The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"резервирование IPSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"резервирование IPSec"  +/
Сообщение от zigli (ok) on 08-Апр-10, 17:24 
Добрый вечер всем!

Если взять 2 cisco железки и провести им по два канала связи.
Должна ли вообще работать такая схема резервирования?


############# Первая

crypto map TO_CISCO2800 1 ipsec-isakmp
set peer 85.xxx.xxx.101 default
set peer 217.yyy.yyy.50
set security-association idle-time 120 default
set transform-set AES256_MD5
match address SECURED-TUN
!

interface Vlan2
ip address 217.yyy.yyy.12 255.255.255.252
crypto map TO_CISCO2800
!
interface BVI1
ip address 89.xxx.xxx.126 255.255.255.252
crypto map TO_CISCO2800
!
ip route 85.xxx.xxx.101 255.255.255.255 Vlan2
ip route 192.168.204.0 255.255.255.0 85.xxx.xxx.101
ip route 192.168.204.0 255.255.255.0 217.yyy.yyy.50
ip route 217.yyy.yyy.50 255.255.255.255 BVI1


ip access-list extended SECURED-TUN
permit ip 10.2.200.0 0.0.0.3 192.168.204.0 0.0.0.255 log
permit ip 192.168.204.0 0.0.0.255 10.2.200.0 0.0.0.3 log
!

########### Вторая

crypto map TO_CISCO2811 1 ipsec-isakmp
set peer 89.xxx.xxx.126 default
set peer 217.yyy.yyy.12
set security-association idle-time 120 default
set transform-set AES256_MD5
match address SECURED-TUN
!

interface Vlan1
ip address 217.yyy.yyy.50 255.255.255.252
crypto map TO_CISCO2811
!
interface Vlan2
ip address 85.xxx.xxx.101 255.255.255.252
crypto map TO_CISCO2811
!
ip route 89.xxx.xxx.126 255.255.255.255 Vlan1
ip route 192.168.204.0 255.255.255.0 85.xxx.xxx.101
ip route 192.168.204.0 255.255.255.0 217.yyy.yyy.50
ip route 217.yyy.yyy.12 255.255.255.255 Vlan2


ip access-list extended SECURED-TUN
permit ip 10.2.200.0 0.0.0.3 192.168.204.0 0.0.0.255 log
permit ip 192.168.204.0 0.0.0.255 10.2.200.0 0.0.0.3 log
!

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "резервирование IPSec"  +/
Сообщение от Николай (??) on 08-Апр-10, 17:54 
Сдается мне что ничего в такой реализации не заработает, грабли будут на статических маршрутах - не будет оно работать так как вы написали :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "резервирование IPSec"  +/
Сообщение от Pve1 (ok) on 08-Апр-10, 17:58 
>Сдается мне что ничего в такой реализации не заработает, грабли будут на
>статических маршрутах - не будет оно работать так как вы написали
>:)

Если добавить к статическим маршрутам IP SLA - то будет
Но я бы сделал 2 шифрованных GRE тунеля и поднял поверх динамическую маршрутизацию.
Намного нагляднее и управляемее, легче мониторится.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "резервирование IPSec"  +/
Сообщение от Кирилл email(??) on 08-Апр-10, 17:59 
>>Сдается мне что ничего в такой реализации не заработает, грабли будут на
>>статических маршрутах - не будет оно работать так как вы написали
>>:)
>
>Если добавить к статическим маршрутам IP SLA - то будет
>Но я бы сделал 2 шифрованных GRE тунеля и поднял динамическую маршрутизация.ъ
>
>Намного нагляднее и управляемее, легче мониторится.

И я бы так сделал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "резервирование IPSec"  +/
Сообщение от zigli (ok) on 09-Апр-10, 07:41 
>>Сдается мне что ничего в такой реализации не заработает, грабли будут на
>>статических маршрутах - не будет оно работать так как вы написали
>>:)
>
>Если добавить к статическим маршрутам IP SLA - то будет
>Но я бы сделал 2 шифрованных GRE тунеля и поднял поверх динамическую
>маршрутизацию.
>Намного нагляднее и управляемее, легче мониторится.

Пожалуйста покажите примерный конфиг такой реализации, или ссыллки где почитать...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "резервирование IPSec"  +/
Сообщение от ShyLion (ok) on 09-Апр-10, 10:04 
>>>Сдается мне что ничего в такой реализации не заработает, грабли будут на
>>>статических маршрутах - не будет оно работать так как вы написали
>>>:)
>>
>>Если добавить к статическим маршрутам IP SLA - то будет
>>Но я бы сделал 2 шифрованных GRE тунеля и поднял поверх динамическую
>>маршрутизацию.
>>Намного нагляднее и управляемее, легче мониторится.
>
>Пожалуйста покажите примерный конфиг такой реализации, или ссыллки где почитать...

crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 2
!
!
crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac
!
!
crypto ipsec profile TUN-AES256
set transform-set AES256-MD5
!
crypto isakmp key TUN1_adasdsdgdjhgjdhfjdhj address 11.11.11.11
crypto isakmp key TUN2_adasdsdgdjhgjdhfjdhj address 22.22.22.22
!
!
interface vlan1
descr ISP1
ip address 1.1.1.1 255.255.255.0
!
interface vlan2
descr ISP2
ip address 2.2.2.2 255.255.255.0
!
interface tunnel1
ip address 10.0.1.1 255.255.255.252
tunnel source 1.1.1.1
tunnel dest 11.11.11.11
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUN-AES256
!
interface tunnel2
ip address 10.0.2.1 255.255.255.252
tunnel source 2.2.2.2
tunnel dest 22.22.22.22
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUN-AES256
!
ip route 0.0.0.0 0.0.0.0 vlan1
! ЭТО ВАЖНО!!!
ip route 22.22.22.22 255.255.255.255 vlan2
!
router eigrp 1
passive-interface default
no auto-summary
network 10.0.0.0
no passive-interface tun1
no passive-interface tun2
!

с другой стороны аналогично, с поправкой адресов на ключах, интерфейсах и маршрутах
писал по памяти, мог очепятаться
тестировать все это можно и без кис, с помощью GNS3

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "резервирование IPSec"  +/
Сообщение от ShyLion (ok) on 09-Апр-10, 10:11 
если на одном из концов только один провайдер, то нужно просить у них дополнительный IP.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "резервирование IPSec"  +/
Сообщение от gagner (ok) on 09-Апр-10, 12:33 
>если на одном из концов только один провайдер, то нужно просить у
>них дополнительный IP.

Зачем? 2 туннеля на 1 интерфейсе хорошо уживутся... ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "резервирование IPSec"  +/
Сообщение от ShyLion (ok) on 09-Апр-10, 14:52 
>>если на одном из концов только один провайдер, то нужно просить у
>>них дополнительный IP.
>
>Зачем? 2 туннеля на 1 интерфейсе хорошо уживутся... ))

как на другом конце ты через разных провайдеров трафик пустишь для туннелей?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "резервирование IPSec"  +/
Сообщение от gagner (ok) on 09-Апр-10, 16:23 
>>>если на одном из концов только один провайдер, то нужно просить у
>>>них дополнительный IP.
>>
>>Зачем? 2 туннеля на 1 интерфейсе хорошо уживутся... ))
>
>как на другом конце ты через разных провайдеров трафик пустишь для туннелей?
>

это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о
как ты прикрутишь доп.адрес из той же сетки и затерминируешь на него туннель? только если отдельную сеточку - а это отдельный геморрой и деньги. нет? я не права?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "резервирование IPSec"  +/
Сообщение от ShyLion (ok) on 13-Апр-10, 07:13 
>>>>если на одном из концов только один провайдер, то нужно просить у
>>>>них дополнительный IP.
>>>
>>>Зачем? 2 туннеля на 1 интерфейсе хорошо уживутся... ))
>>
>>как на другом конце ты через разных провайдеров трафик пустишь для туннелей?
>>
>
>это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о

Это известный баг/фича - инкапсулированые тунельные пакеты игнорят ip local policy

>как ты прикрутишь доп.адрес из той же сетки и затерминируешь на него
>туннель? только если отдельную сеточку - а это отдельный геморрой и
>деньги. нет? я не права?

Ну во первых ничто не мешает повесить secondary адресс, во вторых его вообще не обязательно никуда вешать, достаточно чтобы у оператора был маршрут на него в твою сторону.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "резервирование IPSec"  +/
Сообщение от gagner (ok) on 13-Апр-10, 19:51 

>>это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о
>Это известный баг/фича - инкапсулированые тунельные пакеты игнорят ip local policy

тэги добавляются при попаднии в туннель - а это происходит уже после пбра.

>>как ты прикрутишь доп.адрес из той же сетки и затерминируешь на него
>>туннель? только если отдельную сеточку - а это отдельный геморрой и
>>деньги. нет? я не права?
>
>Ну во первых ничто не мешает повесить secondary адресс, во вторых его
>вообще не обязательно никуда вешать, достаточно чтобы у оператора был маршрут
>на него в твою сторону.

мне казалось, что циска не даст поднять секондари из той же сети, что и основной - это не так, она это разрешает, поэтому в общем-то вариант. )) (вешать его все-таки обязательно. причем туннел-сорсы на циске с 1 каналом должны быть прописаны соответствующими ип-адресами, а не интерфейсом)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "резервирование IPSec"  +/
Сообщение от ShyLion (ok) on 14-Апр-10, 10:03 
>
>>>это, конечно, уже флуд... но рут-мапами согласно сорсу. 0.о
>>Это известный баг/фича - инкапсулированые тунельные пакеты игнорят ip local policy
>
>тэги добавляются при попаднии в туннель - а это происходит уже после
>пбра.

О чем разговор? Собери стенд и проверь.

>мне казалось, что циска не даст поднять секондари из той же сети,
>что и основной - это не так, она это разрешает, поэтому
>в общем-то вариант. )) (вешать его все-таки обязательно. причем туннел-сорсы на
>циске с 1 каналом должны быть прописаны соответствующими ип-адресами, а не
>интерфейсом)

достаточно на loopback повесить

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "резервирование IPSec"  +/
Сообщение от zigli (ok) on 09-Апр-10, 16:34 
>[оверквотинг удален]
> no passive-interface tun1
> no passive-interface tun2
>!
>
>
>
>с другой стороны аналогично, с поправкой адресов на ключах, интерфейсах и маршрутах
>
>писал по памяти, мог очепятаться
>тестировать все это можно и без кис, с помощью GNS3

Спасибо!

А как правильно заруливать трафик в тунели?

ip route 192.168.2.0 255.255.255.0 tunnel 1
ip route 192.168.2.0 255.255.255.0 tunnel 2

так не работает...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "резервирование IPSec"  +/
Сообщение от gagner (ok) on 09-Апр-10, 16:44 
такой рутинг не канает - пакеты уходят через один: то в 1, то в 2 туннель.

Осталось определить, как ты хочешь рутить. Если у тебя 1 канал в резерве и должен работать в случае атомной войны - то поднимай динамику (поверх айписека вроде не все работает... могу ошибаться - но оспф вроде нет, а бгп - точно да) или sla tracking.

Про динамику написано много. Второе конфигурится примерно так:

track 1 rtr 1 reachability - собственно трэк, к которому привязан SLA 1

ip route 192.168.2.0 255.255.255.0 tunnel 1 track 1
ip route 192.168.2.0 255.255.255.0 tunnel 2 200

ip sla 1
icmp-echo [сосед по tu1] source-interface tu1 - пинговалка "соседа"
frequency 2 - частота в секундах
ip sla schedule 1 life forever start-time now

Если ты хочешь выделить "вкусный трафик" который всегда будет идти по вкусному каналу - то читай про рут-мапы.

Вот как-то так, имхо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "резервирование IPSec"  +/
Сообщение от zigli (ok) on 09-Апр-10, 17:23 
>[оверквотинг удален]
>
>ip sla 1
>icmp-echo [сосед по tu1] source-interface tu1 - пинговалка "соседа"
>frequency 2 - частота в секундах
>ip sla schedule 1 life forever start-time now
>
>Если ты хочешь выделить "вкусный трафик" который всегда будет идти по вкусному
>каналу - то читай про рут-мапы.
>
>Вот как-то так, имхо.

а нет, все проще оказалось...

надо было добавить

network 192.168.100.0 0.0.0.255

для первого

interface FastEthernet3/0
ip address 192.168.100.1 255.255.255.0

и

network 192.168.200.0 0.0.0.255

для второго

interface FastEthernet3/0
ip address 192.168.100.1 255.255.255.0


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "резервирование IPSec"  +/
Сообщение от zigli (ok) on 11-Апр-10, 10:19 
Вот что получилось в итоге...
Схема резервирования работает, проверено на GNS3.

crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 2
!
!
crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac
!
!
crypto ipsec profile TUN-AES256
set transform-set AES256-MD5
!
crypto isakmp key TUN1_adasdsdgdjhgjdhfjdhj address 11.11.11.11
crypto isakmp key TUN2_adasdsdgdjhgjdhfjdhj address 22.22.22.22
!
!
interface FastEthernet0/0
descr LAN
ip address 192.168.100.1 255.255.255.0
!
interface vlan1
descr ISP1
ip address 1.1.1.1 255.255.255.0
!
interface vlan2
descr ISP2
ip address 2.2.2.2 255.255.255.0
!
interface tunnel1
ip address 10.0.1.1 255.255.255.252
tunnel source 1.1.1.1
tunnel dest 11.11.11.11
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUN-AES256
!
interface tunnel2
ip address 10.0.2.1 255.255.255.252
tunnel source 2.2.2.2
tunnel dest 22.22.22.22
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUN-AES256
!
ip route 2.2.2.2 255.255.255.255 vlan1
ip route 22.22.22.22 255.255.255.255 vlan2
!
router eigrp 1
passive-interface default
no auto-summary
network 10.0.0.0
network 192.168.100.0 0.0.0.255
no passive-interface tun1
no passive-interface tun2
!

с другой стороны так же со своими LAN, WAN адресами и маршрутами.

Спасибо еще раз ShyLion!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "резервирование IPSec"  +/
Сообщение от ShyLion (ok) on 13-Апр-10, 07:09 
>Вот что получилось в итоге...
>Схема резервирования работает, проверено на GNS3.
>Спасибо еще раз ShyLion!

с таким конфигом туннели используются в режиме load-sharing средствами ip cef
потому что у обоих маршрутов одинаковые метирки.
Если нужно сделать основной и резерв, то пляши параметрами bandwidth и delay на туннельных интерфейсах, и вообще, когда будешь такие туннели делать - всегда обращай внимание на sho int tunx | inc DLY
в разном софте при разных условиях эти два параметра на туннелях по умолчанию разные, а они являются ключевыми при выборе маршрутов.
Почитай как следует про EIGRP.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру