Сообщения без ответов | Активные темы Текущее время: 13 ноя 2019, 21:29



Ответить на тему  [ Сообщений: 11 ] 
Резервирование туннелей до spoke без DMVPN/FlexVPN 
Автор Сообщение

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
Добрый день!
Поделитесь соображениями, pls, по вопросу резервирования туннелей от hub до spoke.

Что есть:
Один hub (2821, с планами на апгрейд), один провайдер.
Несколько spoke, ну 3-5, не десятки. Железки разные, 800, 1100, etc. Там тоже по одному провайдеру.
Static IPSec VTI. За ними в spoke по паре сетей, data и voice.
Трафика не много.

Что хочется:
Добавить второго провайдера на spokes, по Ethernet, через отдельную коробочку LTE.
Паблик IP адреса там, соответственно, будут динамические и через провайдерский NAT.

Причем не колхозить с переключением по трекеру, а сделать два постоянных канала через VRF.
И сделать резервирование туннелей через маршрутизацию, EIGRP. Наземный - основной, LTE - резервный.
Категорически не хочется ради трех точек городить DMVPN/FlexVPN, IKEv2, mGRE, NHRP, iBGP, etc.

В общем идея понятна, но есть нюансы. :-)

1. Ничего не мешает сделать на hub-е руками еще несколько туннелей SVTI.
Но непонятно, как они будут разбирать где какой при динамических адресах на spokes.

2. Можно сделать DVTI через Virtual-Template, но тогда адреса в туннелях будут Unnumbered.
А, насколько я помню, протоколы динамической маршрутизации это очень не любят.
Или технология уже шагнула далеко вперед и это не проблема?

3. Есть еще вариант добавлять маршруты на hub-е через RRI.
Но не очень понятно, откуда этот маршрут будет браться?
Из IKE Identity на spoke? А если там несколько сетей?

Если кто-то решал похожую задачу, поделитесь примерчиком, pls.

_http://dreamcatcher.ru/2009/12/02/Статические-и-динамические-виртуаль/

_________________
Knowledge is Power


09 окт 2019, 17:01
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 853
https://www.ciscolive.com/c/dam/r/cisco ... C-2881.pdf
https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf
https://www.ciscolive.com/c/dam/r/cisco ... T-2570.pdf


09 окт 2019, 21:15
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 42
Silent_D писал(а):
Добрый день!
Поделитесь соображениями, pls, по вопросу резервирования туннелей от hub до spoke.

Что есть:
Один hub (2821, с планами на апгрейд), один провайдер.
Несколько spoke, ну 3-5, не десятки. Железки разные, 800, 1100, etc. Там тоже по одному провайдеру.
Static IPSec VTI. За ними в spoke по паре сетей, data и voice.
Трафика не много.
/


Пользуюсь для этой цели floating static route, правда основные каналы выделенные, L2, L3, а резервные через интернет.
Фича древняя, работает как из пушки.


10 окт 2019, 15:26
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
AlexDv писал(а):
Пользуюсь для этой цели floating static route

Для какой "для этой"?
Что-то я себе плохо представляю как задавать статические маршруты
для динамических интерфейсов.

_________________
Knowledge is Power


10 окт 2019, 16:55
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
root99 писал(а):
_https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKSEC-2881.pdf
_https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2019/pdf/BRKSEC-3054.pdf
_https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2019/pdf/LTRIOT-2570.pdf

Интересные презентации, спасибо!
FlexVPN IKEv2 штука модная и правильная. Но вот только на ISR G1 ее вроде как нет.
Правда там заявлена обратная совместимость с VTI и даже с crypto-map-ами.
Так что бубен побольше и нужно пробовать.

_________________
Knowledge is Power


10 окт 2019, 22:05
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 853
Silent_D

Значит успел качнуть до падении цицки - уже 8 часов все сервисы лежат....

На ISRg1 много чего нет - тем более стоит поменять на что-нибудь новенькое....


10 окт 2019, 23:17
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
root99

Да вроде сейчас все работает, я там еще несколько интересных материалов по этой теме нашел.
А так там масса всего на разные темы с удобным поиском.

Cisco Live - On-Demand Library

https://www.ciscolive.com/global/on-demand-library.html

Требует регистрации, но она free.

_________________
Knowledge is Power


11 окт 2019, 17:45
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 853
если есть цицко акк - то авторизация через него происходит - да материалов там валом....


11 окт 2019, 17:47
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
Т.к. почти никто не снизошел до ответов, то расскажу сам.

