URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23226
[ Назад ]

Исходное сообщение
"Два офиса, два провайдера, 4 vpn"
Отправлено MmK , 26-Окт-11 15:02

Доброго времени суток.
Столкнулся с такой задачей, есть два офиса, каждый их них подключен к сети Интернет через Cisco 2811, FA0/0 - основной канал (ISP1) и FA0/1 - резервный канал (ISP2). Офисы необходимо соединить 4-я VPN-ми:
1. Основной канал первого офиса - основной канал второго офиса;
2. Основной канал первого офиса - резервный канал второго офиса;
3. Резервный канал первого офиса - основной канал второго офиса;
4. Резервный канал первого офиса - резервный канал второго офиса;
Одновременно поднять все четыре VPN-тоннеля не получается, в логах появляются сообщения:
%CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from xx.xx.xx.xx failed its sanity check or is malformed
Работают только два VPN-а и то постоянно падают и поднимаются.
Если на каждой Cisco оставить по одному default route, то пара VPN-ов начинает работать стабильно.
Каким образом можно получить четыре VPN-на?
Конфигурация Cisco 2811 в первом офисе:
!
hostname Office1
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp key 1234567890 address 192.168.2.1
crypto isakmp key 0987654321 address 192.168.3.1
!
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
!
crypto map MYMAP1 10 ipsec-isakmp
set peer 192.168.2.1
set transform-set MYSET
match address 101
!
crypto map MYMAP2 10 ipsec-isakmp
set peer 192.168.3.1
set transform-set MYSET
match address 101
!
interface Tunnel0
ip address 10.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 192.168.2.1
!
interface Tunnel1
ip address 10.0.0.5 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 192.168.3.1
!
interface Tunnel2
ip address 10.0.1.1 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 192.168.2.1
!
interface Tunnel3
ip address 10.0.1.5 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 192.168.3.1
!
interface FastEthernet0/0
description ISP1
ip address 192.168.0.1 255.255.255.252
crypto map MYMAP1
!
interface FastEthernet0/1
description ISP2
ip address 192.168.1.1 255.255.255.252
crypto map MYMAP2
!
interface FastEthernet1/0
description Office1 LAN
ip address 192.168.10.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.2
ip route 0.0.0.0 0.0.0.0 192.168.1.2
!
access-list 101 permit ip any any
!

Конфигурация Cisco 2811 во втором офисе:
!
hostname Office2
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp key 1234567890 address 192.168.0.1
crypto isakmp key 0987654321 address 192.168.1.1
!
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
!
crypto map MYMAP1 10 ipsec-isakmp
set peer 192.168.0.1
set transform-set MYSET
match address 101
!
crypto map MYMAP2 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set MYSET
match address 101
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 192.168.0.1
!
!
interface Tunnel1
ip address 10.0.0.6 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 192.168.1.1
!
!
interface Tunnel2
ip address 10.0.1.2 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 192.168.0.1
!
!
interface Tunnel3
ip address 10.0.1.6 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 192.168.1.1
!
!
interface FastEthernet0/0
description ISP3
ip address 192.168.2.1 255.255.255.252
crypto map MYMAP1
!
interface FastEthernet0/1
description ISP4
ip address 192.168.3.1 255.255.255.252
crypto map MYMAP2
!
interface FastEthernet1/0
description Office2 LAN
ip address 192.168.11.1 255.255.255.0
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.2
ip route 0.0.0.0 0.0.0.0 192.168.3.2
!
!
access-list 101 permit ip any any
!
С уважением.

Содержание

Два офиса, два провайдера, 4 vpn,fantom, 16:18 , 26-Окт-11
- Два офиса, два провайдера, 4 vpn,Николай_kv, 17:33 , 26-Окт-11
  - Два офиса, два провайдера, 4 vpn,fantom, 11:16 , 27-Окт-11
    - Два офиса, два провайдера, 4 vpn,fantom, 11:18 , 27-Окт-11
Два офиса, два провайдера, 4 vpn,Pve1, 11:33 , 27-Окт-11
- Два офиса, два провайдера, 4 vpn,MmK, 12:52 , 27-Окт-11
  - Два офиса, два провайдера, 4 vpn,Pve1, 14:33 , 27-Окт-11
    - Два офиса, два провайдера, 4 vpn,MmK, 16:55 , 01-Ноя-11
      - Два офиса, два провайдера, 4 vpn,j_vw, 20:13 , 02-Ноя-11

Сообщения в этом обсуждении

"Два офиса, два провайдера, 4 vpn"
Отправлено fantom , 26-Окт-11 16:18

>[оверквотинг удален]
> !
> !
> ip classless
> ip route 0.0.0.0 0.0.0.0 192.168.2.2
> ip route 0.0.0.0 0.0.0.0 192.168.3.2
> !
> !
> access-list 101 permit ip any any
> !
> С уважением.
Прописать роуты к нужным адресам вместо деф-а
например ip route 192.168.0.1 255.255.255.255 192.168.2.2
ip route 192.168.1.1 255.255.255.255 192.168.3.2

"Два офиса, два провайдера, 4 vpn"
Отправлено Николай_kv , 26-Окт-11 17:33

>[оверквотинг удален]
>> ip route 0.0.0.0 0.0.0.0 192.168.2.2
>> ip route 0.0.0.0 0.0.0.0 192.168.3.2
>> !
>> !
>> access-list 101 permit ip any any
>> !
>> С уважением.
> Прописать роуты к нужным адресам вместо деф-а
> например ip route 192.168.0.1 255.255.255.255 192.168.2.2
> ip route 192.168.1.1 255.255.255.255 192.168.3.2
2 fantom Да не прокатит так у него поскольку статика на дефаулт роутах => работать будут только 3 VPN канала того ИСП который будет основной в данный момент времени.
1. Основной канал первого офиса - основной канал второго офиса;
2. Основной канал первого офиса - резервный канал второго офиса;
3. Резервный канал первого офиса - резервный канал второго офиса; (если прописать роуты к нужным адресам)
Вам надо или чуток переработать схему или sla поднять - но тогда один ISP канал будет отдыхать, или BGP что есть дорого.
И еще определитесь что вам надо. Вы сейчас подняли одновременно IPSEC криптомапы и GRE туннели - нагрузка на проц скоро даст о себе знать. Для защиты туннелей используйте конструкцию
tunnel protection ipsec profile NAME
Поднимите динамику которая будет бегать внутри туннелей
Вместо пар адресов на тунелях /30 используйте конструкцию ip unnumbered Loopback0
тогда не запутаетесь.

"Два офиса, два провайдера, 4 vpn"
Отправлено fantom , 27-Окт-11 11:16

>[оверквотинг удален]
> роуты к нужным адресам)
> Вам надо или чуток переработать схему или sla поднять - но тогда
> один ISP канал будет отдыхать, или BGP что есть дорого.
> И еще определитесь что вам надо. Вы сейчас подняли одновременно IPSEC криптомапы
> и GRE туннели - нагрузка на проц скоро даст о себе
> знать. Для защиты туннелей используйте конструкцию
> tunnel protection ipsec profile NAME
> Поднимите динамику которая будет бегать внутри туннелей
> Вместо пар адресов на тунелях /30 используйте конструкцию ip unnumbered Loopback0
> тогда не запутаетесь.
Какраз получится -keepalive на тунелях прицепить или ospf завести, если один пров отвалится на любом из офисоф - отвалятся 2 тунеля через оного шебуршащих, тунели погаснут, более того если отвалятся по одному прову на каждом офисе - все равно один тунель живой останется, все будет работать.

"Два офиса, два провайдера, 4 vpn"
Отправлено fantom , 27-Окт-11 11:18

>[оверквотинг удален]
>> знать. Для защиты туннелей используйте конструкцию
>> tunnel protection ipsec profile NAME
>> Поднимите динамику которая будет бегать внутри туннелей
>> Вместо пар адресов на тунелях /30 используйте конструкцию ip unnumbered Loopback0
>> тогда не запутаетесь.
> Какраз получится -keepalive на тунелях прицепить или ospf завести, если один пров
> отвалится на любом из офисоф - отвалятся 2 тунеля через оного
> шебуршащих, тунели погаснут, более того если отвалятся по одному прову
> на каждом офисе - все равно один тунель живой останется, все
> будет работать.
ИМХО SLA - костыль, который стоит применять только в варианте когда другими инструментами ну никак не получается.

"Два офиса, два провайдера, 4 vpn"
Отправлено Pve1 , 27-Окт-11 11:33

1. GRE трафик не попадает  под действия Policy Based Routing.
2. У тунельного интерфейса есть опция tunnel route-via ... Позволяет направлять тунель через конкретный выходной интерфейс, при учете что в таблице маршрутизации есть соответствующий активный маршрут.
Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.
3. Если вы хотети full mesh - вариант только один: vrf. У обычного тунельного интерфейса можно назначить исходящий интерфейс, находящийся в любом vrf. Т.е. интерфейсы смотрящие во 2-го провайдера с обоиз сторон поместить в какой-нибудь vrf (обязательно одинакойвый с обоих сторон - иначе не заработает).  Из минусов - вы не сможете раздавать интернет через интерфейс из VRF. Правда сможете через тунель и удаленный рутер)))
4. Что бы 2 тунеля нормально ужились на 1 физическом интерфейсе - необходимо настроить на них разные tunnel key. Угадайте почему?:)

ИМХО предложенная схема надуманная и нафиг не нужная. Тем более что рутеры не зарезервированы.
Вполне достаточно схемы: ISP1.1-ISP2.1; ISP2.1-ISP2.2.
Хотите full mesh - покупайте еще 2 маршрутизатора.

"Два офиса, два провайдера, 4 vpn"
Отправлено MmK , 27-Окт-11 12:52

> 1. GRE трафик не попадает под действия Policy Based Routing.
> 2. У тунельного интерфейса есть опция tunnel route-via ... Позволяет направлять тунель
> через конкретный выходной интерфейс, при учете что в таблице маршрутизации есть
> соответствующий активный маршрут.
Не нашел такой опции. IOS: C2800NM-ADVENTERPRISEK9_IVS-M Version 12.4(9)T
> Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.
Не совсем понял схему. У нас четыре ISP, а не два...
> 3. Если вы хотети full mesh - вариант только один: vrf. У
> обычного тунельного интерфейса можно назначить исходящий интерфейс, находящийся в любом
> vrf. Т.е. интерфейсы смотрящие во 2-го провайдера с обоиз сторон поместить
> в какой-нибудь vrf (обязательно одинакойвый с обоих сторон - иначе не
> заработает). Из минусов - вы не сможете раздавать интернет через
> интерфейс из VRF. Правда сможете через тунель и удаленный рутер)))
Тогда такой вариант не пойдет, Интернет нужно раздавать со всех интерфейсов и лишний трафик в тоннеле не нужен.
> 4. Что бы 2 тунеля нормально ужились на 1 физическом интерфейсе -
> необходимо настроить на них разные tunnel key. Угадайте почему?:)
Опыта мало, не угадаю. :)
> ИМХО предложенная схема надуманная и нафиг не нужная. Тем более что рутеры
> не зарезервированы.
Вообще для работы нужно два тоннеля, по одному на каждом интерфейсе. Два других на случай проблем у провайдеров.
> Вполне достаточно схемы: ISP1.1-ISP2.1; ISP2.1-ISP2.2.
> Хотите full mesh - покупайте еще 2 маршрутизатора.
Вариант с покупкой отпадает, денег на это не дадут. :(

"Два офиса, два провайдера, 4 vpn"
Отправлено Pve1 , 27-Окт-11 14:33

> Не нашел такой опции. IOS: C2800NM-ADVENTERPRISEK9_IVS-M Version 12.4(9)T
Читаем здесь:
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_trsel.html
Уже давно 15-й ios на дворе.
>> Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.
> Не совсем понял схему. У нас четыре ISP, а не два...
В моей терминогогии: ISP2.1 - основной провайдер во 2-м офисе. Теперь думаю схема понятна?

Повторюсь - без использования vrf с текущим количеством маршрутизаторов full mesh вы никак не сделаете.
Делайте предложенную схему с 2-я тунелями и не парьтесь.

"Два офиса, два провайдера, 4 vpn"
Отправлено MmK , 01-Ноя-11 16:55

>>> Этот пункт позволяет сделать схему ISP1.1-ISP2.1; ISP2.1-ISP2.2.
>> Не совсем понял схему. У нас четыре ISP, а не два...
> В моей терминогогии: ISP2.1 - основной провайдер во 2-м офисе. Теперь думаю
> схема понятна?
Тогда, наверное, такая схема ISP1.1-ISP2.1; ISP1.2-ISP2.2?
> 4. Что бы 2 тунеля нормально ужились на 1 физическом интерфейсе -
> необходимо настроить на них разные tunnel key. Угадайте почему?:)
Можно ссылку, почему нельзя один tunnel key?

"Два офиса, два провайдера, 4 vpn"
Отправлено j_vw , 02-Ноя-11 20:13

Есть еще "костыль" с двумя адресами на интерфейсе.
Типа такого(Для схемы 1<->2):
R1(Office I)
int fa 1
Desc ISP_I
ip addr 10.1.0.1
ip addr 10.1.0.2 sec
int tun1
source 10.1.0.1
dest 10.2.0.1
int tun2
source 10.1.0.2
dest 10.3.0.1
R2(Office II)
Int fa 1
Desc ISP_II
ip addr 10.2.0.1
Int ISP_III
ip addr 10.3.0.1
int tun1
source 10.2.0.1
dest 10.1.0.1
int tun2
source 10.3.0.1
dest 10.1.0.2

ip route 0.0.0.0 via ISP_II
ip route host 10.1.0.2 via ISP_III