forum.opennet.ru - "2 ASA + 1 router" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"2 ASA + 1 router"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"2 ASA + 1 router"	+/–
Сообщение от sergeyf (??) on 08-Июн-11, 12:08
В ГО есть 2 АСЫ каждый из которых подключен к нету через разных провайдеров. Есть филиалы для организации ipsec с обоими цисками. Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали связь с 1 ой маршруткой а половина со второй. Но когда пропадает связь на одном из провайдеров, автопереключение на первую или вторую АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для подключения. А вот на стороне ГО как бы организовать все это?
Ответить \| Правка \| Cообщить модератору

Оглавление

2 ASA + 1 router, Pve1, 12:18 , 08-Июн-11, (1)

2 ASA + 1 router, sergeyf, 13:15 , 08-Июн-11, (2)

2 ASA + 1 router, sergeyf, 12:43 , 21-Июн-11, (3)

2 ASA + 1 router, Николай_kv, 13:04 , 21-Июн-11, (4)

2 ASA + 1 router, sergeyf, 13:13 , 21-Июн-11, (5)

2 ASA + 1 router, Pve1, 13:25 , 21-Июн-11, (6)

2 ASA + 1 router, Pve1, 14:09 , 21-Июн-11, (7)

2 ASA + 1 router, sergeyf, 14:19 , 21-Июн-11, (8)

2 ASA + 1 router, Pve1, 17:13 , 21-Июн-11, (9)

2 ASA + 1 router, Николай_kv, 17:51 , 21-Июн-11, (10)

2 ASA + 1 router, Pve1, 18:29 , 21-Июн-11, (11)
2 ASA + 1 router, sergeyf, 08:43 , 22-Июн-11, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "2 ASA + 1 router" +/–

Сообщение от Pve1 (ok) on 08-Июн-11, 12:18

> В ГО есть 2 АСЫ каждый из которых подключен к нету через
> разных провайдеров.
> Есть филиалы для организации ipsec с обоими цисками.
> Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали
> связь с 1 ой маршруткой а половина со второй. Но когда
> пропадает связь на одном из провайдеров, автопереключение на первую или вторую
> АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для
> подключения.
> А вот на стороне ГО как бы организовать все это?
В криптомапе можно указать адрес пира. и адрес бэкап пира.
Соответсвенно у половины филиалов  -  один адрес основной. У 2-й половины - другой.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "2 ASA + 1 router" +/–

Сообщение от sergeyf (??) on 08-Июн-11, 13:15

>[оверквотинг удален]
>> Есть филиалы для организации ipsec с обоими цисками.
>> Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали
>> связь с 1 ой маршруткой а половина со второй. Но когда
>> пропадает связь на одном из провайдеров, автопереключение на первую или вторую
>> АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для
>> подключения.
>> А вот на стороне ГО как бы организовать все это?
> В криптомапе можно указать адрес пира. и адрес бэкап пира.
> Соответсвенно у половины филиалов  -  один адрес основной. У 2-й
> половины - другой.
с филиалами проблем нет я так и сделал.
А вот как насчет ГО? Как сервера могут определить по какой маршрутке надо искать требуемый удаленный хост?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "2 ASA + 1 router" +/–

Сообщение от sergeyf (??) on 21-Июн-11, 12:43

Есть кто может помочь?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "2 ASA + 1 router" +/–

Сообщение от Николай_kv on 21-Июн-11, 13:04

> Есть кто может помочь?
Еслу у вас Изи ВПН то можно на стороне филиала прописать в
crypto ipsec client ezvpn
peer 77.222.129.114 default
peer 88.81.253.2 ! а этот как бекап
а вообще вариантов не густо.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "2 ASA + 1 router" +/–

Сообщение от sergeyf (??) on 21-Июн-11, 13:13

>> Есть кто может помочь?
> Еслу у вас Изи ВПН то можно на стороне филиала прописать в
> crypto ipsec client ezvpn
>  peer 77.222.129.114 default
>  peer 88.81.253.2 ! а этот как бекап
> а вообще вариантов не густо.
повторяю, на стороне клиента проблем нет, надо лишь прописать оба айпишника, только поменять очередность, в зависимости от подключения.
мне нужна реализация на стороне ГО, т.е. 2 АСЫ должны разруливаться маршруткой.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "2 ASA + 1 router" +/–

