форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

" несколько DMVPN с одного внешнего IP адреса"	+/–
Сообщение от gerhard (ok) on 19-Сен-16, 16:24
Всем привет. Недавно нарисовалась такая проблема. Есть циска 1841 с внешним адресом,с которой строится DMVPN туннель до адреса х.х.х.х. За циской (за натом) стоит роутер,а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель до адреса х.х.х.х. Т.е. получается,что с 1 внешнего айпишника строится 2 DMVPN туннеля. Для резервирования интернета на роутере перед 1921 предполагалось поставить 3G модем,на который будет переключаться интернет в случае разрыва канала между циской 1841 и роутером. В тот момент,когда канал падает,интернет переключается на модем и все хорошо работает.Но вот туннель при этом не поднимается,хотя в sh isacmp sa пишет QM_IDLE ,но на самом деле он не работает и OSPF не расходится. В связи с этим вопрос : почему автоматически не поднимается туннель при падении канала и переходе на 3G ( если его руками перезагрузить,то через какое-то кол-во манипуляций, он поднимется)? И еще вообще возможна ли корректная работа нескольких DMVPN туннелей с 1 внешнего адреса. Если нет,то какое альтернативный вариант в данном случае лучше применить? Примерная схема - https://yadi.sk/i/WjkVqii_vP6Vv
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. " несколько DMVPN с одного внешнего IP адреса"	+/–
Сообщение от ShyLion (ok) on 20-Сен-16, 09:40
> Всем привет. > а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель Какая-то странная схема. Что мешает между цисками построить линк и роутить внутри?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от ShyLion (ok) on 20-Сен-16, 09:47
	>> Всем привет. Вообще в центре для таких случаев делается несколько хабов - с разными адресами, а на споках до этих адресов делается статический маршрут принудительно через разных операторов. Тогда все моментально переключается.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от gerhard (ok) on 21-Сен-16, 14:21
	>>> Всем привет. > Вообще в центре для таких случаев делается несколько хабов - с разными > адресами, а на споках до этих адресов делается статический маршрут принудительно > через разных операторов. Тогда все моментально переключается. Вся проблема в том,что до второй циски(1921) не получается протянуть внешний айпишник ,поэтому ей приходится выходить в инет через NAT на 1841. Вообще какой более оптимальный вариант построения туннелей,если роутеры выходят наружу с 1 внешнего адреса?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от gerhard (ok) on 21-Сен-16, 14:24
	>> Всем привет. >> а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель > Какая-то странная схема. Что мешает между цисками построить линк и роутить внутри? Что значит роутить внутри? У меня туннели строятся до ХАБа для работы IP телефонии,которая стоит в другом городе.Соотвественно каждая циска(1841 и 1921) через туннель по  OSPF передает свою подсеть для маршрутизации.Далее соответственно поднимаются телефоны в жтой подсети и связываются с колл центром,который стоит за ХАБом
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от ShyLion (ok) on 22-Сен-16, 08:03
	>>> Всем привет. >>> а за роутером уже стоит еще одна циска 1921,с которой тоже строится DMVPN туннель >> Какая-то странная схема. Что мешает между цисками построить линк и роутить внутри? > Что значит роутить внутри? У меня туннели строятся до ХАБа для работы > IP телефонии,которая стоит в другом городе.Соотвественно каждая циска(1841 и 1921) через > туннель по  OSPF передает свою подсеть для маршрутизации.Далее соответственно поднимаются > телефоны в жтой подсети и связываются с колл центром,который стоит за > ХАБом эти ваши роутеры - они внутри одной организации? если так, то нужно дизайн сети пересмотреть. Тунели должны быть на границе вашей сети а не внутри ее. Рутить внутри означает что один роутер анонсирует свои сети другому, а тот реанонсирует далее на хаб. При наличии альтернативного маршрута, выбор оптимального регулируется метриками, для OSPF это cost, для EIGRP это delay и bandwidth.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от gerhard (ok) on 22-Сен-16, 09:34
