https://www.opennet.me/openforum/vsluhforumID6/23226.html Доброго времени суток.<br><br>Столкнулся с такой задачей, есть два офиса, каждый их них подключен к сети Интернет через Cisco 2811, FA0/0 - основной канал (ISP1) и FA0/1 - резервный канал (ISP2). Офисы необходимо соединить 4-я VPN-ми:<br><br>1. Основной канал первого офиса - основной канал второго офиса;<br>2. Основной канал первого офиса - резервный канал второго офиса;<br>3. Резервный канал первого офиса - основной канал второго офиса;<br>4. Резервный канал первого офиса - резервный канал второго офиса;<br><br>Одновременно поднять все четыре VPN-тоннеля не получается, в логах появляются сообщения:<br><br>%CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from xx.xx.xx.xx failed its sanity check or is malformed<br><br>Работают только два VPN-а и то постоянно падают и поднимаются.<br><br>Если на каждой Cisco оставить по одному default route, то пара VPN-ов начинает работать стабильно.<br><br>Каким образом можно получить четыре VPN-на?<br><br>Конфигурация Cisco 2811 в первом офисе:<br>!<br>hostname Office1<br>!<br>crypto isakmp policy 10<br> encr aes 256<br> authenticat https://www.opennet.me/openforum/vsluhforumID6/23226.html#9 Wed, 02 Nov 2011 16:13:35 GMT Есть еще "костыль" с двумя адресами на интерфейсе.<br>Типа такого(Для схемы 1&lt;-&gt;2):<br>R1(Office I) <br>int fa 1<br>Desc ISP_I<br>ip addr 10.1.0.1<br>ip addr 10.1.0.2 sec<br><br>int tun1 <br>source 10.1.0.1 <br>dest 10.2.0.1<br><br>int tun2<br>source 10.1.0.2<br>dest 10.3.0.1<br><br><br><br>R2(Office II)<br>Int fa 1<br>Desc ISP_II<br>ip addr 10.2.0.1<br><br>Int ISP_III<br>ip addr 10.3.0.1<br><br>int tun1 <br>source 10.2.0.1 <br>dest 10.1.0.1<br><br>int tun2<br>source 10.3.0.1<br>dest 10.1.0.2<br><br><br>ip route 0.0.0.0 via ISP_II<br>ip route host 10.1.0.2 via ISP_III<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/23226.html#8 Tue, 01 Nov 2011 12:55:19 GMT &gt;&gt;&gt; Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.<br>&gt;&gt; Не совсем понял схему. У нас четыре ISP, а не два...<br>&gt; В моей терминогогии: ISP2.1 - основной провайдер во 2-м офисе. Теперь думаю <br>&gt; схема понятна?<br><br>Тогда, наверное, такая схема ISP1.1-ISP2.1; ISP1.2-ISP2.2?<br><br>&gt; 4. Что бы 2 тунеля нормально ужились на 1 физическом интерфейсе - <br>&gt; необходимо настроить на них разные tunnel key. Угадайте почему?:)<br><br>Можно ссылку, почему нельзя один tunnel key?<br><br> https://www.opennet.me/openforum/vsluhforumID6/23226.html#7 Thu, 27 Oct 2011 10:33:53 GMT &gt; Не нашел такой опции. IOS: C2800NM-ADVENTERPRISEK9_IVS-M Version 12.4(9)T <br><br>Читаем здесь:<br>http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_trsel.html<br>Уже давно 15-й ios на дворе.<br><br>&gt;&gt; Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.<br>&gt; Не совсем понял схему. У нас четыре ISP, а не два...<br><br>В моей терминогогии: ISP2.1 - основной провайдер во 2-м офисе. Теперь думаю схема понятна?<br><br><br>Повторюсь - без использования vrf с текущим количеством маршрутизаторов full mesh вы никак не сделаете.<br><br>Делайте предложенную схему с 2-я тунелями и не парьтесь.<br><br> https://www.opennet.me/openforum/vsluhforumID6/23226.html#6 Thu, 27 Oct 2011 08:52:57 GMT &gt; 1. GRE трафик не попадает под действия Policy Based Routing.<br>&gt; 2. У тунельного интерфейса есть опция tunnel route-via ... Позволяет направлять тунель <br>&gt; через конкретный выходной интерфейс, при учете что в таблице маршрутизации есть <br>&gt; соответствующий активный маршрут.<br><br>Не нашел такой опции. IOS: C2800NM-ADVENTERPRISEK9_IVS-M Version 12.4(9)T<br><br>&gt; Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.<br><br>Не совсем понял схему. У нас четыре ISP, а не два...<br><br>&gt; 3. Если вы хотети full mesh - вариант только один: vrf. У <br>&gt; обычного тунельного интерфейса можно назначить исходящий интерфейс, находящийся в любом <br>&gt; vrf. Т.е. интерфейсы смотрящие во 2-го провайдера с обоиз сторон поместить <br>&gt; в какой-нибудь vrf (обязательно одинакойвый с обоих сторон - иначе не <br>&gt; заработает). Из минусов - вы не сможете раздавать интернет через <br>&gt; интерфейс из VRF. Правда сможете через тунель и удаленный рутер))) <br><br>Тогда такой вариант не пойдет, Интернет нужно раздавать со всех интерфейсов и лишний трафик в т https://www.opennet.me/openforum/vsluhforumID6/23226.html#5 Thu, 27 Oct 2011 07:33:48 GMT 1. GRE трафик не попадает под действия Policy Based Routing.<br>2. У тунельного интерфейса есть опция tunnel route-via ... Позволяет направлять тунель через конкретный выходной интерфейс, при учете что в таблице маршрутизации есть соответствующий активный маршрут. <br>Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.<br>3. Если вы хотети full mesh - вариант только один: vrf. У обычного тунельного интерфейса можно назначить исходящий интерфейс, находящийся в любом vrf. Т.е. интерфейсы смотрящие во 2-го провайдера с обоиз сторон поместить в какой-нибудь vrf (обязательно одинакойвый с обоих сторон - иначе не заработает). Из минусов - вы не сможете раздавать интернет через интерфейс из VRF. Правда сможете через тунель и удаленный рутер)))<br>4. Что бы 2 тунеля нормально ужились на 1 физическом интерфейсе - необходимо настроить на них разные tunnel key. Угадайте почему?:)<br><br><br>ИМХО предложенная схема надуманная и нафиг не нужная. Тем более что рутеры не зарезервированы. <br>Вполне достаточно схемы: ISP1.1 https://www.opennet.me/openforum/vsluhforumID6/23226.html#4 Thu, 27 Oct 2011 07:18:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt; знать. Для защиты туннелей используйте конструкцию <br>&gt;&gt; tunnel protection ipsec profile NAME <br>&gt;&gt; Поднимите динамику которая будет бегать внутри туннелей <br>&gt;&gt; Вместо пар адресов на тунелях /30 используйте конструкцию ip unnumbered Loopback0 <br>&gt;&gt; тогда не запутаетесь.<br>&gt; Какраз получится -keepalive на тунелях прицепить или ospf завести, если один пров <br>&gt; отвалится на любом из офисоф - отвалятся 2 тунеля через оного <br>&gt; шебуршащих, тунели погаснут, более того если отвалятся по одному прову <br>&gt; на каждом офисе - все равно один тунель живой останется, все <br>&gt; будет работать.<br><br>ИМХО SLA - костыль, который стоит применять только в варианте когда другими инструментами ну никак не получается.<br> https://www.opennet.me/openforum/vsluhforumID6/23226.html#3 Thu, 27 Oct 2011 07:16:11 GMT &gt;[оверквотинг удален]<br>&gt; роуты к нужным адресам) <br>&gt; Вам надо или чуток переработать схему или sla поднять - но тогда <br>&gt; один ISP канал будет отдыхать, или BGP что есть дорого.<br>&gt; И еще определитесь что вам надо. Вы сейчас подняли одновременно IPSEC криптомапы <br>&gt; и GRE туннели - нагрузка на проц скоро даст о себе <br>&gt; знать. Для защиты туннелей используйте конструкцию <br>&gt; tunnel protection ipsec profile NAME <br>&gt; Поднимите динамику которая будет бегать внутри туннелей <br>&gt; Вместо пар адресов на тунелях /30 используйте конструкцию ip unnumbered Loopback0 <br>&gt; тогда не запутаетесь.<br><br>Какраз получится -keepalive на тунелях прицепить или ospf завести, если один пров отвалится на любом из офисоф - отвалятся 2 тунеля через оного шебуршащих, тунели погаснут, более того если отвалятся по одному прову на каждом офисе - все равно один тунель живой останется, все будет работать. <br> https://www.opennet.me/openforum/vsluhforumID6/23226.html#2 Wed, 26 Oct 2011 13:33:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip route 0.0.0.0 0.0.0.0 192.168.2.2 <br>&gt;&gt; ip route 0.0.0.0 0.0.0.0 192.168.3.2 <br>&gt;&gt; !<br>&gt;&gt; !<br>&gt;&gt; access-list 101 permit ip any any <br>&gt;&gt; !<br>&gt;&gt; С уважением.<br>&gt; Прописать роуты к нужным адресам вместо деф-а <br>&gt; например ip route 192.168.0.1 255.255.255.255 192.168.2.2 <br>&gt; ip route 192.168.1.1 255.255.255.255 192.168.3.2 <br><br>2 fantom Да не прокатит так у него поскольку статика на дефаулт роутах =&gt; работать будут только 3 VPN канала того ИСП который будет основной в данный момент времени. <br>1. Основной канал первого офиса - основной канал второго офиса;<br>2. Основной канал первого офиса - резервный канал второго офиса;<br>3. Резервный канал первого офиса - резервный канал второго офиса; (если прописать роуты к нужным адресам)<br><br>Вам надо или чуток переработать схему или sla поднять - но тогда один ISP канал будет отдыхать, или BGP что есть дорого. <br><br>И еще определитесь что вам надо. Вы сейчас подняли одновременно IPSEC криптомапы и GRE туннели - нагрузка на проц скоро даст о себе знать. Для https://www.opennet.me/openforum/vsluhforumID6/23226.html#1 Wed, 26 Oct 2011 12:18:00 GMT &gt;[оверквотинг удален]<br>&gt; !<br>&gt; !<br>&gt; ip classless <br>&gt; ip route 0.0.0.0 0.0.0.0 192.168.2.2 <br>&gt; ip route 0.0.0.0 0.0.0.0 192.168.3.2 <br>&gt; !<br>&gt; !<br>&gt; access-list 101 permit ip any any <br>&gt; !<br>&gt; С уважением.<br><br>Прописать роуты к нужным адресам вместо деф-а<br>например ip route 192.168.0.1 255.255.255.255 192.168.2.2<br>ip route 192.168.1.1 255.255.255.255 192.168.3.2<br>