Сообщение от Pve1 (ok) on 21-Июн-11, 13:25

>>> Есть кто может помочь?
>> Еслу у вас Изи ВПН то можно на стороне филиала прописать в
>> crypto ipsec client ezvpn
>>  peer 77.222.129.114 default
>>  peer 88.81.253.2 ! а этот как бекап
>> а вообще вариантов не густо.
> повторяю, на стороне клиента проблем нет, надо лишь прописать оба айпишника, только
> поменять очередность, в зависимости от подключения.
> мне нужна реализация на стороне ГО, т.е. 2 АСЫ должны разруливаться маршруткой.
На сколько знаю, ASA-ы умеют друг с другом дружить по OSPF через IPSec тунель, если явно указать нейборов.  Наверное так)
Либо хитро настроить на ASA статические маршруты с sla tracing - и динамически редистрибуцировать их в ГО. Например сделать ip sla трекинг внешнего адреса рутера филиала - и привязать к статическому маршруту этот трекинг.
PS Рутеры и DMVPN рулят)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "2 ASA + 1 router" +/–

Сообщение от Pve1 (ok) on 21-Июн-11, 14:09

А еще по идее функционал revers route позволяет отображать в таблице маршрутизации маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "2 ASA + 1 router" +/–

Сообщение от sergeyf (??) on 21-Июн-11, 14:19

> А еще по идее функционал revers route позволяет отображать в таблице маршрутизации
> маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.
спасибо за отзыва, а если связь пропадет на одном из каналов, тогда удаленный сервер запомнит путь полученный с первой маршрутки ГО и не захочет ходить через вторую маршрутку?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "2 ASA + 1 router" +/–

Сообщение от Pve1 (ok) on 21-Июн-11, 17:13

>> А еще по идее функционал revers route позволяет отображать в таблице маршрутизации
>> маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.
> спасибо за отзыва, а если связь пропадет на одном из каналов, тогда
> удаленный сервер запомнит путь полученный с первой маршрутки ГО и не
> захочет ходить через вторую маршрутку?
Причем тут сервер?
Если у вас между серверами/юзерами есть L3 устройство(например маршрутизирующий коммутатор), которое является шлюзом для них - на него надо редистрибуцировать статические маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте шлюз на серверах вручную))   Либо на них OSPF поднимайте)))) винда умеет, никсы само собой. Но думаю понятно, что это не правильно:)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "2 ASA + 1 router" +/–

Сообщение от Николай_kv on 21-Июн-11, 17:51

>[оверквотинг удален]
>> удаленный сервер запомнит путь полученный с первой маршрутки ГО и не
>> захочет ходить через вторую маршрутку?
> Причем тут сервер?
> Если у вас между серверами/юзерами есть L3 устройство(например маршрутизирующий коммутатор),
> которое является шлюзом для них - на него надо редистрибуцировать статические
> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте
> шлюз на серверах вручную))   Либо на них OSPF поднимайте))))
> винда умеет, никсы само собой. Но думаю понятно, что это не
> правильно:)
В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут о удаленном бранче (revers route) и чудненко анонсит его - пока руками не прибъеш сессию маршрутная таблица не почиститься.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "2 ASA + 1 router" +/–

Сообщение от Pve1 (ok) on 21-Июн-11, 18:29

>[оверквотинг удален]
>> которое является шлюзом для них - на него надо редистрибуцировать статические
>> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
>> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте
>> шлюз на серверах вручную))   Либо на них OSPF поднимайте))))
>> винда умеет, никсы само собой. Но думаю понятно, что это не
>> правильно:)
> В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции
> revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут
> о удаленном бранче (revers route) и чудненко анонсит его - пока
> руками не прибъеш сессию маршрутная таблица не почиститься.
Тогда проуйте ко всему этому прикрутить sla - других вариантов придумать не могу.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "2 ASA + 1 router" +/–

