The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DMVPN дизайн центрального узла"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (ok) on 17-Сен-11, 10:05 
Здравствуйте!

Настраиваю dual hub DMVPN, есть вопрос по узел в центральном офисе (ЦО). Там имеется 2шт. роутера 2821(+4х портовые свич-модули HWIC-4ESW) и 2шт. Cat. 3560G. В принципе DMVPN как таковой попробовал – трудностей пока не вызывало. А затрудняюсь как разобраться с оборудованием в ЦО, как грамотно задизайнить 2 роутера и 2 свитча? Вот возникла такая, ничем не подкрепленная схема, возможно ли так реализовать, если да то какими «технологиями».

Я попробовал на GNS3 схему с одним свичем, интерфейсы 2х роутеров смотрящие в внутрь зарезервировал по HSRP, GLBP. Вроде завелось. Хотелось бы в этой «схеме» тоже использовать резервирование first-hop роутера и вообще по максимуму использовать и зарезервировать железо в ЦО.


Users PC's
    |      |
SW1--SW2
        \ /
        / \
      /     \
HUB1 HUB2
   |   \  /   |
   |   /  \   |
   | /      \ |
sp1      sp2

ПС
Как можно догадаться, специалист по cisco и меня маааленький, поэтому просьба отестись с пониманием.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DMVPN дизайн центрального узла"  +/
Сообщение от rakis (ok) on 17-Сен-11, 21:27 
Не нужно изобретать велосипед. На cisco.com все есть.
Dynamic Multipoint VPN (DMVPN) Design Guide - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns17...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DMVPN дизайн центрального узла"  +/
Сообщение от Pve1 (ok) on 19-Сен-11, 09:59 

1 рутер втыкается в 1 свитч.
2 рутер втыкается во 2 свитч.
Между свичами естественно тоже соединение.

На рутерах HSRP/GLBP - если внутри динамической маршрутизации нет.      Если она есть - то лушчее к ядру сети конектить рутеры посредством ее.


Теоретически в вашем случае можно настроить L3 прямо между рутерами и свичами...  Все зависит от вашей инфраструктуры.

Однозначных решений нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (ok) on 19-Сен-11, 15:36 
> 1 рутер втыкается в 1 свитч.
> 2 рутер втыкается во 2 свитч.
> Между свичами естественно тоже соединение.
> На рутерах HSRP/GLBP - если внутри динамической маршрутизации нет.    
>   Если она есть - то лушчее к ядру сети
> конектить рутеры посредством ее.
> Теоретически в вашем случае можно настроить L3 прямо между рутерами и свичами...
>  Все зависит от вашей инфраструктуры.
> Однозначных решений нет.

Спасибо за отклик,

шас исследую такю схему:
Каждый рутер (HUB) подлючил к двум свичам по L3, и свичи межу собой (на уровне Vlan-а который для локальной сети). Между рутерами и свичами пустил eigrp.
(т.е. как на "схеме" и нарисовал)
На свичах между SVI интрефесами "смотрящими в локальную сеть" - HSRP.
Свичи получают от рутеров маршрут 0.0.0.0 0.0.0.0 через  eigrp redistribute static, что дает доступ из локолной сети в инет через NAT на роутерах.

Тут получается ХЗ какая модель: свичи и ядром являются и доступом (туда компы пользователей подключаться будут), они же и firs-hop рутер...

Еще один момент беспокоит: на каждом свиче есть по 2 маршрута к одной сети назначения..

SW2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.10.1.3 to network 0.0.0.0

     10.0.0.0/24 is subnetted, 2 subnets
D       10.10.0.0 [90/3072] via 192.168.1.1, 00:39:00, Vlan5
                  [90/3072] via 10.10.1.3, 00:39:00, Vlan20
                  [90/3072] via 10.10.1.2, 00:39:00, Vlan20
C       10.10.1.0 is directly connected, Vlan20
C    192.168.1.0/24 is directly connected, Vlan5
D*EX 0.0.0.0/0 [170/3072] via 10.10.1.3, 00:39:00, Vlan20
                       [170/3072] via 10.10.1.2, 00:39:00, Vlan20

Незнаю хорошо это или плохо. Вроде в этом случае работает балансировка per-destinatios?
На деле все вроде в норме пакеты ходят по одному пути(файлы копируюся нормально),

хотя в GNS3 делал, там какой то ахтунг - при копировании файлов пакеты натились на обоих рутерах и соответвенно копирование обрывалось на каком то моменте..

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DMVPN дизайн центрального узла"  +/
Сообщение от Pve1 (ok) on 19-Сен-11, 17:31 
Сделали все правильно.

Ну почему по дефолту по 2 маршрута и балансировка - думаю понятно? :)

По балансировки - подкручивайте bandwith/delay соответсвующих тунельных интерфейсов на споках/хабах - и получите что вам нужно (балансировка/статическая балансировка/актив-пасив)...  Тут все от желаний и условий договоров с провайдерами зависит.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (ok) on 19-Сен-11, 20:23 
> Сделали все правильно.
> Ну почему по дефолту по 2 маршрута и балансировка - думаю понятно?
> :)
> По балансировки - подкручивайте bandwith/delay соответсвующих тунельных интерфейсов
> на споках/хабах - и получите что вам нужно (балансировка/статическая балансировка/актив-пасив)...
>  Тут все от желаний и условий договоров с провайдерами зависит.

Да тут, нужно будет повозиться с метриками


> 1 рутер втыкается в 1 свитч.
> 2 рутер втыкается во 2 свитч.
> Между свичами естественно тоже соединение.
> На рутерах HSRP/GLBP - если внутри динамической маршрутизации нет.    
>   Если она есть - то лушчее к ядру сети
> конектить рутеры посредством ее.
> Теоретически в вашем случае можно настроить L3 прямо между рутерами и свичами...
>  Все зависит от вашей инфраструктуры.
> Однозначных решений нет.

Тут нет никакой "инфраструктуры", все в одной куче, бардак как логический так и физический в серверной. Хорошо что не приходится маршруты на хостах менять вручную)), как читал на форуме както (хотя встречал и сам такое)

Я просто подумал раз уж есть пара 3560, то не задействовать их L3 функционал глупо. Пусть будут дефолт гейвееем для хостов в локальной сети. Сервачки думаю вынести в отдельную сеть типа ДМЗ, вобщем пусть свичовые ASIC-и работают..). Хотя тут тоже,.... задействовать фичи как таковые ради их самих, в ущерб простоте, надежности, возможно еще глупее.

Вот и в этом варианте конфигурация вроде как усложнилась роутингом между свичами рутерами, появились потенц. точки отказа, но зато разрузились роутеры. Плюсов наверное все же больше, хотя дезайнер из меня...))


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "DMVPN дизайн центрального узла"  +/
Сообщение от Valery12 (??) on 20-Сен-11, 09:15 
> Я просто подумал раз уж есть пара 3560, то не задействовать их
> L3 функционал глупо. Пусть будут дефолт гейвееем для хостов в локальной
> сети. Сервачки думаю вынести в отдельную сеть типа ДМЗ, вобщем пусть
> свичовые ASIC-и работают..).

У меня тоже пара 3560 но HUB один (3825), маршрутизация между виланами на коммутаторах (для каждого настроен HSRP). Маршрутизатор гигабитными портами подключен к обоим 3560 (так же как и все коммутаторы доступа и сервера ESX), созданы два отдельных транзитных вилана и соответственно два сегмента для маршрутизации в которых имеют свои  SVI эти три устройства. Тут уже никаких HSRP, поднят OSPF, нулевая область в центре и тупиковая - филиальная сеть за маршрутизатом. Поскольку оба 3560 тоже связаны транком пришлось повозиться с приоритетами HSRP и весами маршрутов, чтобы L2 и L3 работали синхронно и не получилось так что рутом для вилана является один коммутатор а шлюзом для сегмента другой.
> Хотя тут тоже,.... задействовать фичи как таковые ради
> их самих, в ущерб простоте, надежности, возможно еще глупее.

Я тоже так думал, когда городил свой "огород", но конструкция работает четвертый год ка швейцарские часы и я уже забыл когда последний раз смотрел маршрутные таблицы. Так что как в известном мультике - "Лучше час помучиться, зато потом за пять минут долететь!" :D

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (ok) on 20-Сен-11, 13:31 
>> Я просто подумал раз уж есть пара 3560, то не задействовать их
>> L3 функционал глупо. Пусть будут дефолт гейвееем для хостов в локальной
>> сети. Сервачки думаю вынести в отдельную сеть типа ДМЗ, вобщем пусть
>> свичовые ASIC-и работают..).
>  Маршрутизатор гигабитными портами подключен
> к обоим 3560 (так же как и все коммутаторы доступа и
> сервера ESX),

А как хосты ESX к двум комутаторам подлючены? Там что то типа NIC Teaming или как?
Знаю что можно между сервером с 2мя сетевухами и например двумя стэковыми 3750 etherchannel сделать (cross-stack etherchannel вроде наз-ся)
А у вас как между двумя отдельными свичами?

> созданы два отдельных транзитных вилана и соответственно два сегмента
> для маршрутизации в которых имеют свои  SVI эти три устройства.
> Тут уже никаких HSRP, поднят OSPF, нулевая область в центре и
> тупиковая - филиальная сеть за маршрутизатом.

Не совсем понял что значит транзитные и последующее..,
можете объяснить подробнее, пожалуйста?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "DMVPN дизайн центрального узла"  +/
Сообщение от Valery12 (??) on 20-Сен-11, 13:56 
> А как хосты ESX к двум комутаторам подлючены? Там что то типа
> NIC Teaming или как?
> Знаю что можно между сервером с 2мя сетевухами и например двумя стэковыми
> 3750 etherchannel сделать (cross-stack etherchannel вроде наз-ся)
> А у вас как между двумя отдельными свичами?

ну это же не просто сервера, а так сказать платформы для виртуальных серверов с виртуальными свичами, вот они и подключены транками к двум 3650

> Не совсем понял что значит транзитные и последующее..,
> можете объяснить подробнее, пожалуйста?

я в терминологии не силен, картинку бы нарисовать, короче у меня в центральной конторе десяток подсетей, пользовательсих, служебных и т.д. все они маршрутизируются на паре 3650, эта пара связана с маршрутизатором 3825 через сети которые я назвал транзитными, а уже маршрутизатор связан со всеми филиальными сетями (вот ему я тоже планирую пару составить, что бы ликвидировать точку отказа)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (??) on 20-Сен-11, 14:47 
>> А как хосты ESX к двум комутаторам подлючены? Там что то типа
>> NIC Teaming или как?
>> Знаю что можно между сервером с 2мя сетевухами и например двумя стэковыми
>> 3750 etherchannel сделать (cross-stack etherchannel вроде наз-ся)
>> А у вас как между двумя отдельными свичами?
> ну это же не просто сервера, а так сказать платформы для виртуальных
> серверов с виртуальными свичами, вот они и подключены транками к двум
> 3650

То есть от каждого ESX хоста(сервера) с 1-й его сетевой - провод ("в котором транк вЛанов") в один 3560, со 2-й сетевой - во второй 3560 аналогично?
На казждой сетевой на хосте ESX адреса, из разныхх сетей?
..или может у вас блейд корзина даже.. ?

>> Не совсем понял что значит транзитные и последующее..,
>> можете объяснить подробнее, пожалуйста?
> я в терминологии не силен, картинку бы нарисовать, короче у меня в
> центральной конторе десяток подсетей, пользовательсих, служебных и т.д. все они маршрутизируются
> на паре 3650, эта пара связана с маршрутизатором 3825 через сети
> которые я назвал транзитными, а уже маршрутизатор связан со всеми филиальными
> сетями (вот ему я тоже планирую пару составить, что бы ликвидировать
> точку отказа)

все теперь понял..

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "DMVPN дизайн центрального узла"  +/
Сообщение от Valery12 (??) on 20-Сен-11, 19:02 
> То есть от каждого ESX хоста(сервера) с 1-й его сетевой - провод
> ("в котором транк вЛанов") в один 3560, со 2-й сетевой -
> во второй 3560 аналогично?
> На казждой сетевой на хосте ESX адреса, из разныхх сетей?
> ..или может у вас блейд корзина даже.. ?

нет не блейд, 4 сервера IBM 3650, на каждом по шесть сетевых интерфейсов, два из них виртуальный свич для служебных целей (два VLAN - soft console, vmkernel) по одному в коммутатор и четыре - виртуальный свич для ВМ (несколько VLAN), по два в каждый коммутатор.
Общий сторедж подключен через SAN, тоже пара FC коммутаторов


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (??) on 28-Сен-11, 11:34 
>[оверквотинг удален]
> тупиковая - филиальная сеть за маршрутизатом. Поскольку оба 3560 тоже связаны
> транком пришлось повозиться с приоритетами HSRP и весами маршрутов, чтобы L2
> и L3 работали синхронно и не получилось так что рутом для
> вилана является один коммутатор а шлюзом для сегмента другой.
>> Хотя тут тоже,.... задействовать фичи как таковые ради
>> их самих, в ущерб простоте, надежности, возможно еще глупее.
> Я тоже так думал, когда городил свой "огород", но конструкция работает четвертый
> год ка швейцарские часы и я уже забыл когда последний раз
> смотрел маршрутные таблицы. Так что как в известном мультике - "Лучше
> час помучиться, зато потом за пять минут долететь!" :D

Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор имеено этого протокола?
Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).
Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "DMVPN дизайн центрального узла"  +/
Сообщение от Valery12 (??) on 29-Сен-11, 14:56 

> Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор
> имеено этого протокола?
> Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).

у меня сначала коммутаторы были 3COM, отсюда и выбор

> Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?

Сам не делал, но думаю нормально будет

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "DMVPN дизайн центрального узла"  +/
Сообщение от kostya_rlw (ok) on 04-Окт-11, 14:15 
>> Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор
>> имеено этого протокола?
>> Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).
> у меня сначала коммутаторы были 3COM, отсюда и выбор
>> Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?
> Сам не делал, но думаю нормально будет

Valery12, а конфиги Споков, Хабов, и Свичей в части ospf не покажите?
тестирую ospf как альтернативу, но почемуто на 3560 маршруты не приходят..

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "DMVPN дизайн центрального узла"  +/
Сообщение от Valery12 (??) on 04-Окт-11, 15:54 
>>> Valery12, вы пишите, что у вас OSPF,.. а что повлияло на выбор
>>> имеено этого протокола?
>>> Я для себя пока думаю запускать EIGRP (на нем тестовый стед собрал).
>> у меня сначала коммутаторы были 3COM, отсюда и выбор
>>> Что думаете про EIGRP в DMVPN сети порядка 30-40 устройств?
>> Сам не делал, но думаю нормально будет
> Valery12, а конфиги Споков, Хабов, и Свичей в части ospf не покажите?
> тестирую ospf как альтернативу, но почемуто на 3560 маршруты не приходят..

о настройке самих туннелей не пишу, зависит от среды, а собственно маршрутизация
примерно так

Локальные сегменты в центре, сводная 172.20.0.0/20

сегменты для маршрутизации
Vlan140 10.0.0.0/28
Vlan141 10.0.0.16/28
сводный 10.0.0.0/27

ДМЗ
10.0.0.32/27

туннели
172.19.0.0/24

филиалы (сводные)
172.19.1.0/24
172.19.2.0/24
и т.д.

SPOKE
router ospf 1
router-id 172.19.0.1
area 10 stub no-summary
passive-interface default
no passive-interface Tunnel2
network 172.19.0.0 0.0.0.255 area 10
network 172.19.1.0 0.0.0.255 area 10

HUB

router ospf 1
router-id 172.19.0.100
area 10 stub no-summary
redistribute static
passive-interface default
no passive-interface GigabitEthernet0/0.141
no passive-interface GigabitEthernet0/1.140
no passive-interface Tunnel2
network 10.0.0.0 0.0.0.31 area 0
network 10.0.0.32 0.0.0.31 area 0
network 172.19.0.0 0.0.0.255 area 10

SWITCH
router ospf 1
router-id 172.20.1.18
passive-interface default
no passive-interface Vlan140
no passive-interface Vlan141
network 10.0.0.0 0.0.0.31 area 0
network 172.20.0.0 0.0.15.255 area 0


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру