Anticisco http://www.anticisco.ru/forum/ |
|
Два IPSec+OSPF через двух ISP http://www.anticisco.ru/forum/viewtopic.php?f=9&t=1172 |
Страница 1 из 1 |
Автор: | 832 [ 16 ноя 2010, 12:47 ] |
Заголовок сообщения: | Два IPSec+OSPF через двух ISP |
Добрый день! Продолжаю биться над решением проблемы резервирования, играюсь с ipsec разных типов, добился наконец того, чтобы в простейшей конфигурации гарантировано жили два ipsec туннеля через два разных внешних канала, но вот заставить работать ospf не получается Надеюсь на вашу помощь! crypto ipsec transform-set IPSEC-VTI esp-3des esp-sha-hmac ! crypto ipsec profile VTI set transform-set IPSEC-VTI ! track 100 ip sla 100 reachability ! track 200 ip sla 200 reachability ! interface Tunnel100 ip address 10.10.10.2 255.255.255.0 ip ospf cost 100 keepalive 10 3 tunnel source Dialer0 tunnel destination XX.XX.XX.XX tunnel mode ipsec ipv4 tunnel key 100 tunnel protection ipsec profile VTI ! interface Tunnel200 ip address 10.20.20.2 255.255.255.0 ip ospf cost 50 keepalive 10 3 tunnel source Vlan5 tunnel destination 192.168.3.1 tunnel mode ipsec ipv4 tunnel protection ipsec profile VTI ! interface Vlan5 description Uplink thru ISP VPN (direct link) ip address 192.168.3.10 255.255.255.0 no ip redirects no ip proxy-arp ip virtual-reassembly ! ! interface Dialer0 description ADSL ISP ip address negotiated previous no ip redirects no ip proxy-arp ip mtu 1400 ip nat outside ip virtual-reassembly encapsulation ppp ip ospf mtu-ignore dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xxx password 7 xxx ! interface Vlan1 description Office LAN ip address 192.168.18.1 255.255.255.0 ip flow egress ip virtual-reassembly ip tcp adjust-mss 1200 ! router ospf 5 router-id 10.5.3.18 log-adjacency-changes passive-interface default no passive-interface Tunnel100 no passive-interface Tunnel200 network 10.10.10.2 0.0.0.0 area 20 network 10.20.20.0 0.0.0.255 area 0 network 192.168.18.0 0.0.0.255 area 18 ! ip local policy route-map RouteSelect ip route 0.0.0.0 0.0.0.0 Dialer0 track 100 ip route 0.0.0.0 0.0.0.0 Vlan5 192.168.3.1 track 200 ip access-list standard Adsl permit YY.YY.YY.YY ip access-list standard ISP1 permit 192.168.3.0 0.0.0.255 route-map RouteSelect permit 20 match ip address ISP1 set ip next-hop 192.168.3.1 ! route-map RouteSelect permit 30 match ip address Adsl set ip next-hop ZZ.ZZ.ZZ.ZZ ! ------ И так и сяк эксперементировал, лучшее это когда ip ospf ne показывает: Neighbor ID Pri State Dead Time Address Interface 10.5.1.1 0 FULL/ - 00:00:37 10.20.20.1 Tunnel200 10.5.1.1 0 EXSTART/ - 00:00:38 10.10.10.1 Tunnel100 Худшее: Neighbor ID Pri State Dead Time Address Interface 10.5.1.1 0 FULL/ - 00:00:35 10.20.20.1 Tunnel200 10.5.1.1 0 DOWN/ - - 10.10.10.1 Tunnel100 sh crypto sess: Interface: Tunnel200 Session status: UP-ACTIVE Peer: 192.168.3.1 port 500 IKE SA: local 192.168.3.10/500 remote 192.168.3.1/500 Active IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Active SAs: 2, origin: crypto map Interface: Tunnel100 Session status: UP-ACTIVE Peer: XX.XX.XX.XX port 500 IKE SA: local YY.YY.YY.YY/500 remote XX.XX.XX.XX/500 Active IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Active SAs: 2, origin: crypto map sh crypto isakmp sa: IPv4 Crypto ISAKMP SA dst src state conn-id status YY.YY.YY.YY XX.XX.XX.XX QM_IDLE 2186 ACTIVE 192.168.3.10 192.168.3.1 QM_IDLE 2175 ACTIVE IPv6 Crypto ISAKMP SA Насколько я понимаю SA устанавливаются правильно, IPSec тоже... не хочет работать только OSPF как бы и черт бы с ним, но после получаса таких up/down сбрасывается OSFP процесс на хабе, унося жизни всех остальных подключенных клиентов, поэтому хочется, чтобы оба туннеля работали одновременно с OSPF и в случае падения основного Tunnel200 весь трафик плавно пошел через Tunnel100 Может тут и OSPF не нужен и все проще делать статикой? Заранее благодарен за помощь! |
Автор: | Ilya [ 16 ноя 2010, 16:59 ] |
Заголовок сообщения: | Re: Два IPSec+OSPF через двух ISP |
может и проще статикой. но: уберите ip ospf mtu-ignore с dialer и повесьте на tunnel . на оба. и с двух же сторон. |
Автор: | imperorr [ 16 ноя 2010, 17:41 ] |
Заголовок сообщения: | Re: Два IPSec+OSPF через двух ISP |
Не помню точно, случаем не в GRE должен быть OSPF? |
Автор: | 832 [ 16 ноя 2010, 17:45 ] |
Заголовок сообщения: | Re: Два IPSec+OSPF через двух ISP |
Блин вот я ступил/промахнулся... на хабе-то на tunnel повесил ip osfp mtu-ignore, а на споке точно не туда воткнул перевесил на tunnel и сию же секунду оспф ожил Спасибо огромное! оспф и в GRE у меня в других случаях живет... я просто конкретный вариант тестирую |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |