https://opennet.ru/openforum/vsluhforumID6/16166.html Приветствую. Вопрос такой. Есть центральный офис и есть несколько наших филиалов в других городах. Между центральным офисом и филиалами подняты Site-to-Site IPSec тунели. В центральном офисе стоит рутер cisco 2821. В филиалах стоят cisco 1841. И центральный офис и филиалы выходят в инет через эзернет (фиксированный открытый ip-адрес есть везде). Проблема заключается в следующем. Последнее время, периодически в центральном офисе отваливается внешний канал, ну там у провайдера есть проблемы... Соответственно, нет ни инета, ни тунелей с нашими филиалами в эти моменты времени. У нас есть еще одним рутер cisco 2821. Появилась мысль подключить второй рутер cisco 2821 к другому провайдеру (ну и тоже купить у него открытый ip-адрес) и забэкапить выход в инет в ipsec тунели с нашими филиалами, а заодно и сам рутер. Т.е. если умирает канал с нашим "старым" провйдером, то весь трафик должен идти через "нового" провайдера. В принципе это более менее понятно как сделать (хотя бы через те же метрики у шлюзов по умолчанию). https://opennet.ru/openforum/vsluhforumID6/16166.html#10 Tue, 06 May 2008 13:35:23 GMT &gt;[оверквотинг удален]<br>&gt;весь трафик должен идти через "нового" провайдера. В принципе это более <br>&gt;менее понятно как сделать (хотя бы через те же метрики у <br>&gt;шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с <br>&gt;нашими филиалами при условии, что есть два рутера, "смотрящих" в инет <br>&gt;и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, <br>&gt;при котором при падении одного интернет-канала тунели VPN с филиалами тоже <br>&gt;падали и устанавливались через какое-то небольшое время через другой канал. Что <br>&gt;можете посоветовать? <br>&gt;Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как <br>&gt;тогда можно сделать? <br><br>Не надо второго роутера.На одном роутере прописываете два WAN адреса (используете инкапсуляцию dot1Q)- от двух разных провайдеров. затем в конфиге включаете такую запись track 1 rtr 1 reachability<br>Затем прописываете роуты на сетку один роут через одного провайдера, второй через другого, примерно так :<br>ip route 192.168.222.0 255.255.255.0 10.10.10.1 tr https://opennet.ru/openforum/vsluhforumID6/16166.html#9 Tue, 06 May 2008 07:48:57 GMT Можно ещё два маршрута через туннели<br>в tunnel mode ipsec с разными метриками.<br>Проще управлять трафиком: разные transform-set'ы,<br>разные ip mtu на туннелях и т.д.<br>С динамической маршрутизацией или без -<br>это в зависимости от требований к времени<br>переключения, сложности конфигурации и т.д.<br><br> https://opennet.ru/openforum/vsluhforumID6/16166.html#8 Sun, 04 May 2008 06:36:59 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;там же плюсы и минусы разных вариантов. <br>&gt;<br>&gt;И далее доки по 28хх серии IPSec часть. <br>&gt;<br>&gt;И вообще - http://www.cisco.com/go/srnd <br>&gt;<br>&gt;Solutions Reference Network Design (SRND) guides provide deployment scenarios that incorporate Cisco <br>&gt;products and technologies into an architecture that is tested and documented <br>&gt;in Cisco labs or field-proven. <br><br>Зачем Вам такие сложности? Связку головных рутеров можно просто поднять через тот же HSRP для внутренних пользователей, соответственно какой-то из рутеров будет активным изначально в этой связке. На него из филиалов на внешний интерфейс делать set peer &lt;адрес&gt; default, а соответственно на второй головной рутер (который в связке в hsrp будет бэкапным) делать обычный set peer. Соответственно филильный рутер будет обнаруживать"смерть соседа" по DPD (dead peer detection) через кипаливы (которые в свою очередь опять же могут быть как по требованию, так и периодические). Ну и после обнаружения "смерти" филиальный рутер будет уже соединя https://opennet.ru/openforum/vsluhforumID6/16166.html#7 Sat, 03 May 2008 17:41:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt;да, чуть выше вам ответили, это DMVPN <br>&gt;<br>&gt;При всем уважении к Вам, господа, но нафига Вы человеку мозги закампостировали? <br>&gt;Зачем DMVPN? Зачем Gre по IPsec'у ??? Достаточно просто обычной связки <br>&gt;IPSec'а и DPD. В стндартном IPSec'е в крипто мапе можно указать <br>&gt;несколько set peer'ов, но в данном случае, для бэкапа set peer'а <br>&gt;для первого в списке set peer'а нужно в конце дописать опцию <br>&gt;default. И фсе. Теперь первый set peer будет дефолтовым, а к <br>&gt;остальным set peer'ам будет устанавливаться тунель в случае отказа первого set <br>&gt;peer'а, это будет делаться просто через DPD. <br><br>Угу... это называется IPSec Direct Encapsulation для "филиалов", т.к. дальше надо настраивать головные роутеры (2 шт в нашем треде) для работы в связке :)<br><br>А это уже IPsec VPN WAN Design Overview <br>http://www.cisco.com/application/pdf/en/us/guest/netsol/ns17/c649/ccmigration_09186a008074f22f.pdf<br><br>там же плюсы и минусы разных вариантов.<br><br>И далее доки по 28хх серии IPSec часть.<br><br>И вообще - htt https://opennet.ru/openforum/vsluhforumID6/16166.html#6 Sat, 03 May 2008 09:05:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как <br>&gt;&gt;&gt;&gt;тогда можно сделать? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации <br>&gt;&gt;<br>&gt;&gt;А есть ли вариант без использования gre и роутинга, а разруливания только <br>&gt;&gt;самим ipsec'ом статически? Т.е., грубо говоря, в случае падения связи с <br>&gt;&gt;таким то соседом, устанавливаем тунель с другим соседом? <br>&gt;<br>&gt;да, чуть выше вам ответили, это DMVPN <br><br>При всем уважении к Вам, господа, но нафига Вы человеку мозги закампостировали? Зачем DMVPN? Зачем Gre по IPsec'у ??? Достаточно просто обычной связки IPSec'а и DPD. В стндартном IPSec'е в крипто мапе можно указать несколько set peer'ов, но в данном случае, для бэкапа set peer'а для первого в списке set peer'а нужно в конце дописать опцию default. И фсе. Теперь первый set peer будет дефолтовым, а к остальным set peer'ам будет устанавливаться тунель в случае отказа первого set peer'а, это будет делаться просто через DPD.<br> https://opennet.ru/openforum/vsluhforumID6/16166.html#5 Thu, 01 May 2008 13:52:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;падали и устанавливались через какое-то небольшое время через другой канал. Что <br>&gt;&gt;&gt;можете посоветовать? <br>&gt;&gt;&gt;Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как <br>&gt;&gt;&gt;тогда можно сделать? <br>&gt;&gt;<br>&gt;&gt;как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации <br>&gt;<br>&gt;А есть ли вариант без использования gre и роутинга, а разруливания только <br>&gt;самим ipsec'ом статически? Т.е., грубо говоря, в случае падения связи с <br>&gt;таким то соседом, устанавливаем тунель с другим соседом? <br><br>да, чуть выше вам ответили, это DMVPN<br> https://opennet.ru/openforum/vsluhforumID6/16166.html#4 Thu, 01 May 2008 12:00:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с <br>&gt;&gt;нашими филиалами при условии, что есть два рутера, "смотрящих" в инет <br>&gt;&gt;и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, <br>&gt;&gt;при котором при падении одного интернет-канала тунели VPN с филиалами тоже <br>&gt;&gt;падали и устанавливались через какое-то небольшое время через другой канал. Что <br>&gt;&gt;можете посоветовать? <br>&gt;&gt;Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как <br>&gt;&gt;тогда можно сделать? <br>&gt;<br>&gt;как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации <br><br>А есть ли вариант без использования gre и роутинга, а разруливания только самим ipsec'ом статически? Т.е., грубо говоря, в случае падения связи с таким то соседом, устанавливаем тунель с другим соседом?<br> https://opennet.ru/openforum/vsluhforumID6/16166.html#3 Wed, 30 Apr 2008 18:54:51 GMT <br>&gt;как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации <br><br>Циска предлагает в случае 2х отдельных центральных роутеров DMVPN. Вроде как работает :)<br>Поищите по сайту Циско - там довольно много про него сказанно, + в цисковских рекомендациях по построению филиальной сети на ИПСек рекомендуется именно эта схема из за отсутствия единой точки отказа в "голове"<br> https://opennet.ru/openforum/vsluhforumID6/16166.html#2 Wed, 30 Apr 2008 14:47:36 GMT &gt;[оверквотинг удален]<br>&gt;весь трафик должен идти через "нового" провайдера. В принципе это более <br>&gt;менее понятно как сделать (хотя бы через те же метрики у <br>&gt;шлюзов по умолчанию). Вопрос в другом. Как забэкапить IPSec тунели с <br>&gt;нашими филиалами при условии, что есть два рутера, "смотрящих" в инет <br>&gt;и два совершенно разных внешних ip-адреса? В принципе, вполне устроит вариант, <br>&gt;при котором при падении одного интернет-канала тунели VPN с филиалами тоже <br>&gt;падали и устанавливались через какое-то небольшое время через другой канал. Что <br>&gt;можете посоветовать? <br>&gt;Как я понимаю вариант с IPsec Stateful Failover мне не подходит. Как <br>&gt;тогда можно сделать? <br><br>как вариант, поднимаете два GRE с IPsec и протокол динамической маршрутизации<br><br>