	>[оверквотинг удален] >> IP телефонии,которая стоит в другом городе.Соотвественно каждая циска(1841 и 1921) через >> туннель по  OSPF передает свою подсеть для маршрутизации.Далее соответственно поднимаются >> телефоны в жтой подсети и связываются с колл центром,который стоит за >> ХАБом > эти ваши роутеры - они внутри одной организации? если так, то нужно > дизайн сети пересмотреть. Тунели должны быть на границе вашей сети а > не внутри ее. > Рутить внутри означает что один роутер анонсирует свои сети другому, а тот > реанонсирует далее на хаб. При наличии альтернативного маршрута, выбор оптимального регулируется > метриками, для OSPF это cost, для EIGRP это delay и bandwidth. Да роутеры внутри одной организации. К сожалению нет возможности переделать сеть по-другому.Во всяком случае сейчас.Я так понимаю,даже если я сделаю туннели не через DMVPN,то все равно будет вываливаться ошибка SA,о том что уже с данного внешнего адреса есть клиент.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от ShyLion (ok) on 22-Сен-16, 14:01
	> если я сделаю туннели не через DMVPN,то все равно будет вываливаться > ошибка SA,о том что уже с данного внешнего адреса есть клиент. В вашей схеме один тунель тупо лишний. Между цисками что за роутер?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от gerhard (ok) on 22-Сен-16, 15:51
	>> если я сделаю туннели не через DMVPN,то все равно будет вываливаться >> ошибка SA,о том что уже с данного внешнего адреса есть клиент. > В вашей схеме один тунель тупо лишний. Между цисками что за роутер? Роутер asus rt66.Он не лишний,потому что если его не будет,тогда при  разрыве связи с 1841,телефоны после 1921 работать не будут.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от ShyLion (ok) on 23-Сен-16, 09:56
	>>> если я сделаю туннели не через DMVPN,то все равно будет вываливаться >>> ошибка SA,о том что уже с данного внешнего адреса есть клиент. >> В вашей схеме один тунель тупо лишний. Между цисками что за роутер? > Роутер asus rt66.Он не лишний,потому что если его не будет,тогда при   > разрыве связи с 1841,телефоны после 1921 работать не будут. Из схемы непонятно, какое между ними расстояние и подключение, но если нет связи до 1841, то в любом случае не будут работать телефоны. Раз вы через него тунель пытаетесь сделать.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от ShyLion (ok) on 23-Сен-16, 10:01
	>>> если я сделаю туннели не через DMVPN,то все равно будет вываливаться >>> ошибка SA,о том что уже с данного внешнего адреса есть клиент. >> В вашей схеме один тунель тупо лишний. Между цисками что за роутер? > Роутер asus rt66.Он не лишний,потому что если его не будет,тогда при   > разрыве связи с 1841,телефоны после 1921 работать не будут. делается тунель от 1841 до центра через основной инет делается тунель от 1921 до центра через 3Г делается линк либо прямой либо опять-же просто статический тунель между 1841 и 1921 цена трафика через тунель 3Г делается "невыгодной" для всех, тогда он становится резервом. В итоге у вас два внешних тунеля, которые всегда в "up", но траффик ходит через основной. на хабе нужно будет сделать еще один DMVPN хаб, если нельзя с другим IP, то хотябы с другим ID тунеля, чтобы цену назначть хуже чем у основного.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от Кирилл (??) on 26-Сен-16, 11:45
	>[оверквотинг удален] > делается тунель от 1921 до центра через 3Г > делается линк либо прямой либо опять-же просто статический тунель между 1841 и > 1921 > цена трафика через тунель 3Г делается "невыгодной" для всех, тогда он становится > резервом. > В итоге у вас два внешних тунеля, которые всегда в "up", но > траффик ходит через основной. > на хабе нужно будет сделать еще один DMVPN хаб, если нельзя с > другим IP, то хотябы с другим ID тунеля, чтобы цену назначть > хуже чем у основного. Shylion, а можно с вами пообщаться не через сайт ? :)Желательно наверно голосом.Мой номер 89067311331
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. " несколько DMVPN с одного внешнего IP адреса"	+/–
	Сообщение от ShyLion (ok) on 27-Сен-16, 07:41
	> Shylion, а можно с вами пообщаться не через сайт ? :)Желательно наверно > голосом.Мой номер 89067311331 ICQ: 8757284
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема