Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:52



Ответить на тему  [ Сообщений: 4 ] 
DMVPN+2 ISP на одном хабе 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Доброго дня.
Увидел в инете статью, человек там описывает способ подключения с одним хабом и двумя провайдерами. Прошу глянуть, рабочая ли там схема, дабы применять ее на реальном железе. Что смущает - отсутствие ip vrf. У меня офис и филиал на роутерах, между ними туннель dmvpn, в офисе два провайдера, в филиале один. Цель - реализовать отказоустойчивую схему резервирования. Вот цитата из статьи

For the most cases hub will have 2 ISP providers. We gonna configure tunnel for each of them

HUB configuration

crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2

crypto keyring keyr-ISP1
local-address INTERFACE1
pre-shared-key address 0.0.0.0 0.0.0.0 key PSK-ISP1
crypto keyring keyr-ISP2
local-address INTERFACE2
pre-shared-key address 0.0.0.0 0.0.0.0 key PSK-ISP2


crypto isakmp profile isakmp-ISP1
keyring keyr-ISP1
match identity address 0.0.0.0
local-address INTERFACE1
crypto isakmp profile isakmp-ISP2
keyring keyr-ISP2
match identity address 0.0.0.0
local-address INTERFACE2


crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode transport

crypto ipsec profile ipsec-ISP1-3des
set transform-set 3DES-MD5
set isakmp-profile isakmp-ISP1
crypto ipsec profile ipsec-ISP2-3des
set transform-set 3DES-MD5
set isakmp-profile isakmp-ISP2



interface Tunnel1
description ISP1
bandwidth 100000
ip address 10.1.0.1 255.255.255.0
no ip redirects
ip mtu 1430
ip nhrp authentication ISP1
ip nhrp map multicast dynamic
ip nhrp network-id 2
ip virtual-reassembly
ip tcp adjust-mss 1360
tunnel source INTERFACE1
tunnel mode gre multipoint
tunnel key 1
tunnel path-mtu-discovery
tunnel protection ipsec profile ipsec-ISP1-3des

interface Tunnel2
description ISP2
bandwidth 100000
ip address 10.1.1.1 255.255.255.0
no ip redirects
ip mtu 1430
ip nhrp authentication ISP2
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip virtual-reassembly
ip tcp adjust-mss 1360
tunnel source INTERFACE2
tunnel mode gre multipoint
tunnel key 2
tunnel path-mtu-discovery
tunnel protection ipsec profile ipsec-ISP2-3des
and Spoke config, considering that Spoke has only one ISP connection:

crypto keyring keyr-ISP1
local-address INTERFACE1
pre-shared-key address 0.0.0.0 0.0.0.0 key PSK-ISP1
crypto keyring keyr-ISP2
local-address INTERFACE2
pre-shared-key address 0.0.0.0 0.0.0.0 key PSK-ISP1

crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp profile isakmp-ISP1
keyring keyr-ISP1
match identity address 0.0.0.0
local-address INTERFACE1
crypto isakmp profile isakmp-ISP2
keyring keyr-ISP2
match identity address 0.0.0.0
local-address INTERFACE2


crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode transport

crypto ipsec profile ipsec-ISP1-3des
set transform-set 3DES-MD5
set isakmp-profile isakmp-ISP1
crypto ipsec profile ipsec-ISP2-3des
set transform-set 3DES-MD5
set isakmp-profile isakmp-ISP2


interface Tunnel1
description dst-isp1
bandwidth 100000
ip address 10.1.0.15 255.255.255.0
ip nhrp authentication ISP1
ip nhrp map 10.1.0.1 NHRP-SERVER1
ip nhrp map multicast NHRP-SERVER1
ip nhrp network-id 1
ip nhrp holdtime 60
ip nhrp nhs 10.1.0.1
ip nhrp registration timeout 30
tunnel source INTERFACE1
tunnel destination NHRP-SERVER1
tunnel key 1
tunnel path-mtu-discovery
tunnel protection ipsec profile ipsec-ISP1-3des
!
interface Tunnel2
description dst-isp2
bandwidth 100000
ip address 10.1.1.15 255.255.255.0
ip nhrp authentication ISP2
ip nhrp map 10.1.1.1 NHRP-SERVER2
ip nhrp map multicast NHRP-SERVER2
ip nhrp network-id 2
ip nhrp holdtime 60
ip nhrp nhs 10.1.1.1
ip nhrp registration timeout 30
tunnel source INTERFACE1
tunnel destination NHRP-SERVER1
tunnel key 2
tunnel path-mtu-discovery
tunnel protection ipsec profile ipsec-ISP2-3des


30 янв 2019, 15:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Работать будет, тк 99% провайдеров не фильтруют тот мусор что им присылают клиенты.
А чел наверняка и не заметил что весь исходящий трафик dmvpn идет через один канал.


30 янв 2019, 20:22
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
пока жив первый провайдер идет по нему, как умер первый, то переключилось на второго.


31 янв 2019, 07:14
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
И всё-таки для полного счастья надо бы использовать vrf. Я примерно так и думал, благодарю всех ответивших.


31 янв 2019, 09:44
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 54


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB