https://m.opennet.dev/openforum/vsluhforumID6/20569.html Существует такая задача:<br><br>Соединить два подразделения.<br>На каждой стороне Cisco 2811 (ipadvances). На каждой стороне 2 провайдера.<br>Нужно сделать максимально отказоустойчивую конфигурацию.<br><br>Сделано по четыре туннельных интерфейса с каждой стороны (по принципу "Каждый с каждым", по два туннеля на каждый физический интерфейс).<br>Предполагается поднятие OSPF на интерфейсах для автоматического выбора туннеля.<br>У меня есть некоторые фундаментальные недопонимания по поводу маршрутизации.<br>--------------------------<br>1. Пакет пришедший из локальной сети (local-net1) с адресом назначения из локальной сети на другой стороне (local-net2) анализируется в таблице маршрутизации и находя запись вида <br>ip route localnet2 tunnel 1 и отправляется в Tunnel 1, где шифруется, затем инкапсулируется и опять просматривается таблица маршрутизации, где ищется запись вида 0.0.0.0 0.0.0.0 ISP1-GATE и пакет отправляется по указанному пути (если не находит маршрут, то уничтожается).<br><br>Так вот у меня вопрос: Как сделать так, что выбра https://m.opennet.dev/openforum/vsluhforumID6/20569.html#9 Wed, 24 Mar 2010 13:37:22 GMT &gt;[оверквотинг удален]<br>&gt;Т.е. если туннель с другой стороны недостижим, то туннельный интерфейс уходит в <br>&gt;down и соответствующий маршрут удаляется из таблицы маршрутизации и по keepalive <br>&gt;удаляются SA (DPD). <br>&gt;Затем использовал SLA для определения работоспособности канала и переключения на резервный. <br>&gt;Таким образом, мы имеем всегда один рабочий туннель при одном рабочем провайдере <br>&gt;с каждой стороны. <br>&gt;На внутреннем интерфейсе привязана маршрутная карта, которая занимается маршрутизацией клиенстких машин в <br>&gt;инет, и в общем случае не зависит от default route в <br>&gt;основной таблице маршрутов. <br>&gt;Да, использовал не GRE, а VTI (tunnel protection) <br><br>А можно конфиги глянуть?<br>Меня интересует реализация схеми 2ISP в 1ISP на VTI.<br> <br><br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#8 Mon, 01 Mar 2010 06:35:01 GMT <br>&gt;Правда пришлось городить loopback интерфейсы на стороне 2 пров.,<br><br>Можно глянуть кусок конфига?<br><br>&gt; из-за бага в <br>&gt;иосе (и щас есть). <br><br>И я по то же....<br><br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#7 Mon, 01 Mar 2010 04:52:09 GMT <br>&gt;А у меня сделано, 2 в 1, Gre шифрованный ИПсеком, EIGRP, сходимость <br>&gt;2 сек :) <br>&gt;Правда пришлось городить loopback интерфейсы на стороне 2 пров., из-за бага в <br>&gt;иосе (и щас есть). <br><br>Пардон, Loopback пришлось городить из-за gre + route map + ios bug :)<br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#6 Mon, 01 Mar 2010 04:50:59 GMT &gt;Я до сих пор не увидел (не нашел) НИ ОДНОГО решения, которое <br>&gt;бы позволяло нормально(честно) реализовать вариант два-в-два провайдера для GRE тунелей. Да, <br>&gt;впрочем, и один-в-два. <br><br>А у меня сделано, 2 в 1, Gre шифрованный ИПсеком, EIGRP, сходимость 2 сек :)<br>Правда пришлось городить loopback интерфейсы на стороне 2 пров., из-за бага в иосе (и щас есть).<br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#5 Mon, 01 Mar 2010 04:31:34 GMT &gt;Вот есть такое решение у человека: <br>&gt;http://i-ivanov.livejournal.com/tag/dmvpn <br><br>Спасибо, обязательно изучу материал..<br>Пока реализовано с одной стороны банально просто, с другой собственно довольно эффективно:<br><br>Обошелся и без OSPF.<br><br>Использовал 4 маршрута вида:<br>ip route 192.168.2.0 255.255.255.0 Tunnel0<br>ip route 192.168.2.0 255.255.255.0 Tunnel1 2<br>ip route 192.168.2.0 255.255.255.0 Tunnel2 3<br>ip route 192.168.2.0 255.255.255.0 Tunnel3 4<br><br>Просто разные AD.<br>В туннелях и конфигурации isakmp использовал keepalive/<br>Т.е. если туннель с другой стороны недостижим, то туннельный интерфейс уходит в down и соответствующий маршрут удаляется из таблицы маршрутизации и по keepalive удаляются SA (DPD).<br>Затем использовал SLA для определения работоспособности канала и переключения на резервный.<br>Таким образом, мы имеем всегда один рабочий туннель при одном рабочем провайдере с каждой стороны.<br>На внутреннем интерфейсе привязана маршрутная карта, которая занимается маршрутизацией клиенстких машин в инет, и в об https://m.opennet.dev/openforum/vsluhforumID6/20569.html#4 Sat, 27 Feb 2010 17:30:22 GMT Я до сих пор не увидел (не нашел) НИ ОДНОГО решения, которое бы позволяло нормально(честно) реализовать вариант два-в-два провайдера для GRE тунелей. Да, впрочем, и один-в-два.<br><br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#3 Sat, 27 Feb 2010 17:19:11 GMT Вот есть такое решение у человека:<br>http://i-ivanov.livejournal.com/tag/dmvpn<br><br>Решение рабочее (я повторял), однако есть несколько "но".<br><br>Задачка была откатана на эмуляторе...В реальной жизни все не совсем так.<br>Если не предпринимать никаких дополнительных действий, то работать будет только ОДИН тунель (в сторону дефолтного роута на каждой стороне). НИКАКОГО резервирования.<br><br>Как исправить:<br><br>Добавляем SLA с каждой стороны (переключаем дефолтный роутинг)... Получаем, опять же, ОДИН рабочий тунель, но с нормальным резервированием.....<br> <br>Если еще добавить local policy route-map то получим 3 тунеля (не работает резерв-резерв)....<br>Вообще то ситуация загадочная, но факт (или лыжи не едут ;) )...<br><br>Ну и бегает OSPF.<br>Замечу, что время схождения сетки, в основном, зависит от таймаутов SLA (а не от OSPF).<br><br>Как то так ;) <br><br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#2 Thu, 25 Feb 2010 18:12:47 GMT два рутера будут видеть друг друга по каждому туннелю - устанавливать соседские отношения по ospf.<br>если туннель падает, то соседские отношения по данному тунелю разрываются, маршрут через этот конкретный тоннель удаляется из таблицы ospf и (если он был) из таблицы маршрутизации.<br><br>таким образом трафик не будет просто так уничтожаться, пока есть хотя бы один тоннель, трафик пойдет по тоннелю.<br> https://m.opennet.dev/openforum/vsluhforumID6/20569.html#1 Thu, 25 Feb 2010 14:03:02 GMT &gt;[оверквотинг удален]<br>&gt;Что мне использовать? Слежение за доступностью гейтов провайдеров(tracking)? <br>&gt;<br>&gt;И второе, как собственно будут доставляться анонсы ospf, анонс генерируемый на интерфейсе <br>&gt;Tunnel1, у которого Source Fa0/0 смотрящий в сторону ISP1 должен отправляться <br>&gt;на ISP1-GATE и такая же ситуация с другими туннелями. Но как <br>&gt;привязать маршрут туннелю, т.е. если пакет зашел в туннель, то в <br>&gt;зависимости от физического интерфейса, к которому привязан туннель отправлять в сторону <br>&gt;соответсвующего провайдера <br>&gt;<br>&gt;Запутался я....может кто-нибудь поможет мне...буду очень признателен <br><br> Настройке ospf, сделайте чтобы анонсы через туннели имели разные adm dist (чтобы трафик не валил во все туннели), и все ваши вопросы отпадут<br>