Сообщение от sergeyf (??) on 22-Июн-11, 08:43

Так с серверами также я подозреваю и будет, он один раз взял маршрут с главной маршрутки, и запомнил его. Так и будет помнить если даже связь пойдет по другой АСЕ.
>[оверквотинг удален]
>> которое является шлюзом для них - на него надо редистрибуцировать статические
>> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP)
>> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте
>> шлюз на серверах вручную))   Либо на них OSPF поднимайте))))
>> винда умеет, никсы само собой. Но думаю понятно, что это не
>> правильно:)
> В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции
> revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут
> о удаленном бранче (revers route) и чудненко анонсит его - пока
> руками не прибъеш сессию маршрутная таблица не почиститься.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "2 ASA + 1 router"	+/–
Сообщение от Pve1 (ok) on 08-Июн-11, 12:18
> В ГО есть 2 АСЫ каждый из которых подключен к нету через > разных провайдеров. > Есть филиалы для организации ipsec с обоими цисками. > Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали > связь с 1 ой маршруткой а половина со второй. Но когда > пропадает связь на одном из провайдеров, автопереключение на первую или вторую > АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для > подключения. > А вот на стороне ГО как бы организовать все это? В криптомапе можно указать адрес пира. и адрес бэкап пира. Соответсвенно у половины филиалов - один адрес основной. У 2-й половины - другой.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "2 ASA + 1 router"	+/–
	Сообщение от sergeyf (??) on 08-Июн-11, 13:15
	>[оверквотинг удален] >> Есть филиалы для организации ipsec с обоими цисками. >> Необходимо организовать подключение таким образом чтобы половина филиалов устанавливали >> связь с 1 ой маршруткой а половина со второй. Но когда >> пропадает связь на одном из провайдеров, автопереключение на первую или вторую >> АСУ. На стороне филиалов это организовано путем перечисления айпи ГО для >> подключения. >> А вот на стороне ГО как бы организовать все это? > В криптомапе можно указать адрес пира. и адрес бэкап пира. > Соответсвенно у половины филиалов - один адрес основной. У 2-й > половины - другой. с филиалами проблем нет я так и сделал. А вот как насчет ГО? Как сервера могут определить по какой маршрутке надо искать требуемый удаленный хост?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "2 ASA + 1 router"	+/–
	Сообщение от sergeyf (??) on 21-Июн-11, 12:43
	Есть кто может помочь?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "2 ASA + 1 router"	+/–
	Сообщение от Николай_kv on 21-Июн-11, 13:04
	> Есть кто может помочь? Еслу у вас Изи ВПН то можно на стороне филиала прописать в crypto ipsec client ezvpn peer 77.222.129.114 default peer 88.81.253.2 ! а этот как бекап а вообще вариантов не густо.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "2 ASA + 1 router"	+/–
	Сообщение от sergeyf (??) on 21-Июн-11, 13:13
	>> Есть кто может помочь? > Еслу у вас Изи ВПН то можно на стороне филиала прописать в > crypto ipsec client ezvpn > peer 77.222.129.114 default > peer 88.81.253.2 ! а этот как бекап > а вообще вариантов не густо. повторяю, на стороне клиента проблем нет, надо лишь прописать оба айпишника, только поменять очередность, в зависимости от подключения. мне нужна реализация на стороне ГО, т.е. 2 АСЫ должны разруливаться маршруткой.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "2 ASA + 1 router"	+/–
	Сообщение от Pve1 (ok) on 21-Июн-11, 13:25
	>>> Есть кто может помочь? >> Еслу у вас Изи ВПН то можно на стороне филиала прописать в >> crypto ipsec client ezvpn >> peer 77.222.129.114 default >> peer 88.81.253.2 ! а этот как бекап >> а вообще вариантов не густо. > повторяю, на стороне клиента проблем нет, надо лишь прописать оба айпишника, только > поменять очередность, в зависимости от подключения. > мне нужна реализация на стороне ГО, т.е. 2 АСЫ должны разруливаться маршруткой. На сколько знаю, ASA-ы умеют друг с другом дружить по OSPF через IPSec тунель, если явно указать нейборов. Наверное так) Либо хитро настроить на ASA статические маршруты с sla tracing - и динамически редистрибуцировать их в ГО. Например сделать ip sla трекинг внешнего адреса рутера филиала - и привязать к статическому маршруту этот трекинг. PS Рутеры и DMVPN рулят)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "2 ASA + 1 router"	+/–
	Сообщение от Pve1 (ok) on 21-Июн-11, 14:09
	А еще по идее функционал revers route позволяет отображать в таблице маршрутизации маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "2 ASA + 1 router"	+/–
	Сообщение от sergeyf (??) on 21-Июн-11, 14:19
	> А еще по идее функционал revers route позволяет отображать в таблице маршрутизации > маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические. спасибо за отзыва, а если связь пропадет на одном из каналов, тогда удаленный сервер запомнит путь полученный с первой маршрутки ГО и не захочет ходить через вторую маршрутку?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "2 ASA + 1 router"	+/–
	Сообщение от Pve1 (ok) on 21-Июн-11, 17:13
	>> А еще по идее функционал revers route позволяет отображать в таблице маршрутизации >> маршруты удаленных офисов, находищихся за тунелем. Их можно редистрибуцировать как статические. > спасибо за отзыва, а если связь пропадет на одном из каналов, тогда > удаленный сервер запомнит путь полученный с первой маршрутки ГО и не > захочет ходить через вторую маршрутку? Причем тут сервер? Если у вас между серверами/юзерами есть L3 устройство(например маршрутизирующий коммутатор), которое является шлюзом для них - на него надо редистрибуцировать статические маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP) Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте шлюз на серверах вручную)) Либо на них OSPF поднимайте)))) винда умеет, никсы само собой. Но думаю понятно, что это не правильно:)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "2 ASA + 1 router"	+/–
	Сообщение от Николай_kv on 21-Июн-11, 17:51
	>[оверквотинг удален] >> удаленный сервер запомнит путь полученный с первой маршрутки ГО и не >> захочет ходить через вторую маршрутку? > Причем тут сервер? > Если у вас между серверами/юзерами есть L3 устройство(например маршрутизирующий коммутатор), > которое является шлюзом для них - на него надо редистрибуцировать статические > маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP) > Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте > шлюз на серверах вручную)) Либо на них OSPF поднимайте)))) > винда умеет, никсы само собой. Но думаю понятно, что это не > правильно:) В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут о удаленном бранче (revers route) и чудненко анонсит его - пока руками не прибъеш сессию маршрутная таблица не почиститься.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "2 ASA + 1 router"	+/–
	Сообщение от Pve1 (ok) on 21-Июн-11, 18:29
	>[оверквотинг удален] >> которое является шлюзом для них - на него надо редистрибуцировать статические >> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP) >> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте >> шлюз на серверах вручную)) Либо на них OSPF поднимайте)))) >> винда умеет, никсы само собой. Но думаю понятно, что это не >> правильно:) > В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции > revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут > о удаленном бранче (revers route) и чудненко анонсит его - пока > руками не прибъеш сессию маршрутная таблица не почиститься. Тогда проуйте ко всему этому прикрутить sla - других вариантов придумать не могу.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "2 ASA + 1 router"	+/–
	Сообщение от sergeyf (??) on 22-Июн-11, 08:43
	Так с серверами также я подозреваю и будет, он один раз взял маршрут с главной маршрутки, и запомнил его. Так и будет помнить если даже связь пойдет по другой АСЕ. >[оверквотинг удален] >> которое является шлюзом для них - на него надо редистрибуцировать статические >> маршруты ASA мотодом динамической маршрутизции (OSPF/EIGRP) >> Если для серверов/юзеров ASA-ы являются дефолтным шлюзом - как бы ой))) переписывайте >> шлюз на серверах вручную)) Либо на них OSPF поднимайте)))) >> винда умеет, никсы само собой. Но думаю понятно, что это не >> правильно:) > В ASA есть затык который конкретно портит всю карину. Косяк при редистрибьюции > revers route + когда отваливаеться ВПН клиент АСА держит мертвый маршрут > о удаленном бранче (revers route) и чудненко анонсит его - пока > руками не прибъеш сессию маршрутная таблица не почиститься.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору