Сообщения без ответов | Активные темы Текущее время: 21 окт 2019, 18:39



Ответить на тему  [ Сообщений: 8 ] 
Резервирование туннелей до spoke без DMVPN/FlexVPN 
Автор Сообщение

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 249
Откуда: Moscow
Добрый день!
Поделитесь соображениями, pls, по вопросу резервирования туннелей от hub до spoke.

Что есть:
Один hub (2821, с планами на апгрейд), один провайдер.
Несколько spoke, ну 3-5, не десятки. Железки разные, 800, 1100, etc. Там тоже по одному провайдеру.
Static IPSec VTI. За ними в spoke по паре сетей, data и voice.
Трафика не много.

Что хочется:
Добавить второго провайдера на spokes, по Ethernet, через отдельную коробочку LTE.
Паблик IP адреса там, соответственно, будут динамические и через провайдерский NAT.

Причем не колхозить с переключением по трекеру, а сделать два постоянных канала через VRF.
И сделать резервирование туннелей через маршрутизацию, EIGRP. Наземный - основной, LTE - резервный.
Категорически не хочется ради трех точек городить DMVPN/FlexVPN, IKEv2, mGRE, NHRP, iBGP, etc.

В общем идея понятна, но есть нюансы. :-)

1. Ничего не мешает сделать на hub-е руками еще несколько туннелей SVTI.
Но непонятно, как они будут разбирать где какой при динамических адресах на spokes.

2. Можно сделать DVTI через Virtual-Template, но тогда адреса в туннелях будут Unnumbered.
А, насколько я помню, протоколы динамической маршрутизации это очень не любят.
Или технология уже шагнула далеко вперед и это не проблема?

3. Есть еще вариант добавлять маршруты на hub-е через RRI.
Но не очень понятно, откуда этот маршрут будет браться?
Из IKE Identity на spoke? А если там несколько сетей?

Если кто-то решал похожую задачу, поделитесь примерчиком, pls.

_http://dreamcatcher.ru/2009/12/02/Статические-и-динамические-виртуаль/

_________________
Knowledge is Power


09 окт 2019, 17:01
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 802
https://www.ciscolive.com/c/dam/r/cisco ... C-2881.pdf
https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf
https://www.ciscolive.com/c/dam/r/cisco ... T-2570.pdf


09 окт 2019, 21:15
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 36
Silent_D писал(а):
Добрый день!
Поделитесь соображениями, pls, по вопросу резервирования туннелей от hub до spoke.

Что есть:
Один hub (2821, с планами на апгрейд), один провайдер.
Несколько spoke, ну 3-5, не десятки. Железки разные, 800, 1100, etc. Там тоже по одному провайдеру.
Static IPSec VTI. За ними в spoke по паре сетей, data и voice.
Трафика не много.
/


Пользуюсь для этой цели floating static route, правда основные каналы выделенные, L2, L3, а резервные через интернет.
Фича древняя, работает как из пушки.


10 окт 2019, 15:26
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 249
Откуда: Moscow
AlexDv писал(а):
Пользуюсь для этой цели floating static route

Для какой "для этой"?
Что-то я себе плохо представляю как задавать статические маршруты
для динамических интерфейсов.

_________________
Knowledge is Power


10 окт 2019, 16:55
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 249
Откуда: Moscow
root99 писал(а):
_https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKSEC-2881.pdf
_https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2019/pdf/BRKSEC-3054.pdf
_https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2019/pdf/LTRIOT-2570.pdf

Интересные презентации, спасибо!
FlexVPN IKEv2 штука модная и правильная. Но вот только на ISR G1 ее вроде как нет.
Правда там заявлена обратная совместимость с VTI и даже с crypto-map-ами.
Так что бубен побольше и нужно пробовать.

_________________
Knowledge is Power


10 окт 2019, 22:05
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 802
Silent_D

Значит успел качнуть до падении цицки - уже 8 часов все сервисы лежат....

На ISRg1 много чего нет - тем более стоит поменять на что-нибудь новенькое....


10 окт 2019, 23:17
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 249
Откуда: Moscow
root99

Да вроде сейчас все работает, я там еще несколько интересных материалов по этой теме нашел.
А так там масса всего на разные темы с удобным поиском.

Cisco Live - On-Demand Library

https://www.ciscolive.com/global/on-demand-library.html

Требует регистрации, но она free.

_________________
Knowledge is Power


11 окт 2019, 17:45
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 802
если есть цицко акк - то авторизация через него происходит - да материалов там валом....


11 окт 2019, 17:47
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB