форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"нужна помощь в настройке 1841 VPN"	+/–
Сообщение от digten (ok) on 07-Дек-10, 12:28
Схемка  http://dl.dropbox.com/u/937235/schel.jpg Имеем: Офис Москва (Два провайдера, основной и резервный и Isa 2006) 1)    Cisco 1841 – шлюз по умолчанию (установлен доп. четырех портовый модуль) - F0/0 – Основной провайдер ISP1 (ip 1.1.1.2/29 GW 1.1.1.1) - F0/1 – Резервный провайдер ISP2 (ip 2.2.2.1/29 GW 2.2.2.1) - F0/0/0 – Внутр. Сеть LAN (192.168.10.1/24) - F0/0/1 – ISA 2006 (192.168.10.2/24) Офис  Санкт-Петербург (Два провайдера, основной и резервный) 2)    Cisco 1841 (установлен доп. четырех портовый модуль) - F0/0 – Основной провайдер ISP1 (ip 3.3.3.2/29 GW 3.3.3.1) - F0/1 – Резервный провайдер ISP2 (ip 4.4.4.1/29 GW 4.4.4.1) - F0/0/0 – Внутр. Сеть LAN (192.168.11.1/24) Склад 3)    Dlink DFL -210 -    один повайдер (5.5.5.2/29 gw5.5.5.1) Задача: Зарезервировать каналы связи поднять VPN (не DMVPN т.к. в дальнейшем будет еще несколько офисов не поддерживающих DMVPN), настроить маршрутизацию на CISCO, чтобы клиентские машины выходили в интернет через ISA. Все что снаружи по умолчанию перенаправлялось на ISA сервер. Что сделано: Настроил резервирование IP SLA, поднял туннели IPSEC, но резервирование не срабатывает, если в два офиса остались без основного канала, тоесть резерв-резев vpn не поднимается, в остальных сценариях vpn восстанавливается. Нужна помощь в оценке работоспособности данной схемы и помощь в конфигурировании. Вот текущий конфиг: crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key ~!xxxxx address 3.3.3.2 crypto isakmp key ~!xxxxx address 4.4.4.2 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map MYMAP 1 ipsec-isakmp description TO_SPB set peer 3.3.3.2 default set peer 4.4.4.2 set transform-set ESP-3DES-SHA match address 101 ! ! ! ! track 11 ip sla 1 reachability ! ! ! interface FastEthernet0/0 description ISP1 ip address 1.1.1.1 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map MYMAP ! interface FastEthernet0/1 description ISP2 ip address 2.2.2.2 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map MYMAP ! interface FastEthernet0/0/0 description LAN switchport access vlan 10 vlan-id dot1q 10   exit-vlan-config ! ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Vlan10 ip address 192.168.10.1 255.255.254.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 11 ip route 0.0.0.0 0.0.0.0 2.2.2.2 50 ip http server no ip http secure-server ! ! ip nat inside source route-map via-ISP1 interface FastEthernet0/0 overload ip nat inside source route-map via-ISP2 interface FastEthernet0/1 overload ! ip sla 1 icmp-jitter 1.1.1.1 source-ip 1.1.1.2 num-packets 5 ip sla schedule 1 life forever start-time now access-list 100 deny   ip 192.168.10.0 0.0.1.255 192.168.11.0 0.0.1.255 access-list 100 permit ip 192.168.10.0 0.0.1.255 any access-list 101 permit ip 192.168.10.0 0.0.1.255 192.168.11.0 0.0.1.255 ! ! ! route-map via-ISP1 permit 10 match ip address 100 match interface FastEthernet0/0 ! route-map via-ISP2 permit 10 match ip address 100 match interface FastEthernet0/1 ! ! ! control-plane ! scheduler allocate 20000 1000 event manager applet SWITCHED_20 event track 11 state any action 1.0 cli command "enable" action 2.0 cli command "clear ip nat trans forced" ! end
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "нужна помощь в настройке 1841 VPN"	+/–
Сообщение от Semop (ok) on 07-Дек-10, 12:54
>[оверквотинг удален] > ! > control-plane > ! > scheduler allocate 20000 1000 > event manager applet SWITCHED_20 >  event track 11 state any >  action 1.0 cli command "enable" >  action 2.0 cli command "clear ip nat trans forced" > ! > end при таком конфиге, если отваливается один из каналов (например 1.1.1.0/29 в Мск), то Москва(2.2.2.2) видит Питер(3.3.3.2 / 4.4.4.2)?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "нужна помощь в настройке 1841 VPN"	+/–
	Сообщение от digten (ok) on 07-Дек-10, 12:57
	>[оверквотинг удален] >> ! >> scheduler allocate 20000 1000 >> event manager applet SWITCHED_20 >>  event track 11 state any >>  action 1.0 cli command "enable" >>  action 2.0 cli command "clear ip nat trans forced" >> ! >> end > при таком конфиге, если отваливается один из каналов (например 1.1.1.0/29 в Мск), > то Москва(2.2.2.2) видит Питер(3.3.3.2 / 4.4.4.2)? Да!!! не работает только в случае если Москва и Питер работают на резерве
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "нужна помощь в настройке 1841 VPN"	+/–
	Сообщение от Semop (ok) on 07-Дек-10, 13:08
	> Да!!! не работает только в случае если Москва и Питер работают на > резерве Тогда еще вопрос. Если отвалится 1.1.1.0/29 (Мск) и 3.3.3.0/29 (Питер) - то резервы 2.2.2.0/29(Мск) и 4.4.4.0/29(Питер) не видят друг друга? Я правильно тебя понял?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "нужна помощь в настройке 1841 VPN"	+/–
	Сообщение от digten (ok) on 07-Дек-10, 13:30
	>> Да!!! не работает только в случае если Москва и Питер работают на >> резерве > Тогда еще вопрос. > Если отвалится 1.1.1.0/29 (Мск) и 3.3.3.0/29 (Питер) - то резервы 2.2.2.0/29(Мск) и > 4.4.4.0/29(Питер) не видят друг друга? > Я правильно тебя понял? Да
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "нужна помощь в настройке 1841 VPN"	+/–
	Сообщение от Semop (ok) on 07-Дек-10, 13:37
	>> Тогда еще вопрос. >> Если отвалится 1.1.1.0/29 (Мск) и 3.3.3.0/29 (Питер) - то резервы 2.2.2.0/29(Мск) и >> 4.4.4.0/29(Питер) не видят друг друга? >> Я правильно тебя понял? > Да ну если оно так то: Видишь у тебя : > ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 11 > ip route 0.0.0.0 0.0.0.0 2.2.2.2 50 Подозреваю эти метрики, которые стоят за forwarding адресом 1.1.1.1 или 2.2.2.2 вообще не отрабатывают. Минус статики в твоем случае в том, что возможно если отвалится forwarding адрес, то циска не увидит его падение. Маршрут будет мертвым (логически), но цыска не будет об этом знать. Попробуй указать так: ip route 0.0.0.0 0.0.0.0 fa0/0.100 1.1.1.1 track 11 ip route 0.0.0.0 0.0.0.0 fa0/0.200 2.2.2.2 50 т.е. перед IP forwarding адреса укажи интерфейс по которому он ходит (fa0/0.100 и 200 - это пример). НО тоже не то это будет, т.к. статика отваливается при падении протокола интрефейса. А он у тебя (fa0/0.200 например) даже если канал падает - будет в UP. И статика с большей метрикой не отработает.(отработает если L2 отвалится или порт упадет, а если у прова что-то - то нет) Мне кажется надо настраивать какой-нибудь протокол динамической маршрутизации. Статика тут не разрулит мне кажется. Ну по крайней мере я пока не представляю как, может и можно как то.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "нужна помощь в настройке 1841 VPN"	+/–
	Сообщение от Semop (ok) on 07-Дек-10, 16:38
	>[оверквотинг удален] > т.е. перед IP forwarding адреса укажи интерфейс по которому он ходит (fa0/0.100 > и 200 - это пример). > НО тоже не то это будет, т.к. статика отваливается при падении протокола > интрефейса. А он у тебя (fa0/0.200 например) даже если канал падает > - будет в UP. И статика с большей метрикой не отработает.(отработает > если L2 отвалится или порт упадет, а если у прова что-то > - то нет) > Мне кажется надо настраивать какой-нибудь протокол динамической маршрутизации. Статика > тут не разрулит мне кажется. Ну по крайней мере я пока > не представляю как, может и можно как то. прошу прощения track увидел. Кстати возможно и поэтому, смотря как настроен : icmp-echo или icmp-jitter
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "нужна помощь в настройке 1841 VPN"	+/–
	Сообщение от digten (ok) on 07-Дек-10, 18:15
	>[оверквотинг удален] >> НО тоже не то это будет, т.к. статика отваливается при падении протокола >> интрефейса. А он у тебя (fa0/0.200 например) даже если канал падает >> - будет в UP. И статика с большей метрикой не отработает.(отработает >> если L2 отвалится или порт упадет, а если у прова что-то >> - то нет) >> Мне кажется надо настраивать какой-нибудь протокол динамической маршрутизации. Статика >> тут не разрулит мне кажется. Ну по крайней мере я пока >> не представляю как, может и можно как то. > прошу прощения track увидел. > Кстати возможно и поэтому, смотря как настроен : icmp-echo или icmp-jitter icmp-jitter есть в приведеном конфиге, мне кажется все дело в строчке set peer 3.3.3.1 default - именно адрес поумолчанию, один из двух должен быть активен, может используя event менять основной канал на резервный поуиолчанию.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема