Здравствуйте!Настраиваю dual hub DMVPN, есть вопрос по узел в центральном офисе (ЦО). Там имеется 2шт. роутера 2821(+4х портовые свич-модули HWIC-4ESW) и 2шт. Cat. 3560G. В принципе DMVPN как таковой попробовал – трудностей пока не вызывало. А затрудняюсь как разобраться с оборудованием в ЦО, как грамотно задизайнить 2 роутера и 2 свитча? Вот возникла такая, ничем не подкрепленная схема, возможно ли так реализовать, если да то какими «технологиями».
Я попробовал на GNS3 схему с одним свичем, интерфейсы 2х роутеров смотрящие в внутрь зарезервировал по HSRP, GLBP. Вроде завелось. Хотелось бы в этой «схеме» тоже использовать резервирование first-hop роутера и вообще по максимуму использовать и зарезервировать железо в ЦО.
Users PC's
| |
SW1--SW2
\ /
/ \
/ \
HUB1 HUB2
| \ / |
| / \ |
| / \ |
sp1 sp2ПС
Как можно догадаться, специалист по cisco и меня маааленький, поэтому просьба отестись с пониманием.
Не нужно изобретать велосипед. На cisco.com все есть.
Dynamic Multipoint VPN (DMVPN) Design Guide - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns17...
1 рутер втыкается в 1 свитч.
2 рутер втыкается во 2 свитч.
Между свичами естественно тоже соединение.На рутерах HSRP/GLBP - если внутри динамической маршрутизации нет. Если она есть - то лушчее к ядру сети конектить рутеры посредством ее.
Теоретически в вашем случае можно настроить L3 прямо между рутерами и свичами... Все зависит от вашей инфраструктуры.Однозначных решений нет.
> 1 рутер втыкается в 1 свитч.
> 2 рутер втыкается во 2 свитч.
> Между свичами естественно тоже соединение.
> На рутерах HSRP/GLBP - если внутри динамической маршрутизации нет.
> Если она есть - то лушчее к ядру сети
> конектить рутеры посредством ее.
> Теоретически в вашем случае можно настроить L3 прямо между рутерами и свичами...
> Все зависит от вашей инфраструктуры.
> Однозначных решений нет.Спасибо за отклик,
шас исследую такю схему:
Каждый рутер (HUB) подлючил к двум свичам по L3, и свичи межу собой (на уровне Vlan-а который для локальной сети). Между рутерами и свичами пустил eigrp.
(т.е. как на "схеме" и нарисовал)
На свичах между SVI интрефесами "смотрящими в локальную сеть" - HSRP.
Свичи получают от рутеров маршрут 0.0.0.0 0.0.0.0 через eigrp redistribute static, что дает доступ из локолной сети в инет через NAT на роутерах.Тут получается ХЗ какая модель: свичи и ядром являются и доступом (туда компы пользователей подключаться будут), они же и firs-hop рутер...
Еще один момент беспокоит: на каждом свиче есть по 2 маршрута к одной сети назначения..
SW2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static routeGateway of last resort is 10.10.1.3 to network 0.0.0.0
10.0.0.0/24 is subnetted, 2 subnets
D 10.10.0.0 [90/3072] via 192.168.1.1, 00:39:00, Vlan5
[90/3072] via 10.10.1.3, 00:39:00, Vlan20
[90/3072] via 10.10.1.2, 00:39:00, Vlan20
C 10.10.1.0 is directly connected, Vlan20
C 192.168.1.0/24 is directly connected, Vlan5
D*EX 0.0.0.0/0 [170/3072] via 10.10.1.3, 00:39:00, Vlan20
[170/3072] via 10.10.1.2, 00:39:00, Vlan20Незнаю хорошо это или плохо. Вроде в этом случае работает балансировка per-destinatios?
На деле все вроде в норме пакеты ходят по одному пути(файлы копируюся нормально),хотя в GNS3 делал, там какой то ахтунг - при копировании файлов пакеты натились на обоих рутерах и соответвенно копирование обрывалось на каком то моменте..
Сделали все правильно.Ну почему по дефолту по 2 маршрута и балансировка - думаю понятно? :)
По балансировки - подкручивайте bandwith/delay соответсвующих тунельных интерфейсов на споках/хабах - и получите что вам нужно (балансировка/статическая балансировка/актив-пасив)... Тут все от желаний и условий договоров с провайдерами зависит.
> Сделали все правильно.
> Ну почему по дефолту по 2 маршрута и балансировка - думаю понятно?
> :)
> По балансировки - подкручивайте bandwith/delay соответсвующих тунельных интерфейсов
> на споках/хабах - и получите что вам нужно (балансировка/статическая балансировка/актив-пасив)...
> Тут все от желаний и условий договоров с провайдерами зависит.Да тут, нужно будет повозиться с метриками
> 1 рутер втыкается в 1 свитч.
> 2 рутер втыкается во 2 свитч.
> Между свичами естественно тоже соединение.
> На рутерах HSRP/GLBP - если внутри динамической маршрутизации нет.
> Если она есть - то лушчее к ядру сети
> конектить рутеры посредством ее.
> Теоретически в вашем случае можно настроить L3 прямо между рутерами и свичами...
> Все зависит от вашей инфраструктуры.
> Однозначных решений нет.Тут нет никакой "инфраструктуры", все в одной куче, бардак как логический так и физический в серверной. Хорошо что не приходится маршруты на хостах менять вручную)), как читал на форуме както (хотя встречал и сам такое)
Я просто подумал раз уж есть пара 3560, то не задействовать их L3 функционал глупо. Пусть будут дефолт гейвееем для хостов в локальной сети. Сервачки думаю вынести в отдельную сеть типа ДМЗ, вобщем пусть свичовые ASIC-и работают..). Хотя тут тоже,.... задействовать фичи как таковые ради их самих, в ущерб простоте, надежности, возможно еще глупее.
Вот и в этом варианте конфигурация вроде как усложнилась роутингом между свичами рутерами, появились потенц. точки отказа, но зато разрузились роутеры. Плюсов наверное все же больше, хотя дезайнер из меня...))
> Я просто подумал раз уж есть пара 3560, то не задействовать их
> L3 функционал глупо. Пусть будут дефолт гейвееем для хостов в локальной
> сети. Сервачки думаю вынести в отдельную сеть типа ДМЗ, вобщем пусть
> свичовые ASIC-и работают..).У меня тоже пара 3560 но HUB один (3825), маршрутизация между виланами на коммутаторах (для каждого настроен HSRP). Маршрутизатор гигабитными портами подключен к обоим 3560 (так же как и все коммутаторы доступа и сервера ESX), созданы два отдельных транзитных вилана и соответственно два сегмента для маршрутизации в которых имеют свои SVI эти три устройства. Тут уже никаких HSRP, поднят OSPF, нулевая область в центре и тупиковая - филиальная сеть за маршрутизатом. Поскольку оба 3560 тоже связаны транком пришлось повозиться с приоритетами HSRP и весами маршрутов, чтобы L2 и L3 работали синхронно и не получилось так что рутом для вилана является один коммутатор а шлюзом для сегмента другой.
> Хотя тут тоже,.... задействовать фичи как таковые ради
> их самих, в ущерб простоте, надежности, возможно еще глупее.Я тоже так думал, когда городил свой "огород", но конструкция работает четвертый год ка швейцарские часы и я уже забыл когда последний раз смотрел маршрутные таблицы. Так что как в известном мультике - "Лучше час помучиться, зато потом за пять минут долететь!" :D
>> Я просто подумал раз уж есть пара 3560, то не задействовать их
>> L3 функционал глупо. Пусть будут дефолт гейвееем для хостов в локальной
>> сети. Сервачки думаю вынести в отдельную сеть типа ДМЗ, вобщем пусть
>> свичовые ASIC-и работают..).
> Маршрутизатор гигабитными портами подключен
> к обоим 3560 (так же как и все коммутаторы доступа и
> сервера ESX),А как хосты ESX к двум комутаторам подлючены? Там что то типа NIC Teaming или как?
Знаю что можно между сервером с 2мя сетевухами и например двумя стэковыми 3750 etherchannel сделать (cross-stack etherchannel вроде наз-ся)
А у вас как между двумя отдельными свичами?> созданы два отдельных транзитных вилана и соответственно два сегмента
> для маршрутизации в которых имеют свои SVI эти три устройства.
> Тут уже никаких HSRP, поднят OSPF, нулевая область в центре и
> тупиковая - филиальная сеть за маршрутизатом.Не совсем понял что значит транзитные и последующее..,
можете объяснить подробнее, пожалуйста?
> А как хосты ESX к двум комутаторам подлючены? Там что то типа
> NIC Teaming или как?
> Знаю что можно между сервером с 2мя сетевухами и например двумя стэковыми
> 3750 etherchannel сделать (cross-stack etherchannel вроде наз-ся)
> А у вас как между двумя отдельными свичами?ну это же не просто сервера, а так сказать платформы для виртуальных серверов с виртуальными свичами, вот они и подключены транками к двум 3650
> Не совсем понял что значит транзитные и последующее..,
> можете объяснить подробнее, пожалуйста?я в терминологии не силен, картинку бы нарисовать, короче у меня в центральной конторе десяток подсетей, пользовательсих, служебных и т.д. все они маршрутизируются на паре 3650, эта пара связана с маршрутизатором 3825 через сети которые я назвал транзитными, а уже маршрутизатор связан со всеми филиальными сетями (вот ему я тоже планирую пару составить, что бы ликвидировать точку отказа)
>> А как хосты ESX к двум комутаторам подлючены? Там что то типа
>> NIC Teaming или как?
>> Знаю что можно между сервером с 2мя сетевухами и например двумя стэковыми
>> 3750 etherchannel сделать (cross-stack etherchannel вроде наз-ся)
>> А у вас как между двумя отдельными свичами?
> ну это же не просто сервера, а так сказать платформы для виртуальных
> серверов с виртуальными свичами, вот они и подключены транками к двум
> 3650То есть от каждого ESX хоста(сервера) с 1-й его сетевой - провод ("в котором транк вЛанов") в один 3560, со 2-й сетевой - во второй 3560 аналогично?
На казждой сетевой на хосте ESX адреса, из разныхх сетей?
..или может у вас блейд корзина даже.. ?>> Не совсем понял что значит транзитные и последующее..,
>> можете объяснить подробнее, пожалуйста?
> я в терминологии не силен, картинку бы нарисовать, короче у меня в
> центральной конторе десяток подсетей, пользовательсих, служебных и т.д. все они маршрутизируются
> на паре 3650, эта пара связана с маршрутизатором 3825 через сети
> которые я назвал транзитными, а уже маршрутизатор связан со всеми филиальными
> сетями (вот ему я тоже планирую пару составить, что бы ликвидировать
> точку отказа)все теперь понял..
> То есть от каждого ESX хоста(сервера) с 1-й его сетевой - провод
> ("в котором транк вЛанов") в один 3560, со 2-й сетевой -
> во второй 3560 аналогично?
> На казждой сетевой на хосте ESX адреса, из разныхх сетей?
> ..или может у вас блейд корзина даже.. ?нет не блейд, 4 сервера IBM 3650, на каждом по шесть сетевых интерфейсов, два из них виртуальный свич для служебных целей (два VLAN - soft console, vmkernel) по одному в коммутатор и четыре - виртуальный свич для ВМ (несколько VLAN), по два в каждый коммутатор.
Общий сторедж подключен через SAN, тоже пара FC коммутаторов
>[оверквотинг удален]
> тупиковая - филиальная сеть за маршрутизатом. Поскольку оба 3560 тоже связаны
> транком пришлось повозиться с приоритетами HSRP и весами маршрутов, чтобы L2
> и L3 работали синхронно и не получилось так что рутом для
> вилана является один коммутатор а шлюзом для сегмента другой.
>> Хотя тут тоже,.... задействовать фичи как таковые ради
>> их самих, в ущерб простоте, надежности, возможно еще глупее.
> Я тоже так думал, когда городил свой "огород", но конструкция работает четвертый
> год ка швейцарские часы и я уже забыл когда последний раз
> смотрел маршрутные таблицы. Так что как в известном мультике - "Лучше
> час помучиться, зато потом за пять минут долететь!" :DValery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор имеено этого протокола?
Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).
Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?
> Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор
> имеено этого протокола?
> Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).у меня сначала коммутаторы были 3COM, отсюда и выбор
> Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?Сам не делал, но думаю нормально будет
>> Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор
>> имеено этого протокола?
>> Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).
> у меня сначала коммутаторы были 3COM, отсюда и выбор
>> Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?
> Сам не делал, но думаю нормально будетValery12, а конфиги Споков, Хабов, и Свичей в части ospf не покажите?
тестирую ospf как альтернативу, но почемуто на 3560 маршруты не приходят..
>>> Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор
>>> имеено этого протокола?
>>> Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).
>> у меня сначала коммутаторы были 3COM, отсюда и выбор
>>> Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?
>> Сам не делал, но думаю нормально будет
> Valery12, а конфиги Споков, Хабов, и Свичей в части ospf не покажите?
> тестирую ospf как альтернативу, но почемуто на 3560 маршруты не приходят..о настройке самих туннелей не пишу, зависит от среды, а собственно маршрутизация
примерно такЛокальные сегменты в центре, сводная 172.20.0.0/20
сегменты для маршрутизации
Vlan140 10.0.0.0/28
Vlan141 10.0.0.16/28
сводный 10.0.0.0/27ДМЗ
10.0.0.32/27туннели
172.19.0.0/24филиалы (сводные)
172.19.1.0/24
172.19.2.0/24
и т.д.SPOKE
router ospf 1
router-id 172.19.0.1
area 10 stub no-summary
passive-interface default
no passive-interface Tunnel2
network 172.19.0.0 0.0.0.255 area 10
network 172.19.1.0 0.0.0.255 area 10HUB
router ospf 1
router-id 172.19.0.100
area 10 stub no-summary
redistribute static
passive-interface default
no passive-interface GigabitEthernet0/0.141
no passive-interface GigabitEthernet0/1.140
no passive-interface Tunnel2
network 10.0.0.0 0.0.0.31 area 0
network 10.0.0.32 0.0.0.31 area 0
network 172.19.0.0 0.0.0.255 area 10SWITCH
router ospf 1
router-id 172.20.1.18
passive-interface default
no passive-interface Vlan140
no passive-interface Vlan141
network 10.0.0.0 0.0.0.31 area 0
network 172.20.0.0 0.0.15.255 area 0