1. Идентификацию spoke на динамических адресах можно сделать через hostname (FQDN),
который можно задать любой руками. И привязать нужный spoke к нужному tunnel int через isakmp profiles (match identity).
Единственное что, без указания tunnel destination не создается ipsec sa.
Скорее всего это заработает с tunnel destination dynamic, но на 2800 в старом IOS такой фичи нет.

Поэтому туннели через LTE на хабе пришлось делать через Virtual-Template.

Cisco IOS IKEv1 VPN with Dynamic VTI with Pre-shared Keys
https://grumpy-networkers-journal.readt ... C_VTI.html

2. EIGRP без проблем завелся на unnumbered интерфейсах. На отдельной AS, чтобы не дергать постоянно основную.

LTE-шный tunnel завелся на отдельном VRF. Это оказалось не так сложно, как казалось.

Вот хороший пример, только iVRF можно не использовать и оставить внутренние сети в global:

VRF-aware IPSec cheat sheet
https://community.cisco.com/t5/security ... -p/3109449

Ну и на развитие - хорошая дока по IKEv2 и FlexVPN.

Configuring Internet Key Exchange Version 2 (IKEv2) and FlexVPN Site-to-Site
https://www.cisco.com/en/US/docs/ios-xm ... -flex.html

_________________
Knowledge is Power


27 окт 2019, 06:30
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
И еще тонкий момент, относительно резервирования каналов и EIGRP.

По непонятной причине статические Tunnel интерфейсы имеют по умолчанию Bandwidth 100 Kbit,
а создаваемые динамические Virtual-Access - BW 100000 Kbit/sec.
Delay у обоих одинаковый - DLY 50000 usec.
Смотрится через show ip int brief и show int <int>.

Соответственно резервный Virtual-Access в EIGRP становится Successor, что нафиг не нужно.
Чтобы статический Tunnel сделать основным, нужно уравнять Bandwidth для Virtual-Access,
и немного добавить ему Delay, чтобы не было балансировки.

Это никак не влияет на реальную пропускную способность канала,
а является чисто аналитическими параметрами для расчета метрик.

На Hub-е:

Код:
interface Virtual-Template10 type tunnel
 description Dynamic IPsec VTI Interface
 bandwidth 100
 ip unnumbered Loopback10
 ip mtu 1500
 ip tcp adjust-mss 1300
 delay 5100
 qos pre-classify
 tunnel source GigabitEthernet0/1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile S2S-DVTI

На Spoke:

Код:
interface Tunnel0
 description VPN to HQ
 ip address 10.x.x.x 255.255.255.252
 ip mtu 1500
 ip tcp adjust-mss 1300
 qos pre-classify
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination x.x.x.x
 tunnel protection ipsec profile S2S-VPN
!
interface Tunnel1
 description VPN to HQ Backup
 ip unnumbered Loopback10
 ip mtu 1500
 ip tcp adjust-mss 1300
 delay 5100
 qos pre-classify
 tunnel source GigabitEthernet0/0/1
 tunnel mode ipsec ipv4
 tunnel destination x.x.x.x
 tunnel vrf LTE
 tunnel protection ipsec profile S2S-VPN-VRF

Почитать:
Управляя метриками EIGRP - выбираем маршруты
http://www.ccienetlab.com/routing/8-upr ... hruty.html

_________________
Knowledge is Power


28 окт 2019, 06:45
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 297
Откуда: Moscow
Да, и еще можно EIGRP таймеры увеличить, все-таки не в Ethernet-е.

На Spoke:

Код:
interface Tunnel0
 description VPN to HQ
 ip address 10.x.x.x 255.255.255.252
 ip mtu 1500
 ip hello-interval eigrp 10 10
 ip hold-time eigrp 10 30
 ip tcp adjust-mss 1300
 qos pre-classify
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination x.x.x.x
 tunnel protection ipsec profile S2S-VPN
!
interface Tunnel1
 description VPN to HQ Backup
 ip unnumbered Loopback10
 ip mtu 1500
 ip hello-interval eigrp 10 30
 ip hold-time eigrp 10 90
 ip tcp adjust-mss 1300
 delay 5100
 qos pre-classify
 tunnel source GigabitEthernet0/0/1
 tunnel mode ipsec ipv4
 tunnel destination x.x.x.x
 tunnel vrf LTE
 tunnel protection ipsec profile S2S-VPN-VRF

И на Hub-е аналогично, для static Tunnel и Virtual-Template.

Understanding EIGRP - Part 3 (EIGRP Timers)
https://kwallaceccie.mykajabi.com/blog/ ... grp-timers

EIGRP timers (hello, hold and active)
http://www.networkers-online.com/blog/2 ... nd-active/

_________________
Knowledge is Power


29 окт 2019, 00:45
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB