https://opennet.dev/openforum/vsluhforumID6/20848.html Добрый вечер всем!<br><br>Если взять 2 cisco железки и провести им по два канала связи.<br>Должна ли вообще работать такая схема резервирования?<br><br><br>############# Первая<br><br>crypto map TO_CISCO2800 1 ipsec-isakmp<br> set peer 85.xxx.xxx.101 default<br> set peer 217.yyy.yyy.50<br> set security-association idle-time 120 default<br> set transform-set AES256_MD5<br> match address SECURED-TUN<br>!<br><br>interface Vlan2<br> ip address 217.yyy.yyy.12 255.255.255.252<br> crypto map TO_CISCO2800<br>!<br>interface BVI1<br> ip address 89.xxx.xxx.126 255.255.255.252<br> crypto map TO_CISCO2800<br>!<br>ip route 85.xxx.xxx.101 255.255.255.255 Vlan2<br>ip route 192.168.204.0 255.255.255.0 85.xxx.xxx.101<br>ip route 192.168.204.0 255.255.255.0 217.yyy.yyy.50<br>ip route 217.yyy.yyy.50 255.255.255.255 BVI1<br><br><br>ip access-list extended SECURED-TUN<br> permit ip 10.2.200.0 0.0.0.3 192.168.204.0 0.0.0.255 log<br> permit ip 192.168.204.0 0.0.0.255 10.2.200.0 0.0.0.3 log<br>!<br><br>########### Вторая<br><br>crypto map TO_CISCO2811 1 ipsec-isakmp<br> set peer 89.xxx.xxx.126 default<br> set https://opennet.dev/openforum/vsluhforumID6/20848.html#17 Wed, 14 Apr 2010 06:03:55 GMT &gt;<br>&gt;&gt;&gt;это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о<br>&gt;&gt;Это известный баг/фича - инкапсулированые тунельные пакеты игнорят ip local policy <br>&gt;<br>&gt;тэги добавляются при попаднии в туннель - а это происходит уже после <br>&gt;пбра. <br><br>О чем разговор? Собери стенд и проверь.<br><br>&gt;мне казалось, что циска не даст поднять секондари из той же сети, <br>&gt;что и основной - это не так, она это разрешает, поэтому <br>&gt;в общем-то вариант. )) (вешать его все-таки обязательно. причем туннел-сорсы на <br>&gt;циске с 1 каналом должны быть прописаны соответствующими ип-адресами, а не <br>&gt;интерфейсом) <br><br>достаточно на loopback повесить<br> https://opennet.dev/openforum/vsluhforumID6/20848.html#16 Tue, 13 Apr 2010 15:51:48 GMT <br>&gt;&gt;это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о<br>&gt;Это известный баг/фича - инкапсулированые тунельные пакеты игнорят ip local policy <br><br>тэги добавляются при попаднии в туннель - а это происходит уже после пбра.<br><br>&gt;&gt;как ты прикрутишь доп.адрес из той же сетки и затерминируешь на него <br>&gt;&gt;туннель? только если отдельную сеточку - а это отдельный геморрой и <br>&gt;&gt;деньги. нет? я не права? <br>&gt;<br>&gt;Ну во первых ничто не мешает повесить secondary адресс, во вторых его <br>&gt;вообще не обязательно никуда вешать, достаточно чтобы у оператора был маршрут <br>&gt;на него в твою сторону. <br><br>мне казалось, что циска не даст поднять секондари из той же сети, что и основной - это не так, она это разрешает, поэтому в общем-то вариант. )) (вешать его все-таки обязательно. причем туннел-сорсы на циске с 1 каналом должны быть прописаны соответствующими ип-адресами, а не интерфейсом)<br> https://opennet.dev/openforum/vsluhforumID6/20848.html#15 Tue, 13 Apr 2010 03:13:06 GMT &gt;&gt;&gt;&gt;если на одном из концов только один провайдер, то нужно просить у <br>&gt;&gt;&gt;&gt;них дополнительный IP. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Зачем? 2 туннеля на 1 интерфейсе хорошо уживутся... )) <br>&gt;&gt;<br>&gt;&gt;как на другом конце ты через разных провайдеров трафик пустишь для туннелей? <br>&gt;&gt;<br>&gt;<br>&gt;это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о<br><br>Это известный баг/фича - инкапсулированые тунельные пакеты игнорят ip local policy<br><br>&gt;как ты прикрутишь доп.адрес из той же сетки и затерминируешь на него <br>&gt;туннель? только если отдельную сеточку - а это отдельный геморрой и <br>&gt;деньги. нет? я не права? <br><br>Ну во первых ничто не мешает повесить secondary адресс, во вторых его вообще не обязательно никуда вешать, достаточно чтобы у оператора был маршрут на него в твою сторону.<br><br> https://opennet.dev/openforum/vsluhforumID6/20848.html#14 Tue, 13 Apr 2010 03:09:56 GMT &gt;Вот что получилось в итоге... <br>&gt;Схема резервирования работает, проверено на GNS3. <br>&gt;Спасибо еще раз ShyLion! <br><br>с таким конфигом туннели используются в режиме load-sharing средствами ip cef<br>потому что у обоих маршрутов одинаковые метирки.<br>Если нужно сделать основной и резерв, то пляши параметрами bandwidth и delay на туннельных интерфейсах, и вообще, когда будешь такие туннели делать - всегда обращай внимание на sho int tunx &#124; inc DLY<br>в разном софте при разных условиях эти два параметра на туннелях по умолчанию разные, а они являются ключевыми при выборе маршрутов.<br>Почитай как следует про EIGRP.<br> https://opennet.dev/openforum/vsluhforumID6/20848.html#13 Sun, 11 Apr 2010 06:19:28 GMT Вот что получилось в итоге...<br>Схема резервирования работает, проверено на GNS3.<br><br>crypto isakmp policy 10<br>encr aes 256<br>hash md5<br>authentication pre-share<br>group 2<br>!<br>!<br>crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac<br>!<br>!<br>crypto ipsec profile TUN-AES256<br>set transform-set AES256-MD5<br>!<br>crypto isakmp key TUN1_adasdsdgdjhgjdhfjdhj address 11.11.11.11<br>crypto isakmp key TUN2_adasdsdgdjhgjdhfjdhj address 22.22.22.22<br>!<br>!<br>interface FastEthernet0/0 <br>descr LAN<br>ip address 192.168.100.1 255.255.255.0 <br>!<br>interface vlan1<br>descr ISP1<br>ip address 1.1.1.1 255.255.255.0<br>!<br>interface vlan2<br>descr ISP2<br>ip address 2.2.2.2 255.255.255.0<br>!<br>interface tunnel1<br>ip address 10.0.1.1 255.255.255.252<br>tunnel source 1.1.1.1<br>tunnel dest 11.11.11.11<br>tunnel mode ipsec ipv4<br>tunnel protection ipsec profile TUN-AES256<br>!<br>interface tunnel2<br>ip address 10.0.2.1 255.255.255.252<br>tunnel source 2.2.2.2<br>tunnel dest 22.22.22.22<br>tunnel mode ipsec ipv4<br>tunnel protection ipsec profile TUN-AES256<br>!<br>ip route 2.2. https://opennet.dev/openforum/vsluhforumID6/20848.html#12 Fri, 09 Apr 2010 13:23:59 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;ip sla 1 <br>&gt;icmp-echo [сосед по tu1] source-interface tu1 - пинговалка "соседа" <br>&gt;frequency 2 - частота в секундах <br>&gt;ip sla schedule 1 life forever start-time now <br>&gt;<br>&gt;Если ты хочешь выделить "вкусный трафик" который всегда будет идти по вкусному <br>&gt;каналу - то читай про рут-мапы. <br>&gt;<br>&gt;Вот как-то так, имхо. <br><br>а нет, все проще оказалось...<br><br>надо было добавить <br><br>network 192.168.100.0 0.0.0.255<br><br>для первого<br><br>interface FastEthernet3/0<br> ip address 192.168.100.1 255.255.255.0<br><br>и <br><br>network 192.168.200.0 0.0.0.255<br><br>для второго<br><br>interface FastEthernet3/0<br> ip address 192.168.100.1 255.255.255.0<br><br><br> https://opennet.dev/openforum/vsluhforumID6/20848.html#11 Fri, 09 Apr 2010 12:44:14 GMT такой рутинг не канает - пакеты уходят через один: то в 1, то в 2 туннель. <br><br>Осталось определить, как ты хочешь рутить. Если у тебя 1 канал в резерве и должен работать в случае атомной войны - то поднимай динамику (поверх айписека вроде не все работает... могу ошибаться - но оспф вроде нет, а бгп - точно да) или sla tracking. <br><br>Про динамику написано много. Второе конфигурится примерно так:<br><br>track 1 rtr 1 reachability - собственно трэк, к которому привязан SLA 1<br><br>ip route 192.168.2.0 255.255.255.0 tunnel 1 track 1 <br>ip route 192.168.2.0 255.255.255.0 tunnel 2 200<br><br>ip sla 1<br>icmp-echo [сосед по tu1] source-interface tu1 - пинговалка "соседа" <br>frequency 2 - частота в секундах<br>ip sla schedule 1 life forever start-time now<br><br>Если ты хочешь выделить "вкусный трафик" который всегда будет идти по вкусному каналу - то читай про рут-мапы. <br><br>Вот как-то так, имхо. <br> https://opennet.dev/openforum/vsluhforumID6/20848.html#10 Fri, 09 Apr 2010 12:34:25 GMT &gt;[оверквотинг удален]<br>&gt; no passive-interface tun1 <br>&gt; no passive-interface tun2 <br>&gt;! <br>&gt;<br>&gt;<br>&gt;<br>&gt;с другой стороны аналогично, с поправкой адресов на ключах, интерфейсах и маршрутах <br>&gt;<br>&gt;писал по памяти, мог очепятаться <br>&gt;тестировать все это можно и без кис, с помощью GNS3 <br><br>Спасибо!<br><br>А как правильно заруливать трафик в тунели?<br><br>ip route 192.168.2.0 255.255.255.0 tunnel 1<br>ip route 192.168.2.0 255.255.255.0 tunnel 2<br><br>так не работает...<br> https://opennet.dev/openforum/vsluhforumID6/20848.html#9 Fri, 09 Apr 2010 12:23:07 GMT &gt;&gt;&gt;если на одном из концов только один провайдер, то нужно просить у <br>&gt;&gt;&gt;них дополнительный IP. <br>&gt;&gt;<br>&gt;&gt;Зачем? 2 туннеля на 1 интерфейсе хорошо уживутся... )) <br>&gt;<br>&gt;как на другом конце ты через разных провайдеров трафик пустишь для туннелей? <br>&gt;<br><br>это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о <br>как ты прикрутишь доп.адрес из той же сетки и затерминируешь на него туннель? только если отдельную сеточку - а это отдельный геморрой и деньги. нет? я не права?<br>