URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23505
[ Назад ]

Исходное сообщение
"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Luciefer , 07-Фев-12 15:07

Добрый день!
Сейчас на циске настроен vpn через одного из провайдеров, нужно настроить и! через второго. (альтернативный канал, на случай падения первого)
Начну с асы, тут ничего особенного.
есть интерфейс на ASA, назовем его 0/2.1, он для входящего трафика при подключении VPN и для общего исходящего трафика, часть исходящий трафик натится на него и потом уже разгребается на 2800 через route-map между двумя провайдерами
на ASA настроен роутинг: ip route 0.0.0.0 0.0.0.0 через интерфейс 0/2.1
далее 2800, есть интервейс 0/1 который коннектится к асе, на нем и прописаны route-map'ы.
так же есть интерфейс 0/0.1-ый провайдер и 0/0.2-второй провайдер
соответственно сейчас если коннектимся к vpn, трафик приходит на 0/0.1 затем на asa 0/2.1 и обратно на 2800 через 0/1 на 0/0.1, как то так...
как лучше пустить трафик со второго провайдера?
вариант который я пробовал, но он не работает: на циске настроил интерфейс 0/3.2 с внешним айпи, соответственно трафик приходит на него и уходит согласно ip route на 0/2.1 и оттуда на 2800 на инт 0/1, на нем настроил route-map что если трафик с ip (тут ip интерфейса 0/3.2) то выкидывать все на шлюз второго провайдера. Думал что так можно...но что то не работает..
в чем я ошибся или есть другие варианты?
доп: смотрел статистику route-map на 2800 0/1, он не видит пакетов с ipшником интерфейса асы 0/3.2 ... что то где то я недопонимаю :(

Содержание

Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Николай_kv, 17:24 , 07-Фев-12
- Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Luciefer, 21:02 , 07-Фев-12
  - Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Aleks305, 21:54 , 07-Фев-12
    - Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Aleks305, 21:58 , 07-Фев-12
      - Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Luciefer, 06:37 , 08-Фев-12
    - Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Luciefer, 06:34 , 08-Фев-12
      - Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Aleks305, 10:03 , 08-Фев-12
        
        Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Luciefer, 10:19 , 08-Фев-12
        
        Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Aleks305, 11:32 , 08-Фев-12
        
        Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Luciefer, 12:15 , 08-Фев-12
        
        Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn,Николай_kv, 12:57 , 08-Фев-12

Сообщения в этом обсуждении

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Николай_kv , 07-Фев-12 17:24

И я тоже ... что то где то я недопонимаю
Кто еще кроме Вас может понять что вы тут написали?
1. схема включения
2. тип ВПН соединения
3. конфиги

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Luciefer , 07-Фев-12 21:02

набросал схему, сорри что не те иконки
[img]http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg[/i...
и вот вырезки из конфигов:
Cisco 2800
interface GigabitEthernet0/0.1
description Inet1 (первый провайдер)
encapsulation dot1Q 1
ip address 100.100.100.82 255.255.255.252
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0.2
description Inet2 (второй провайдер)
encapsulation dot1Q 2
ip address 200.200.200.161 255.255.255.0
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/1
description Cisco 2800 <-> Cisco ASA 5500
ip address 100.100.100.201 255.255.255.248
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip policy route-map ISP
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 100.100.100.81
ip route 100.100.100.192 255.255.255.224 Null0 254
ip route 100.100.100.208 255.255.255.240 100.100.100.202
-----------------------------------------------------------------------------
Cisco ASA 5500:
interface Ethernet0/2.1
//этот интерфейс подцеплен к Cisco 2800 Gi0/1
nameif Internet1
ip address 100.100.100.202 255.255.255.248 standby 100.100.100.203
no pim
no igmp
!
interface Ethernet0/3.2
//этот интерфейс подцеплен к провайдеру на прямую, можно подцепить к 2800, но пока разницы не вижу
nameif Internet2
ip address 200.200.200.78 255.255.255.252
!
route Internet1 0.0.0.0 0.0.0.0 100.100.100.201 1

На асе подняты VPN'ы: AnyConnect и IPSec. на 100.100.100.202 они замечательно работают.
пытался дописать к интерфейсу 0/1 cisco 2800 route-map ISP, и матчить по адресу 200.200.200.78, не то
да и вообще по идеи (моим, познания в циско на уровне.. мм пока еще низком) пинг должен приходить на циску по каналу первого провайдера а потом возвразаться ко мне по кналу второго провайдера, даже при таком неверном подключении, но почему не возвращается??

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Aleks305 , 07-Фев-12 21:54

>[оверквотинг удален]
> ip address 200.200.200.78 255.255.255.252
> !
> route Internet1 0.0.0.0 0.0.0.0 100.100.100.201 1
> На асе подняты VPN'ы: AnyConnect и IPSec. на 100.100.100.202 они замечательно работают.
> пытался дописать к интерфейсу 0/1 cisco 2800 route-map ISP, и матчить по
> адресу 200.200.200.78, не то
> да и вообще по идеи (моим, познания в циско на уровне.. мм
> пока еще низком) пинг должен приходить на циску по каналу первого
> провайдера а потом возвразаться ко мне по кналу второго провайдера, даже
> при таком неверном подключении, но почему не возвращается??
нет картинки

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Aleks305 , 07-Фев-12 21:58

>[оверквотинг удален]
>> !
>> route Internet1 0.0.0.0 0.0.0.0 100.100.100.201 1
>> На асе подняты VPN'ы: AnyConnect и IPSec. на 100.100.100.202 они замечательно работают.
>> пытался дописать к интерфейсу 0/1 cisco 2800 route-map ISP, и матчить по
>> адресу 200.200.200.78, не то
>> да и вообще по идеи (моим, познания в циско на уровне.. мм
>> пока еще низком) пинг должен приходить на циску по каналу первого
>> провайдера а потом возвразаться ко мне по кналу второго провайдера, даже
>> при таком неверном подключении, но почему не возвращается??
> нет картинки
вообще Вам нужно посмотреть с какого ip приходит интерисующий трафик, а уже потом строить route-map. Может у на 2800 приходит траф не с того ip, который Вы указали в route-map.
Что счетчики говорят для route-map для нужного трафа?есть срабатывание?

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Luciefer , 08-Фев-12 06:37

> вообще Вам нужно посмотреть с какого ip приходит интерисующий трафик, а уже
> потом строить route-map. Может у на 2800 приходит траф не с
> того ip, который Вы указали в route-map.
> Что счетчики говорят для route-map для нужного трафа?есть срабатывание?
как это можно глянуть? с 100.100.100.202 на Cisco 2800 идет огромный трафик и останавливать его нельзя
счетчик route-map с match 200.200.200.78 молчит, говорит что ничего не идет :(
я верно понимаю что весь трафик с Ethernet0/3.2 согласно роутингу будет уходить через Ethernet0/2.1, дополнительно ничего не надо прописывать?

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Luciefer , 08-Фев-12 06:34

> нет картинки
http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Aleks305 , 08-Фев-12 10:03

>> нет картинки
> http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg
сложно достаточно понять, что Вы там придумываете...лучше, чем Вы не скажет никто, а проблему не решит тем более. На рисунке желательно приводить ip и имена интерфейсов.
А почему бы Вам не попробывать сделать nat с ip, которые присваиваются Вами vpn-клиентам в дополнительный интерфейс, который смотрит на прямую на второй провайдер.
Второй путь сделать nat vpn-клиентов на тот же интерфейс, куда и коннектятся vpn-клиенты, но в другой ip, отличный от основного, который используется для nat. А на 2800 сделать route-map соответствующий.

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Luciefer , 08-Фев-12 10:19

>[оверквотинг удален]
>> http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg
> сложно достаточно понять, что Вы там придумываете...лучше, чем Вы не скажет никто,
> а проблему не решит тем более. На рисунке желательно приводить ip
> и имена интерфейсов.
> А почему бы Вам не попробывать сделать nat с ip, которые присваиваются
> Вами vpn-клиентам в дополнительный интерфейс, который смотрит на прямую на второй
> провайдер.
> Второй путь сделать nat vpn-клиентов на тот же интерфейс, куда и коннектятся
> vpn-клиенты, но в другой ip, отличный от основного, который используется для
> nat. А на 2800 сделать route-map соответствующий.
Разные политики тогда и разные группы vpn? разные настройки, думаю не самый удобный вариант. Если политика одна то соответственно натится будут все подкючения, и уходить на резервный канал. Основной тогда не будет работать.
по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится, два выхода на инет, между asa и 2800 единственный канал, в комментах логов все это прописано, не знаю даже куда подробнее

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Aleks305 , 08-Фев-12 11:32

>[оверквотинг удален]
>> провайдер.
>> Второй путь сделать nat vpn-клиентов на тот же интерфейс, куда и коннектятся
>> vpn-клиенты, но в другой ip, отличный от основного, который используется для
>> nat. А на 2800 сделать route-map соответствующий.
> Разные политики тогда и разные группы vpn? разные настройки, думаю не самый
> удобный вариант. Если политика одна то соответственно натится будут все подкючения,
> и уходить на резервный канал. Основной тогда не будет работать.
> по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится,
> два выхода на инет, между asa и 2800 единственный канал, в
> комментах логов все это прописано, не знаю даже куда подробнее
я че-то уже совсем запутался. Вам необходимо удаленных пользователей(VPN) пускать не через 1-го провайдера, а через второго?Так?

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Luciefer , 08-Фев-12 12:15

>[оверквотинг удален]
>>> vpn-клиенты, но в другой ip, отличный от основного, который используется для
>>> nat. А на 2800 сделать route-map соответствующий.
>> Разные политики тогда и разные группы vpn? разные настройки, думаю не самый
>> удобный вариант. Если политика одна то соответственно натится будут все подкючения,
>> и уходить на резервный канал. Основной тогда не будет работать.
>> по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится,
>> два выхода на инет, между asa и 2800 единственный канал, в
>> комментах логов все это прописано, не знаю даже куда подробнее
> я че-то уже совсем запутался. Вам необходимо удаленных пользователей(VPN) пускать не через
> 1-го провайдера, а через второго?Так?
через 1ого, и иметь альтернативный канал на случай если первый провайдер умрет

"Cisco ASA550 + Cisco 2800, маршрутизация для настройки двух vpn"
Отправлено Николай_kv , 08-Фев-12 12:57

>[оверквотинг удален]
>>>> nat. А на 2800 сделать route-map соответствующий.
>>> Разные политики тогда и разные группы vpn? разные настройки, думаю не самый
>>> удобный вариант. Если политика одна то соответственно натится будут все подкючения,
>>> и уходить на резервный канал. Основной тогда не будет работать.
>>> по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится,
>>> два выхода на инет, между asa и 2800 единственный канал, в
>>> комментах логов все это прописано, не знаю даже куда подробнее
>> я че-то уже совсем запутался. Вам необходимо удаленных пользователей(VPN) пускать не через
>> 1-го провайдера, а через второго?Так?
> через 1ого, и иметь альтернативный канал на случай если первый провайдер умрет
Поскольку на удаленной стороне АСА вариантов у вас не много :) я в том смысле что под АСА нельзя инициализировать два полноценных рабочих тунеля от 2800. Поэтому если не жаль денег за оплату резервного пустующего канала - можете настроить IPSLA на 2800.