The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"резервирование  IPSec канала "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"резервирование  IPSec канала "  +/
Сообщение от beaver33 email(ok) on 15-Июн-10, 11:00 
Здравствуйте, админы.
Суть вопроса, в следующем.
Есть вот такая схемка

контора                               офис
CISCO 2821 ____________IPSec__________CISCO 877
x.x.x.x                               y.y.y.y
с этим подключением всё понятно, всё работает.

В конторе появился еще один адрес от другого провайдера.
Можно ли узнать, каким образом можно настроить CISCO 877 из офиса, чтобы при недоступности адреса CISCO 2821 x.x.x.x, CISCO 877 y.y.y.y автоматически переключалась на адрес z.z.z.z CISCO 2611, с поднятием IPSec. А при восстановлении основого канала, CISCO 877 переключилась автоматически обратно на CISCO 2821 x.x.x.x.
У основного провайдера на одном из участков, возле нащей конторы,
могут проводиться ремонтные работы, и адрес CISCO 2821  x.x.x.x может быть недоступен.
На CISCO 877 y.y.y.y - провайдер один. И новый адрес CISCO 2611 z.z.z.z я с CISCO 877 y.y.y.y вижу.


контора   обвал у основного провайдера      офис
CISCO 2821 ____________IPSec_______________CISCO 877
x.x.x.x                                                               y.y.y.y
                                                                           |  
          автоматическое переключение                                      |
               на резервный канал                                      |
контора-------------IPSec--------------------------------------------------|
CISCO 2611
z.z.z.z

Что именно использовать на CISCO 877, SLA, track ?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "резервирование  IPSec канала "  +/
Сообщение от shadow_alone (ok) on 15-Июн-10, 12:03 
ip sla + track на отбивание IPSEC и перемену маршрута, приблизительно так:

ip route через основной канал track 1
ip route через резервный с большей метрикой

ip sla 10
icmp-echo GW_of_main_channel
timeout 2000
threshold 2
frequency 10
ip sla schedule 10 life forever start-time now

event manager applet app-sla-10
event track 1 state down
action 1.0 cli command "enable"
action 1.1 cli command "clear crypto session remote основной канал"
event manager applet app-sla-11
event track 1 state up
action 1.0 cli command "enable"
action 1.1 cli command "clear crypto session remote резервный канал"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "резервирование  IPSec канала "  +/
Сообщение от shadow_alone (ok) on 15-Июн-10, 12:05 
Упс, думал на одной циске.

Тогда еще проще если каналы поднимаются с 2-х разных девайсов.
для конторы просто меняйте маршрут при пропадании канала на компе или ip ru на source адрес.
а для 877 то что описал выше.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "резервирование  IPSec канала "  +/
Сообщение от beaver33 email(ok) on 15-Июн-10, 12:26 
>Упс, думал на одной циске.
>
>Тогда еще проще если каналы поднимаются с 2-х разных девайсов.
>для конторы просто меняйте маршрут при пропадании канала на компе или ip
>ru на source адрес.
>а для 877 то что описал выше.

Здравстуйте, shadow_alone.
Спасибо за Ваш ответ.
Т.е. в итоге,
1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl, IPSec)
как и на основной CISCO 2821 x.x.x.x. Т.е. сделаю 2 канала.
2. делаю настройку на 877, по Вашему совету.
3. ну и собственно тестируюсь
Спасибо, Вам за Ваше внимание.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "резервирование  IPSec канала "  +/
Сообщение от shadow_alone (ok) on 15-Июн-10, 12:31 
>Здравстуйте, shadow_alone.
>Спасибо за Ваш ответ.
>Т.е. в итоге,
>1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl,
>IPSec)
>как и на основной CISCO 2821 x.x.x.x. Т.е. сделаю 2 канала.
>2. делаю настройку на 877, по Вашему совету.
>3. ну и собственно тестируюсь
>Спасибо, Вам за Ваше внимание.

Именно так.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "резервирование  IPSec канала "  +/
Сообщение от beaver33 email(ok) on 17-Июн-10, 09:18 
>[оверквотинг удален]
>>Спасибо за Ваш ответ.
>>Т.е. в итоге,
>>1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl,
>>IPSec)
>>как и на основной CISCO 2821 x.x.x.x. Т.е. сделаю 2 канала.
>>2. делаю настройку на 877, по Вашему совету.
>>3. ну и собственно тестируюсь
>>Спасибо, Вам за Ваше внимание.
>
>Именно так.

Здравствуйте, shadow_alone.
1. настроил резервный туннель на CISCO 2611 z.z.z.z и на CISCO 877 (создал еще один туннель).
2. Когда создавал на CISCO 877 дополнительный туннель, основной отключил, чтобы проверить работу по резервному. Всё работает.
3. Сегодня, следуя Вашему совету, попробую сделать резервирование.
4. Как потом можно будет проверить какой канал используется (ну кроме пингов и трасс), отловить возможные ошибки.
Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "резервирование  IPSec канала "  +/
Сообщение от Gbyte email(ok) on 15-Июн-10, 12:16 
2811 и 2611 как в сеть маршруты объявляют? ядро сети что из себя представляет? или эти маршрутизаторы и есть ядро?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "резервирование  IPSec канала "  +/
Сообщение от beaver33 email(ok) on 15-Июн-10, 12:34 
>2811 и 2611 как в сеть маршруты объявляют? ядро сети что из
>себя представляет? или эти маршрутизаторы и есть ядро?

Здравстуйте, Gbyte
Маршрутизаторы просто "смотрят" в интернет через IPSec друг на дружку, через провайдера.
Вопрос, как на CISCO 877 заставить отловить момент падения соединения IPSEc соединения на CISCO 2811, и заставить CISCO 877 отправить трафик на CISCO 2611, через созданный канал IPSEc. Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "резервирование  IPSec канала "  +/
Сообщение от GolDi (??) on 15-Июн-10, 12:54 
>>2811 и 2611 как в сеть маршруты объявляют? ядро сети что из
>>себя представляет? или эти маршрутизаторы и есть ядро?
>
>Здравстуйте, Gbyte
>Маршрутизаторы просто "смотрят" в интернет через IPSec друг на дружку, через провайдера.
>
>Вопрос, как на CISCO 877 заставить отловить момент падения соединения IPSEc соединения
>на CISCO 2811, и заставить CISCO 877 отправить трафик на CISCO
>2611, через созданный канал IPSEc. Спасибо.

Настроить динамическую маршрутизацию между девайсами.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "резервирование  IPSec канала "  +/
Сообщение от beaver33 email(ok) on 15-Июн-10, 14:26 
уточнение

1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl, IPSec)
как и на основной CISCO 2821 x.x.x.x.
Т.е. сделаю 2-ой резервный канал на CISCO 2611 z.z.z.z
2. делаю настройку на CISCO 877, по Вашему, shadow_alone, совету.
добавляю 2-ой резервный туннель IPSec на CISCO 877, и делаю роуты с большей метрикой для 2-го туннеля.
3. ну и собственно тестируюсь
угу ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "резервирование  IPSec канала "  +/
Сообщение от Gbyte email(ok) on 16-Июн-10, 08:38 
>[оверквотинг удален]
>
>1. я настраиваю такой-же туннель на резервной CISCO 2611 z.z.z.z (сети, acl,
>IPSec)
>как и на основной CISCO 2821 x.x.x.x.
>Т.е. сделаю 2-ой резервный канал на CISCO 2611 z.z.z.z
>2. делаю настройку на CISCO 877, по Вашему, shadow_alone, совету.
>добавляю 2-ой резервный туннель IPSec на CISCO 877, и делаю роуты с
>большей метрикой для 2-го туннеля.
>3. ну и собственно тестируюсь
>угу ?

в сети которая за 2821 и 2611 маршрут в сеть, которая за 877, как попадает? или у вас в сети только 2821 и 2611? - нужно же при переключении на резервный туннель чтобы в вашей сети маршрут прописался уже через 2611...

если вопрос непонятен, может схемку изобразите сети?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "резервирование  IPSec канала "  +/
Сообщение от walterwest7 (ok) on 16-Июн-10, 10:49 
Подскажите пожалуйста как быть если с одной стороны 2821 с резервированием канала через IP SLA, с другой 1841 с одним провайдером.
На 1841 я так понимаю создаем два тунеля, а как указать приоритетность, чтобы сперва основной запускался, и в случае востановления основного провайдера на 1841 поднимался основной тунель.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "резервирование  IPSec канала "  +/
Сообщение от walterwest7 (ok) on 16-Июн-10, 11:57 
>Подскажите пожалуйста как быть если с одной стороны 2821 с резервированием канала
>через IP SLA, с другой 1841 с одним провайдером.
>На 1841 я так понимаю создаем два тунеля, а как указать приоритетность,
>чтобы сперва основной запускался, и в случае востановления основного провайдера на
>1841 поднимался основной тунель.

Как вообще на 1841 на одном интерфейсе можно два тунеля поднять?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "резервирование  IPSec канала "  +/
Сообщение от shadow_alone (ok) on 16-Июн-10, 12:17 
запросто.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "резервирование  IPSec канала "  +/
Сообщение от beaver33 email(ok) on 17-Июн-10, 09:20 
>запросто.

Здравствуйте, shadow_alone.
1. настроил резервный туннель на CISCO 2611 z.z.z.z и на CISCO 877 (создал еще один туннель).
2. Когда создавал на CISCO 877 дополнительный туннель, основной отключил, чтобы проверить работу по резервному. Всё работает.
3. Сегодня, следуя Вашему совету, попробую сделать резервирование.
4. Как потом можно будет проверить какой канал используется (ну кроме пингов и трасс), отловить возможные ошибки.
Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "резервирование  IPSec канала "  +/
Сообщение от karen durinyan on 18-Июн-10, 16:47 
>[оверквотинг удален]
>
>Здравствуйте, shadow_alone.
>1. настроил резервный туннель на CISCO 2611 z.z.z.z и на CISCO 877
>(создал еще один туннель).
>2. Когда создавал на CISCO 877 дополнительный туннель, основной отключил, чтобы проверить
>работу по резервному. Всё работает.
>3. Сегодня, следуя Вашему совету, попробую сделать резервирование.
>4. Как потом можно будет проверить какой канал используется (ну кроме пингов
>и трасс), отловить возможные ошибки.
>Спасибо.

1. Na cisce s ip sla "show track 10". v zavisimosti State mozhete opredelit' route.
2. "show crypto ipsec sa" Opiat' smotrem na Status. i t.d.
variantov mnogo.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру