https://mobile.opennet.me/openforum/vsluhforumID6/19896.html Есть центральный маршрутизатор Cisco 2811 в офисе с двумя внешними интерфейсами, к нему по VPN на один из интерфейсов коннектятся Cisco 851 филиалов. <br><br>Задача: сделать так, чтобы при падении канала на одном из внешних интерфейсов циски филиалов автоматически начали соединяться на второй.<br><br>Переключение интерфейсов на центральном маршрутизаторе, вроде, настроено. На клиентских цисках прописал вторым set peer адрес резервного интерфейса. Дергаю из центральной циски провод из первого интерфейса - второй интерфейс начинает отвечать на пинги, но клиенты законнектиться не могут. Что не так?<br><br><br><br>Конфиг основного роутера:<br><br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname MainOffice<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 4096 debugging<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>clock timezone PCTime 3<br>clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00<br>ip subnet-zer https://mobile.opennet.me/openforum/vsluhforumID6/19896.html#4 Tue, 27 Oct 2009 06:17:34 GMT &gt;А еще вариант: IPSec привязывать не к физическим интерфейсам, а к VTI <br><br>Про эту технологию вообще не слышал, если есть конкретный пример, то можно попробовать...<br><br>...<br><br>Пытаюсь разбираться со своим конфигом. Дернул первый интерфейс из основной циски (FastEthernet0/0, 213.234.195.189), смотрю, что происходит на клиентской:<br><br>#ping 78.40.108.45<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 78.40.108.45, timeout is 2 seconds:<br>!!!!!<br>Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms<br><br>Значит, резервный интерфейс она видит и он доступен! Но не переключается:<br><br>#show crypto session<br>Crypto session current status<br><br>Interface: FastEthernet4<br>Session status: UP-NO-IKE<br>Peer: 213.234.195.189 port 500<br> IPSEC FLOW: permit ip 192.168.24.0/255.255.255.0 192.168.0.0/255.255.254.0<br> Active SAs: 2, origin: crypto map<br><br>Interface: FastEthernet4<br>Session status: DOWN<br>Peer: 78.40.108.45 port 500<br> IPSEC FLOW: permit 1 192.168.24.0/255.255.255.0 192.168.0.0/255.255.2 https://mobile.opennet.me/openforum/vsluhforumID6/19896.html#3 Mon, 26 Oct 2009 11:19:27 GMT &gt;Посмотрел - не понял. Мне нужно, чтобы один интерфейс был основным, а <br>&gt;второй поднимался для VPN в случае отказа первого. У них там <br>&gt;явно как-то иначе реализовано. <br><br>А еще вариант: IPSec привязывать не к физическим интерфейсам, а к VTI (Virtual Tunnelling Interface)<br> https://mobile.opennet.me/openforum/vsluhforumID6/19896.html#2 Mon, 26 Oct 2009 10:49:12 GMT &gt;Вот посмотрите: <br>&gt;http://www.opennet.ru/openforum/vsluhforumID6/17409.html <br><br>Посмотрел - не понял. Мне нужно, чтобы один интерфейс был основным, а второй поднимался для VPN в случае отказа первого. У них там явно как-то иначе реализовано.<br> https://mobile.opennet.me/openforum/vsluhforumID6/19896.html#1 Mon, 26 Oct 2009 09:14:54 GMT &gt;[оверквотинг удален]<br>&gt; privilege level 15 <br>&gt; login local <br>&gt; transport input telnet ssh <br>&gt;! <br>&gt;scheduler max-task-time 5000 <br>&gt;ntp logging <br>&gt;ntp clock-period 17174983 <br>&gt;ntp source Vlan1 <br>&gt;ntp server 192.168.0.5 <br>&gt;end <br><br>Вот посмотрите:<br>http://www.opennet.ru/openforum/vsluhforumID6/17409.html<br>