Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:43



Ответить на тему  [ Сообщений: 9 ] 
2 пары ASA 5505, 2 канала интернет, VPN 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 125
Господа, надеюсь на вашу помощь в разрешении сложной для меня задачи. На представленном рисунке показана топология сегмента сети выхода в интернет в офисе 1 и офисе 2

На 2811 в обоих офисах настроен IP SLA для мониторинга доступности каналов. Все работает, все замечательно, пользователи не замечают обрывов связи и спокойно лазают по инету. Теперь встала задача, с условиями:

1. Два офиса соеденить между собой VPN, чтобы пользователи могли друг до друга достучаться.
2. VPN необходимо построить максимально надежный и безопасный
3. VPN туннели необходимо связать между всеми ASA по топологии все со всеми, чтобы в случае выхода из строя железки или пропадания одного из каналов пользователи по-прежнему могли видеть друг друга, т.е. каждая ASA должна быть связана по VPN с двумя другими ASA на противоположной стороне.

Вопрос, как этого добиться малой кровью ? :)


Вложения:
VPN over INET.jpg
VPN over INET.jpg [ 45.72 КБ | Просмотров: 7188 ]
24 ноя 2010, 13:40
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
В ASA может существовать только 1 маршрут к сети/хосту.
Соответственно будет у тебя 2 VPN и 2 роут записи, но ASA будет отображать только 1 запись.


24 ноя 2010, 14:04
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
МНе кажется, что тут надо на каждой АСЕ прописать к соседним офисам в крипто-мапе по два
set peer

Если этого не хватит, то я бы на 2811х организовал бы GRE с проверкой живости и переключением между АСАми.

Это наброски, думать плотно некогда. Впрочем, может Серега siv подключится - почти задачка СЕ2010, только на АСАх :)


24 ноя 2010, 15:42
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Да, но на 2811 не сделать 4 туннеля, потому как нельзя указать 2 маршрута к 1 IP адресу.


24 ноя 2010, 16:01
Профиль

Зарегистрирован: 02 июн 2009, 14:42
Сообщения: 231
Чтобы сделать 4 gre туннеля можно создать по 4 Loopback интерфейса на маршрутизаторах, потом на маршрутизаторах правильно написать статические маршруты до tunnel destination адресов через асы (по 2 туннеля должно проходить через каждую асу). На асах уже разные gre туннели попадают под разные acl в crypto map - для того чтобы каждый из этих 2-х туннелей через асу уходил по IPsec на разные асы с другой стороны (в crypto map на разные peer адреса).

Надо пробовать, главное не запутаться, довольно рутинно получается. Поверх GRE туннелей нужно запустить протокол маршрутизации для балансировки нагрузки между внутренними сетками.

Кстати, на CiscoExpo я подобную задачку так и не выкинул в виду её рутинности...


25 ноя 2010, 02:07
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
коллеги, тут вроде речь не идет о столь модной в наших кругах балансировке :) Просто о надежности.
Поддерживаю Fedia: два set peer. Между асашками по айписеку можно OSPF поднять.


25 ноя 2010, 09:29
Профиль

Зарегистрирован: 02 июн 2009, 14:42
Сообщения: 231
2 set peer: это мы получим на выходе 2 IPsec туннеля работающих одновременно.

Тут просто нужно уточнить трактовку задачи:

"3. VPN туннели необходимо связать между всеми ASA по топологии все со всеми, чтобы в случае выхода из строя железки или пропадания одного из каналов пользователи по-прежнему могли видеть друг друга, т.е. каждая ASA должна быть связана по VPN с двумя другими ASA на противоположной стороне."

Должна ли каждая ASA иметь одновременную связь с двумя противоположными, или достаточно только с одной (но если что-то отваливается, то IPsec туннель перестраивается на оставшегося вживых соседа)?

Если условие только надёжность, то DPD и 2 пира - я согласен, лучшее решение. А если условие "все со всеми" тогда 4 GRE туннеля (для этого нужно на каждом из роутеров создать по 2 доп. loopback интерфейса).


25 ноя 2010, 13:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 125
siv писал(а):
2 set peer: это мы получим на выходе 2 IPsec туннеля работающих одновременно.

Тут просто нужно уточнить трактовку задачи:

"3. VPN туннели необходимо связать между всеми ASA по топологии все со всеми, чтобы в случае выхода из строя железки или пропадания одного из каналов пользователи по-прежнему могли видеть друг друга, т.е. каждая ASA должна быть связана по VPN с двумя другими ASA на противоположной стороне."

Должна ли каждая ASA иметь одновременную связь с двумя противоположными, или достаточно только с одной (но если что-то отваливается, то IPsec туннель перестраивается на оставшегося вживых соседа)?

Если условие только надёжность, то DPD и 2 пира - я согласен, лучшее решение. А если условие "все со всеми" тогда 4 GRE туннеля (для этого нужно на каждом из роутеров создать по 2 доп. loopback интерфейса).


Главный критерий - это надежность. Необходимо сделать так, чтобы падение одного из каналов в каждом офисе + выход из строя одной из АСА в каждом офисе не сказывалось на доступности узлов...

Что все-таки лучше предпринять (технологии) в построении такой схемы ?


25 ноя 2010, 16:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Так siv ответил уже:
Если условие только надёжность, то DPD и 2 пира - я согласен, лучшее решение. А если условие "все со всеми" тогда 4 GRE туннеля (для этого нужно на каждом из роутеров создать по 2 доп. loopback интерфейса).

Чтобы сделать 4 gre туннеля можно создать по 4 Loopback интерфейса на маршрутизаторах, потом на маршрутизаторах правильно написать статические маршруты до tunnel destination адресов через асы (по 2 туннеля должно проходить через каждую асу). На асах уже разные gre туннели попадают под разные acl в crypto map - для того чтобы каждый из этих 2-х туннелей через асу уходил по IPsec на разные асы с другой стороны (в crypto map на разные peer адреса).

Надо пробовать, главное не запутаться, довольно рутинно получается. Поверх GRE туннелей нужно запустить протокол маршрутизации для балансировки нагрузки между внутренними сетками.


25 ноя 2010, 17:57
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB