forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPSEC и маршрутизация"
Отправлено Serge, 15-Окт-07 22:48

>>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно:
>>ipsec tunnel host-to-host
>>в него засунуть GRE
>>внутри GRE уже будет работать link-state протокол (OSPF).
>>Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов.
>
>Вобщем реализовал я все задуманное. Удалил Openswan (пробовал юзать racoon но что-то
>он мне тоже не понравился) сделал ipsec соединения host-to-host с помошью
>ipsec-tools (конкретно setkey).
э... а разве ipsec-tools и racoon не есть одно и тоже (в смысле пакеджа)? ;-)
racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой стал? - надо сходить посмотреть....)
>На шлюзах появились интерфейсы типа gre+ по интерфейсу на тоннель. И
>все сразу стало красиво и понятно.
>Было бы все просто отлично если бы не один неприятный момент. Некоторые
>туннели, если их не использовать (не гонять по ним трафик), отваливаются
>или зависают
ну дык DPD (это будет что-то типа keep-alive) + поднятие туннеля если он на самом деле свалился
>эти туннели достаточно зайти на удаленный шлюз с внешней дырки и
>послать пинг на главный шлюз (по канальным ипам) и сразу наступает
>счастье.
imho overkill
>Есть какие либо соображения по этому поводу?
А как же... Их есть несколько: DPD - это раз, LSA (это от OSPF) - это два. Любой из них будет поддерживать тоннель
>P.S. читаю маны по OSPF (пакет quagga) не совсем понимаю что к
>чему. Есть ссылки на примеры внедрения?
На сайте квагги вроде есть примеры... если нужна конкретика - т.е. конкретные сети, адреса, топология - то в приват fish at infonet.nnov.ru (смогу ответить только после четверга).

Исходное сообщение
"IPSEC и маршрутизация" Отправлено Serge, 15-Окт-07 22:48
>>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно: >>ipsec tunnel host-to-host >>в него засунуть GRE >>внутри GRE уже будет работать link-state протокол (OSPF). >>Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов. > >Вобщем реализовал я все задуманное. Удалил Openswan (пробовал юзать racoon но что-то >он мне тоже не понравился) сделал ipsec соединения host-to-host с помошью >ipsec-tools (конкретно setkey). э... а разве ipsec-tools и racoon не есть одно и тоже (в смысле пакеджа)? ;-) racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой стал? - надо сходить посмотреть....) >На шлюзах появились интерфейсы типа gre+ по интерфейсу на тоннель. И >все сразу стало красиво и понятно. >Было бы все просто отлично если бы не один неприятный момент. Некоторые >туннели, если их не использовать (не гонять по ним трафик), отваливаются >или зависают ну дык DPD (это будет что-то типа keep-alive) + поднятие туннеля если он на самом деле свалился >эти туннели достаточно зайти на удаленный шлюз с внешней дырки и >послать пинг на главный шлюз (по канальным ипам) и сразу наступает >счастье. imho overkill >Есть какие либо соображения по этому поводу? А как же... Их есть несколько: DPD - это раз, LSA (это от OSPF) - это два. Любой из них будет поддерживать тоннель >P.S. читаю маны по OSPF (пакет quagga) не совсем понимаю что к >чему. Есть ссылки на примеры внедрения? На сайте квагги вроде есть примеры... если нужна конкретика - т.е. конкретные сети, адреса, топология - то в приват fish at infonet.nnov.ru (смогу ответить только после четверга).

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно: >>>ipsec tunnel host-to-host >>>в него засунуть GRE >>>внутри GRE уже будет работать link-state протокол (OSPF). >>>Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов. >> >>Вобщем реализовал я все задуманное. Удалил Openswan (пробовал юзать racoon но что-то >>он мне тоже не понравился) сделал ipsec соединения host-to-host с помошью >>ipsec-tools (конкретно setkey). > э... а разве ipsec-tools и racoon не есть одно и тоже (в > смысле пакеджа)? ;-) > racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой > стал? - надо сходить посмотреть....) >>На шлюзах появились интерфейсы типа gre+ по интерфейсу на тоннель. И >>все сразу стало красиво и понятно. >>Было бы все просто отлично если бы не один неприятный момент. Некоторые >>туннели, если их не использовать (не гонять по ним трафик), отваливаются >>или зависают > ну дык DPD (это будет что-то типа keep-alive) + поднятие туннеля если > он на самом деле свалился >>эти туннели достаточно зайти на удаленный шлюз с внешней дырки и >>послать пинг на главный шлюз (по канальным ипам) и сразу наступает >>счастье. > imho overkill >>Есть какие либо соображения по этому поводу? > А как же... Их есть несколько: DPD - это раз, LSA (это > от OSPF) - это два. Любой из них будет поддерживать тоннель >>P.S. читаю маны по OSPF (пакет quagga) не совсем понимаю что к >>чему. Есть ссылки на примеры внедрения? > На сайте квагги вроде есть примеры... если нужна конкретика - т.е. конкретные > сети, адреса, топология - то в приват fish at infonet.nnov.ru (смогу > ответить только после четверга).
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру