13 , 21-Июн-11
          • 2 ASA + 1 router,Pve1, 13:25 , 21-Июн-11
            • 2 ASA + 1 router,Pve1, 14:09 , 21-Июн-11
              • 2 ASA + 1 router,sergeyf, 14:19 , 21-Июн-11
                • 2 ASA + 1 router,Pve1, 17:13 , 21-Июн-11
                  • 2 ASA + 1 router,Николай_kv, 17:51 , 21-Июн-11
                    • 2 ASA + 1 router,Pve1, 18:29 , 21-Июн-11
                    • 2 ASA + 1 router,sergeyf, 08:43 , 22-Июн-11

> В ГО есть 2 АСЫ каждый из которых подключен к нету через
> разных провайдеров.
> Есть филиалы для организации ipsec с обоими цисками.
> Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали
> связь с 1 ой маршруткой а половина со второй. Но когда
> пропадает связь на одном из провайдеров, автопереключение на первую или вторую
> АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для
> подключения.
> А вот на стороне ГО как бы организовать все это?

В криптомапе можно указать адрес пира. и адрес бэкап пира.

Соответсвенно у половины филиалов  -  один адрес основной. У 2-й половины - другой.

>[оверквотинг удален]
>> Есть филиалы для организации ipsec с обоими цисками.
>> Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали
>> связь с 1 ой маршруткой а половина со второй. Но когда
>> пропадает связь на одном из провайдеров, автопереключение на первую или вторую
>> АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для
>> подключения.
>> А вот на стороне ГО как бы организовать все это?
> В криптомапе можно указать адрес пира. и адрес бэкап пира.
> Соответсвенно у половины филиалов  -  один адрес основной. У 2-й
> половины - другой.

с филиалами проблем нет я так и сделал.
А вот как насчет ГО? Как сервера могут определить по какой маршрутке надо искать требуемый удаленный хост?

Есть кто может помочь?

> Есть кто может помочь?

Еслу у вас Изи ВПН то можно на стороне филиала прописать в
crypto ipsec client ezvpn
peer 77.222.129.114 default
peer 88.81.253.2 ! а этот как бекап

а вообще вариантов не густо.

>> Есть кто может помочь?
> Еслу у вас Изи ВПН то можно на стороне филиала прописать в
> crypto ipsec client ezvpn
>  peer 77.222.129.114 default
>  peer 88.81.253.2 ! а этот как бекап
> а вообще вариантов не густо.

повторяю, на стороне клиента проблем нет, надо лишь прописать оба айпишника, только поменять очередность, в зависимости от подключения.

мне нужна реализация на стороне ГО, т.е. 2 АСЫ должны разруливаться маршруткой.

>>> Есть кто может помочь?
>> Еслу у вас Изи ВПН то можно на стороне филиала прописать в
>> crypto ipsec client ezvpn
>>  peer 77.222.129.114 default
>>  peer 88.81.253.2 ! а этот как бекап
>> а вообще вариантов не густо.
> повторяю, на стороне клиента проблем нет, надо лишь прописать оба айпишника, только
> поменять очередность, в зависимости от подключения.
> мне нужна реализация на стороне ГО, т.е. 2 АСЫ должны разруливаться маршруткой.

На сколько знаю, ASA-ы умеют друг с другом дружить по OSPF через IPSec тунель, если явно указать нейборов.  Наверное так)  

Либо хитро настроить на ASA статические маршруты с sla tracing - и динамически редистрибуцировать их в ГО. Например сделать ip sla трекинг внешнего адреса рутера филиала - и привязать к статическому маршруту этот трекинг.

PS Рутеры и DMVPN рулят)

А еще по идее функционал revers route позволяет отображать в таблице маршрутизации маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.

> А еще по идее функционал revers route позволяет отображать в таблице маршрутизации
> маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.

спасибо за отзыва, а если связь пропадет на одном из каналов, тогда удаленный сервер запомнит путь полученный с первой маршрутки ГО и не захочет ходить через вторую маршрутку?

>> А еще по идее функционал revers route позволяет отображать в таблице маршрутизации
>> маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.
> спасибо за отзыва, а если связь пропадет на одном из каналов, тогда
> удаленный сервер запомнит путь полученный с первой маршрутки ГО и не
> захочет ходить через вторую маршрутку?

Причем тут сервер?

Если у вас между серверами/юзерами есть L3 устройство(например маршрутизирующий коммутатор), которое является шлюзом для них - на него надо редистрибуцировать статические маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)

Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте шлюз на серверах вручную))   Либо на них OSPF поднимайте)))) винда умеет, никсы само собой. Но думаю понятно, что это не правильно:)

>[оверквотинг удален]
>> удаленный сервер запомнит путь полученный с первой маршрутки ГО и не
>> захочет ходить через вторую маршрутку?
> Причем тут сервер?
> Если у вас между серверами/юзерами есть L3 устройство(например маршрутизирующий коммутатор),
> которое является шлюзом для них - на него надо редистрибуцировать статические
> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте
> шлюз на серверах вручную))   Либо на них OSPF поднимайте))))
> винда умеет, никсы само собой. Но думаю понятно, что это не
> правильно:)

В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут о удаленном бранче (revers route) и чудненко анонсит его - пока руками не прибъеш сессию маршрутная таблица не почиститься.

>[оверквотинг удален]
>> которое является шлюзом для них - на него надо редистрибуцировать статические
>> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
>> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте
>> шлюз на серверах вручную))   Либо на них OSPF поднимайте))))
>> винда умеет, никсы само собой. Но думаю понятно, что это не
>> правильно:)
> В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции
> revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут
> о удаленном бранче (revers route) и чудненко анонсит его - пока
> руками не прибъеш сессию маршрутная таблица не почиститься.

Тогда проуйте ко всему этому прикрутить sla - других вариантов придумать не могу.

Так с серверами также я подозреваю и будет, он один раз взял маршрут с главной маршрутки, и запомнил его. Так и будет помнить если даже связь пойдет по другой АСЕ.

>[оверквотинг удален]
>> которое является шлюзом для них - на него надо редистрибуцировать статические
>> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
>> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте
>> шлюз на серверах вручную))   Либо на них OSPF поднимайте))))
>> винда умеет, никсы само собой. Но думаю понятно, что это не
>> правильно:)
> В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции
> revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут
> о удаленном бранче (revers route) и чудненко анонсит его - пока
> руками не прибъеш сессию маршрутная таблица не почиститься.