URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23348
[ Назад ]

Исходное сообщение
"Два VPN тунеля до одного филиала"
Отправлено Два VPN тунеля до одного филиала , 05-Дек-11 12:58

Добрый день люди добрые. Может кто подскажет.
Есть Cisco 2801 (revision 7.0) with 235520K/26624K bytes of memory.
C2801-ADVSECURITYK9-M, Version 12.4(15)T9
Configuration register is 0x2102
У нее два было интерфейса (fa 0/0 - смотрит в локальную сеть, fa 0/1 - в интернет:
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ETH-LAN$$FW_INSIDE$
ip address 192.168.1.254 255.255.255.0
ip access-group sdm_fastethernet0/0_in in
no ip proxy-arp
ip nbar protocol-discovery
ip nat inside
ip virtual-reassembly
ip policy route-map route-select
duplex auto
speed auto
snmp ifindex persist
interface FastEthernet0/1
description Prov1$ETH-WAN$$FW_OUTSIDE$
ip address 88.188.8.188 255.255.255.252
ip access-group 101 in
no ip proxy-arp
ip inspect Prov1 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
snmp ifindex persist
Она является Dynamic Multipoint VPN Hub:
interface Tunnel0
bandwidth 8000
ip address 192.168.100.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1360
no ip split-horizon
delay 1000
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile SDM_Profile5
В филиалах тоже циски, которые являются DMVPN клиентами и имеют адреса из сети 192.168.100.0/24
К филиалам прописаны статические маршруты:
S    192.168.2.0/24 [1/0] via 192.168.100.7
S    192.168.3.0/24 [1/0] via 192.168.100.6
S    192.168.4.0/24 [1/0] via 192.168.100.5
и т.д.
Интернет от "первого" провайдера качественный (скорость и стабильность на высоком уровне), но лимитированный и откровенно говоря "недешёвый".
В связи с переходом на новую почтовую систему (а это подтягивание из филиалов серьёзных баз с письмами) и большими объемами "неприоритетного" Web трафика было решено подключиться ко "второму" провайдеру который дает безлимит по разумной цене.
Был куплен модуль HWIC.
interface FastEthernet0/3/0
description Prov2$FW_OUTSIDE$
ip address 99.199.99.198 255.255.255.252
ip access-group 112 in
no ip proxy-arp
ip inspect Prov2 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
Зарулить Web трафик на второго провайдера не составило труда. Сделано это было через route-map на внутреннем интерфейсе + нат на обоих интерфейсах.
Распишу как делал:
1) Вешаем NAT на оба интерфейса
route-map Prov1_NAT permit 10
   match interface fa 0/1riute-map Prov2_NAT permit 10
   match interface fa 0/3/0
ip nat inside source route-map Prov1_NAT interface fa 0/1 overload
ip nat inside source route-map Prov2_NAT interface fa 0/3/0 overload
2) Пишем ACL-ы которые "выцепляют" нужный трафик
Таких видов трафика два - первое: весь трафик на VPN сеть предприятия

access-list 104 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
Второе: Web трафик, который надо завернуть на второго провайдера, а также трафик до DNS серверов второго провайдера
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any 80
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any 443
access-list 102 permit ip 192.168.1.0 0.0.0.255 99.199.99.1
access-list 102 permit ip 192.168.1.0 0.0.0.255 99.199.190.1
3) Пишем route-map для "раскидывания трафика по интерфейсам"
route-map route-select permit 10
 match ip address 104
 set interface Tunnel0
!
route-map route-select permit 20
 match ip address 102
 set ip next-hop 85.234.23.145
4) Вешаю route-map на внутренний интерфейс

