Anticisco http://www.anticisco.ru/forum/ |
|
Резервирование туннелей до spoke без DMVPN/FlexVPN http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11138 |
Страница 1 из 1 |
Автор: | Silent_D [ 09 окт 2019, 17:01 ] |
Заголовок сообщения: | Резервирование туннелей до spoke без DMVPN/FlexVPN |
Добрый день! Поделитесь соображениями, pls, по вопросу резервирования туннелей от hub до spoke. Что есть: Один hub (2821, с планами на апгрейд), один провайдер. Несколько spoke, ну 3-5, не десятки. Железки разные, 800, 1100, etc. Там тоже по одному провайдеру. Static IPSec VTI. За ними в spoke по паре сетей, data и voice. Трафика не много. Что хочется: Добавить второго провайдера на spokes, по Ethernet, через отдельную коробочку LTE. Паблик IP адреса там, соответственно, будут динамические и через провайдерский NAT. Причем не колхозить с переключением по трекеру, а сделать два постоянных канала через VRF. И сделать резервирование туннелей через маршрутизацию, EIGRP. Наземный - основной, LTE - резервный. Категорически не хочется ради трех точек городить DMVPN/FlexVPN, IKEv2, mGRE, NHRP, iBGP, etc. В общем идея понятна, но есть нюансы. 1. Ничего не мешает сделать на hub-е руками еще несколько туннелей SVTI. Но непонятно, как они будут разбирать где какой при динамических адресах на spokes. 2. Можно сделать DVTI через Virtual-Template, но тогда адреса в туннелях будут Unnumbered. А, насколько я помню, протоколы динамической маршрутизации это очень не любят. Или технология уже шагнула далеко вперед и это не проблема? 3. Есть еще вариант добавлять маршруты на hub-е через RRI. Но не очень понятно, откуда этот маршрут будет браться? Из IKE Identity на spoke? А если там несколько сетей? Если кто-то решал похожую задачу, поделитесь примерчиком, pls. _http://dreamcatcher.ru/2009/12/02/Статические-и-динамические-виртуаль/ |
Автор: | root99 [ 09 окт 2019, 21:15 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
https://www.ciscolive.com/c/dam/r/cisco ... C-2881.pdf https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf https://www.ciscolive.com/c/dam/r/cisco ... T-2570.pdf |
Автор: | AlexDv [ 10 окт 2019, 15:26 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
Silent_D писал(а): Добрый день! Поделитесь соображениями, pls, по вопросу резервирования туннелей от hub до spoke. Что есть: Один hub (2821, с планами на апгрейд), один провайдер. Несколько spoke, ну 3-5, не десятки. Железки разные, 800, 1100, etc. Там тоже по одному провайдеру. Static IPSec VTI. За ними в spoke по паре сетей, data и voice. Трафика не много. / Пользуюсь для этой цели floating static route, правда основные каналы выделенные, L2, L3, а резервные через интернет. Фича древняя, работает как из пушки. |
Автор: | Silent_D [ 10 окт 2019, 16:55 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
AlexDv писал(а): Пользуюсь для этой цели floating static route Для какой "для этой"? Что-то я себе плохо представляю как задавать статические маршруты для динамических интерфейсов. |
Автор: | Silent_D [ 10 окт 2019, 22:05 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
root99 писал(а): _https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKSEC-2881.pdf _https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2019/pdf/BRKSEC-3054.pdf _https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2019/pdf/LTRIOT-2570.pdf Интересные презентации, спасибо! FlexVPN IKEv2 штука модная и правильная. Но вот только на ISR G1 ее вроде как нет. Правда там заявлена обратная совместимость с VTI и даже с crypto-map-ами. Так что бубен побольше и нужно пробовать. |
Автор: | root99 [ 10 окт 2019, 23:17 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
Silent_D Значит успел качнуть до падении цицки - уже 8 часов все сервисы лежат.... На ISRg1 много чего нет - тем более стоит поменять на что-нибудь новенькое.... |
Автор: | Silent_D [ 11 окт 2019, 17:45 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
root99 Да вроде сейчас все работает, я там еще несколько интересных материалов по этой теме нашел. А так там масса всего на разные темы с удобным поиском. Cisco Live - On-Demand Library https://www.ciscolive.com/global/on-demand-library.html Требует регистрации, но она free. |
Автор: | root99 [ 11 окт 2019, 17:47 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
если есть цицко акк - то авторизация через него происходит - да материалов там валом.... |
Автор: | Silent_D [ 27 окт 2019, 06:30 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
Т.к. почти никто не снизошел до ответов, то расскажу сам. 1. Идентификацию spoke на динамических адресах можно сделать через hostname (FQDN), который можно задать любой руками. И привязать нужный spoke к нужному tunnel int через isakmp profiles (match identity). Единственное что, без указания tunnel destination не создается ipsec sa. Скорее всего это заработает с tunnel destination dynamic, но на 2800 в старом IOS такой фичи нет. Поэтому туннели через LTE на хабе пришлось делать через Virtual-Template. Cisco IOS IKEv1 VPN with Dynamic VTI with Pre-shared Keys https://grumpy-networkers-journal.readt ... C_VTI.html 2. EIGRP без проблем завелся на unnumbered интерфейсах. На отдельной AS, чтобы не дергать постоянно основную. LTE-шный tunnel завелся на отдельном VRF. Это оказалось не так сложно, как казалось. Вот хороший пример, только iVRF можно не использовать и оставить внутренние сети в global: VRF-aware IPSec cheat sheet https://community.cisco.com/t5/security ... -p/3109449 Ну и на развитие - хорошая дока по IKEv2 и FlexVPN. Configuring Internet Key Exchange Version 2 (IKEv2) and FlexVPN Site-to-Site https://www.cisco.com/en/US/docs/ios-xm ... -flex.html |
Автор: | Silent_D [ 28 окт 2019, 06:45 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
И еще тонкий момент, относительно резервирования каналов и EIGRP. По непонятной причине статические Tunnel интерфейсы имеют по умолчанию Bandwidth 100 Kbit, а создаваемые динамические Virtual-Access - BW 100000 Kbit/sec. Delay у обоих одинаковый - DLY 50000 usec. Смотрится через show ip int brief и show int <int>. Соответственно резервный Virtual-Access в EIGRP становится Successor, что нафиг не нужно. Чтобы статический Tunnel сделать основным, нужно уравнять Bandwidth для Virtual-Access, и немного добавить ему Delay, чтобы не было балансировки. Это никак не влияет на реальную пропускную способность канала, а является чисто аналитическими параметрами для расчета метрик. На Hub-е: Код: interface Virtual-Template10 type tunnel description Dynamic IPsec VTI Interface bandwidth 100 ip unnumbered Loopback10 ip mtu 1500 ip tcp adjust-mss 1300 delay 5100 qos pre-classify tunnel source GigabitEthernet0/1 tunnel mode ipsec ipv4 tunnel protection ipsec profile S2S-DVTI На Spoke: Код: interface Tunnel0 description VPN to HQ ip address 10.x.x.x 255.255.255.252 ip mtu 1500 ip tcp adjust-mss 1300 qos pre-classify tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination x.x.x.x tunnel protection ipsec profile S2S-VPN ! interface Tunnel1 description VPN to HQ Backup ip unnumbered Loopback10 ip mtu 1500 ip tcp adjust-mss 1300 delay 5100 qos pre-classify tunnel source GigabitEthernet0/0/1 tunnel mode ipsec ipv4 tunnel destination x.x.x.x tunnel vrf LTE tunnel protection ipsec profile S2S-VPN-VRF Почитать: Управляя метриками EIGRP - выбираем маршруты http://www.ccienetlab.com/routing/8-upr ... hruty.html |
Автор: | Silent_D [ 29 окт 2019, 00:45 ] |
Заголовок сообщения: | Re: Резервирование туннелей до spoke без DMVPN/FlexVPN |
Да, и еще можно EIGRP таймеры увеличить, все-таки не в Ethernet-е. На Spoke: Код: interface Tunnel0 description VPN to HQ ip address 10.x.x.x 255.255.255.252 ip mtu 1500 ip hello-interval eigrp 10 10 ip hold-time eigrp 10 30 ip tcp adjust-mss 1300 qos pre-classify tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination x.x.x.x tunnel protection ipsec profile S2S-VPN ! interface Tunnel1 description VPN to HQ Backup ip unnumbered Loopback10 ip mtu 1500 ip hello-interval eigrp 10 30 ip hold-time eigrp 10 90 ip tcp adjust-mss 1300 delay 5100 qos pre-classify tunnel source GigabitEthernet0/0/1 tunnel mode ipsec ipv4 tunnel destination x.x.x.x tunnel vrf LTE tunnel protection ipsec profile S2S-VPN-VRF И на Hub-е аналогично, для static Tunnel и Virtual-Template. Understanding EIGRP - Part 3 (EIGRP Timers) https://kwallaceccie.mykajabi.com/blog/ ... grp-timers EIGRP timers (hello, hold and active) http://www.networkers-online.com/blog/2 ... nd-active/ |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |