 несколько DMVPN с одного внешнего IP адреса,  gerhard, 19-Сен-16, 16:24 [смотреть все]Всем привет.Недавно нарисовалась такая проблема.
Есть циска 1841 с внешним адресом,с которой строится DMVPN туннель до адреса х.х.х.х. За циской (за натом) стоит роутер,а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель до адреса х.х.х.х. Т.е. получается,что с 1 внешнего айпишника строится 2 DMVPN туннеля. Для резервирования интернета на роутере перед 1921 предполагалось поставить 3G модем,на который будет переключаться интернет в случае разрыва канала между циской 1841 и роутером.
В тот момент,когда канал падает,интернет переключается на модем и все хорошо работает.Но вот туннель при этом не поднимается,хотя в sh isacmp sa пишет QM_IDLE ,но на самом деле он не работает и OSPF не расходится. В связи с этим вопрос : почему автоматически не поднимается туннель при падении канала и переходе на 3G ( если его руками перезагрузить,то через какое-то кол-во манипуляций, он поднимется)? И еще вообще возможна ли корректная работа нескольких DMVPN туннелей с 1 внешнего адреса.
Если нет,то какое альтернативный вариант в данном случае лучше применить? Примерная схема - https://yadi.sk/i/WjkVqii_vP6Vv
|
- несколько DMVPN с одного внешнего IP адреса, ShyLion, 09:40 , 20-Сен-16 (1)
> Всем привет.
> а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннельКакая-то странная схема. Что мешает между цисками построить линк и роутить внутри?
- несколько DMVPN с одного внешнего IP адреса, ShyLion, 09:47 , 20-Сен-16 (2)
>> Всем привет.Вообще в центре для таких случаев делается несколько хабов - с разными адресами, а на споках до этих адресов делается статический маршрут принудительно через разных операторов. Тогда все моментально переключается.
- несколько DMVPN с одного внешнего IP адреса, gerhard, 14:21 , 21-Сен-16 (3)
>>> Всем привет.
> Вообще в центре для таких случаев делается несколько хабов - с разными
> адресами, а на споках до этих адресов делается статический маршрут принудительно
> через разных операторов. Тогда все моментально переключается.Вся проблема в том,что до второй циски(1921) не получается протянуть внешний айпишник ,поэтому ей приходится выходить в инет через NAT на 1841. Вообще какой более оптимальный вариант построения туннелей,если роутеры выходят наружу с 1 внешнего адреса?
- несколько DMVPN с одного внешнего IP адреса, gerhard, 14:24 , 21-Сен-16 (4)
>> Всем привет.
>> а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель
> Какая-то странная схема. Что мешает между цисками построить линк и роутить внутри? Что значит роутить внутри? У меня туннели строятся до ХАБа для работы IP телефонии,которая стоит в другом городе.Соотвественно каждая циска(1841 и 1921) через туннель по OSPF передает свою подсеть для маршрутизации.Далее соответственно поднимаются телефоны в жтой подсети и связываются с колл центром,который стоит за ХАБом
- несколько DMVPN с одного внешнего IP адреса, ShyLion, 08:03 , 22-Сен-16 (5)
>>> Всем привет.
>>> а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель
>> Какая-то странная схема. Что мешает между цисками построить линк и роутить внутри?
> Что значит роутить внутри? У меня туннели строятся до ХАБа для работы
> IP телефонии,которая стоит в другом городе.Соотвественно каждая циска(1841 и 1921) через
> туннель по OSPF передает свою подсеть для маршрутизации.Далее соответственно поднимаются
> телефоны в жтой подсети и связываются с колл центром,который стоит за
> ХАБом эти ваши роутеры - они внутри одной организации? если так, то нужно дизайн сети пересмотреть. Тунели должны быть на границе вашей сети а не внутри ее.
Рутить внутри означает что один роутер анонсирует свои сети другому, а тот реанонсирует далее на хаб. При наличии альтернативного маршрута, выбор оптимального регулируется метриками, для OSPF это cost, для EIGRP это delay и bandwidth.
- несколько DMVPN с одного внешнего IP адреса, gerhard, 09:34 , 22-Сен-16 (6)
>[оверквотинг удален]
>> IP телефонии,которая стоит в другом городе.Соотвественно каждая циска(1841 и 1921) через
>> туннель по OSPF передает свою подсеть для маршрутизации.Далее соответственно поднимаются
>> телефоны в жтой подсети и связываются с колл центром,который стоит за
>> ХАБом
> эти ваши роутеры - они внутри одной организации? если так, то нужно
> дизайн сети пересмотреть. Тунели должны быть на границе вашей сети а
> не внутри ее.
> Рутить внутри означает что один роутер анонсирует свои сети другому, а тот
> реанонсирует далее на хаб. При наличии альтернативного маршрута, выбор оптимального регулируется
> метриками, для OSPF это cost, для EIGRP это delay и bandwidth. Да роутеры внутри одной организации.
К сожалению нет возможности переделать сеть по-другому.Во всяком случае сейчас.Я так понимаю,даже если я сделаю туннели не через DMVPN,то все равно будет вываливаться ошибка SA,о том что уже с данного внешнего адреса есть клиент.
- несколько DMVPN с одного внешнего IP адреса, ShyLion, 14:01 , 22-Сен-16 (7)
> если я сделаю туннели не через DMVPN,то все равно будет вываливаться
> ошибка SA,о том что уже с данного внешнего адреса есть клиент. В вашей схеме один тунель тупо лишний. Между цисками что за роутер?
- несколько DMVPN с одного внешнего IP адреса, gerhard, 15:51 , 22-Сен-16 (8)
>> если я сделаю туннели не через DMVPN,то все равно будет вываливаться
>> ошибка SA,о том что уже с данного внешнего адреса есть клиент.
> В вашей схеме один тунель тупо лишний. Между цисками что за роутер? Роутер asus rt66.Он не лишний,потому что если его не будет,тогда при разрыве связи с 1841,телефоны после 1921 работать не будут.
- несколько DMVPN с одного внешнего IP адреса, ShyLion, 09:56 , 23-Сен-16 (9)
>>> если я сделаю туннели не через DMVPN,то все равно будет вываливаться
>>> ошибка SA,о том что уже с данного внешнего адреса есть клиент.
>> В вашей схеме один тунель тупо лишний. Между цисками что за роутер?
> Роутер asus rt66.Он не лишний,потому что если его не будет,тогда при
> разрыве связи с 1841,телефоны после 1921 работать не будут.Из схемы непонятно, какое между ними расстояние и подключение, но если нет связи до 1841, то в любом случае не будут работать телефоны. Раз вы через него тунель пытаетесь сделать.
- несколько DMVPN с одного внешнего IP адреса, ShyLion, 10:01 , 23-Сен-16 (10)
>>> если я сделаю туннели не через DMVPN,то все равно будет вываливаться
>>> ошибка SA,о том что уже с данного внешнего адреса есть клиент.
>> В вашей схеме один тунель тупо лишний. Между цисками что за роутер?
> Роутер asus rt66.Он не лишний,потому что если его не будет,тогда при
> разрыве связи с 1841,телефоны после 1921 работать не будут.делается тунель от 1841 до центра через основной инет
делается тунель от 1921 до центра через 3Г
делается линк либо прямой либо опять-же просто статический тунель между 1841 и 1921 цена трафика через тунель 3Г делается "невыгодной" для всех, тогда он становится резервом.
В итоге у вас два внешних тунеля, которые всегда в "up", но траффик ходит через основной. на хабе нужно будет сделать еще один DMVPN хаб, если нельзя с другим IP, то хотябы с другим ID тунеля, чтобы цену назначть хуже чем у основного.
- несколько DMVPN с одного внешнего IP адреса, Кирилл, 11:45 , 26-Сен-16 (11)
>[оверквотинг удален]
> делается тунель от 1921 до центра через 3Г
> делается линк либо прямой либо опять-же просто статический тунель между 1841 и
> 1921
> цена трафика через тунель 3Г делается "невыгодной" для всех, тогда он становится
> резервом.
> В итоге у вас два внешних тунеля, которые всегда в "up", но
> траффик ходит через основной.
> на хабе нужно будет сделать еще один DMVPN хаб, если нельзя с
> другим IP, то хотябы с другим ID тунеля, чтобы цену назначть
> хуже чем у основного.Shylion, а можно с вами пообщаться не через сайт ? :)Желательно наверно голосом.Мой номер 89067311331
|
Версия для распечатки