interface fa 0/0
  ip policy route-map route-select
Важный момент! В таблице маршрутизации маршрут по умолчанию один - к маршрутизатору первого провайдера.
S*   0.0.0.0/0 [1/0] via 88.188.8.187
То есть все что не раскидано с помощью route-map route-select уходит через первого провайдера.
Первую часть задачи мы решили - web трафик завернули. http://myip.ru показывает ip-шник второго провайдера. Все ок.
Но осталась вторая часть задания - выкачать с филиалов много гигов файлов + подключить outlook-и к Exchange серверу так, чтобы трафик шел также через нового провайдера.
Тут напрашиваются варианты: поднять новые тунели, site-to-site VPN-ны либо что-то еще.  НО!!!!!!
Все эти VPN-ы  cisc-а устанавливает сама. А для того, чтобы достучаться до филиала у нее есть один маршрут - через первого провайдера.
Если я пишу ей второй маршрут по умолчанию (через второго провайдера) с той же административной дистанцией
ip route 0.0.0.0 0.0.0.0 88.188.8.187
то у меня отваливается вся Dynamic Multipoint VPN сеть.
Если я пишу маршрут по умолчанию с большей административной дистанцией
ip route 0.0.0.0 0.0.0.0 88.188.8.187  5
то в действующую таблицу маршрутизации он даже не попадает.
Отсюда дилема. Как через двух разных провайдеров интернет установить 2 разных VPN (здесь я подразумеваю некий защищенный канад передачи данных) до одного и того же филиала?
Ну а трафик раскинуть между двумя VPN думаю будет не проблемой (думаю здесь не смотря на то что сеть назначения одна опять придет на помощь route-map с избирательной политикой чего-куда).
Скажу сразу вариант "А повесь VPN hub на нового провайдера и не парься" не прокатит, так как между филиалами бегает ip-голос и решено, что он должен ходить через надежного провайдера, то бишь через первого.

Содержание

Два VPN тунеля до одного филиала,GolDi, 13:29 , 05-Дек-11
- Два VPN тунеля до одного филиала,Два VPN тунеля до одного филиала, 16:44 , 05-Дек-11
  - Два VPN тунеля до одного филиала,fantom, 16:55 , 05-Дек-11
    - Два VPN тунеля до одного филиала,burder, 22:55 , 05-Дек-11

Сообщения в этом обсуждении

"Два VPN тунеля до одного филиала"
Отправлено GolDi , 05-Дек-11 13:29

>[оверквотинг удален]
> то в действующую таблицу маршрутизации он даже не попадает.
> Отсюда дилема. Как через двух разных провайдеров интернет установить 2 разных VPN
> (здесь я подразумеваю некий защищенный канад передачи данных) до одного и
> того же филиала?
> Ну а трафик раскинуть между двумя VPN думаю будет не проблемой (думаю
> здесь не смотря на то что сеть назначения одна опять придет
> на помощь route-map с избирательной политикой чего-куда).
> Скажу сразу вариант "А повесь VPN hub на нового провайдера и не
> парься" не прокатит, так как между филиалами бегает ip-голос и решено,
> что он должен ходить через надежного провайдера, то бишь через первого.
Вариантов как мне видится только 2:
1. поднять динамическую маршрутизация и играться с ней
2. это уже вами сделано - route-map-ми

"Два VPN тунеля до одного филиала"
Отправлено Два VPN тунеля до одного филиала , 05-Дек-11 16:44

> Вариантов как мне видится только 2:
> 1. поднять динамическую маршрутизация и играться с ней
> 2. это уже вами сделано - route-map-ми
1. Поднять динамическую маршрутизацию. Где?
Мне нужно на одну и ту же сеть филиала к примеру 192.168.2.0/24 пускать от себя два вида трафика причем двумя разными каналами.
Туннель (шифрованный канал) циска устанавливает сама. А значит до одного и того же узла (до внешнего ip адреса филиала) у нее должно быть два маршрута.
2. Это уже вами сделано - route-map-ми
Туннели поднимает сама циска. А как наложить route-map на трафик порожденный самой циской?

"Два VPN тунеля до одного филиала"
Отправлено fantom , 05-Дек-11 16:55

>[оверквотинг удален]
>> 2. это уже вами сделано - route-map-ми
> 1. Поднять динамическую маршрутизацию. Где?
> Мне нужно на одну и ту же сеть филиала к примеру 192.168.2.0/24
> пускать от себя два вида трафика причем двумя разными каналами.
> Туннель (шифрованный канал) циска устанавливает сама. А значит до одного и того
> же узла (до внешнего ip адреса филиала) у нее должно быть
> два маршрута.
> 2. Это уже вами сделано - route-map-ми
> Туннели поднимает сама циска. А как наложить route-map на трафик порожденный самой
> циской?
Подумать в сторону такой штуки, как VRF.
Интерфейс одного прова - один VRF, второго - второй.

"Два VPN тунеля до одного филиала"
Отправлено burder , 05-Дек-11 22:55

DMVPN
http://img.nag.ru/projects/setup/e81/bea1f12e3a83b4b655c3dbb...
Автор попробуйте это.