MPLS + ipsec jako backup łącze
MPLS + ipsec jako backup łącze
Witam,
w jednym z oddziałów mam taką konfigurację.
| |------ internet poprzez NAT----| |
<LAN>|router|-----internet + tunel ipsec-----|router|<LAN>
| |----- MPLS----------------------- | |
Zastanawiam się jak najefektywniej obsłużyć w/w ruch aby uzyskac szybki failover na drugie łącze z zachowaniem priorytetu dla łącza MPLS.
Założenia:
1. MPLS jest głównym łączem danych site-to-site
2. Tunel IPSEC wstaaje w przypadku awarii łącza MPLS
3. Tunel IPSEC kładzie się w przypadku powrotu funkcjonalności MPLS.
Dzięki za sugestie i pomysł jak do tego się zabrać.
w jednym z oddziałów mam taką konfigurację.
| |------ internet poprzez NAT----| |
<LAN>|router|-----internet + tunel ipsec-----|router|<LAN>
| |----- MPLS----------------------- | |
Zastanawiam się jak najefektywniej obsłużyć w/w ruch aby uzyskac szybki failover na drugie łącze z zachowaniem priorytetu dla łącza MPLS.
Założenia:
1. MPLS jest głównym łączem danych site-to-site
2. Tunel IPSEC wstaaje w przypadku awarii łącza MPLS
3. Tunel IPSEC kładzie się w przypadku powrotu funkcjonalności MPLS.
Dzięki za sugestie i pomysł jak do tego się zabrać.
EEM twoim przyjacielem, jezeli tunel IPsec ma byc kompletnie nie zestawiany bez wzgledu na to czy jest generowany ruch w sieci czy nie
Stworz skrypt w EEM ktory uzywa takiej logiki
Pseduo kod:
IF IP SLA osiaga druga strone tunelu MPLS
Shutdown backup interface
ELSE
No Shutdown backup interface
Stworz skrypt w EEM ktory uzywa takiej logiki
Pseduo kod:
IF IP SLA osiaga druga strone tunelu MPLS
Shutdown backup interface
ELSE
No Shutdown backup interface
Ostatnio zmieniony 09 lut 2012, 12:07 przez horac, łącznie zmieniany 1 raz.
smithpl pisze:Ma ktoś jakiś pomysł?
Właśnie zdecydowałem się ubrać w to OSPF
Jednak nie robiłem takich konfiguracji.
No i jak wpleśc w OSPF crypto-map dla tunelu IPSEC ?
jezeli chcesz przesylac ruch multicastowy (OSPF)i poddac go szyfrowaniu to skorzystaj z rozwiazan:
a) GRE over IPsec
b) STATIC VTI czyli czysty IPsec bez narzutu GRE
właśnie mogruje do SVTI ale nie wiem co dalej:
1. czy w SVTI można dodać drugie destination jak to się ma przy crypto-map'ach dla ipsec?
2. Jak dołączyć do EIGRP obsługę ruchu na interfejsie FastEthernet 0/1 ?
Na FE0/1 ma spietu przezroczysty kanał p-to-p w tej samej relacji co tunel z zastosowaniem twojego rozwiazania.
Chciałbym aby priorytet na ruch był poprzez FE0/1 a w przypadku jego awarii aby został właśnie użyty tunel...
Pytanie 2 dot. takiej przykładowej konfiguracji tunelu:
Aby rozjaśnić troche cel dołączam rysunek ideowy.
1. czy w SVTI można dodać drugie destination jak to się ma przy crypto-map'ach dla ipsec?
2. Jak dołączyć do EIGRP obsługę ruchu na interfejsie FastEthernet 0/1 ?
Na FE0/1 ma spietu przezroczysty kanał p-to-p w tej samej relacji co tunel z zastosowaniem twojego rozwiazania.
Chciałbym aby priorytet na ruch był poprzez FE0/1 a w przypadku jego awarii aby został właśnie użyty tunel...
Pytanie 2 dot. takiej przykładowej konfiguracji tunelu:
Kod: Zaznacz cały
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key S3CR3T address 100.1.12.2
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC
set transform-set TS
!
interface Tunnel12
ip address 172.16.12.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 100.1.12.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC
!
router eigrp 12
network 192.168.0.0 0.0.0.0
network 172.16.12.1 0.0.0.0
no auto-summary
!
az sie prosi, zeby wykorzystac DMVPN, szczegolnie jesli ilosc oddzialow bedzie sie powiekszac... designy z dmvpn mozna implementowac na wiele sposobow, w zaleznosci od wymagan/fantazji inzyniera. IPSEC jest opcjonalny, wiec gdybys robil np dwa osobne dmvpn'y to po MPLS mozesz bez szyfrowania. Przyklad jakis pierwszy z brzegu:
http://blog.ioshints.info/2011/08/dmvpn ... lsvpn.html
http://blog.ioshints.info/2011/08/dmvpn ... lsvpn.html
No właśnie o tym zasugerowała mi jedna osoba.
Pozostaje mi tylko 1 rzecz. Większość implementacji podaje 1 IP adres po stronie centralnego routera w HQ. Ja mam 2 operatoróe i po 1 IP od każdego ISP.
Chciałbym aby w sytuacji kiedy ISP1 padnie wszystkie połączenia DMVPN zestawiały sie na IP po trasie od ISP2.
No i zastanawiam się jak w tą topologie wpiąć 2 łącza MPLS typu ethernet i aby miały priorytet nad tunelami kiedy ich praca jest prawidłowa.
Czyli coś takiego ale z tą różnicą że Hub Site1 i 2 to jest 1 router z podłączonymi 2 operatorami.
Pozostaje mi tylko 1 rzecz. Większość implementacji podaje 1 IP adres po stronie centralnego routera w HQ. Ja mam 2 operatoróe i po 1 IP od każdego ISP.
Chciałbym aby w sytuacji kiedy ISP1 padnie wszystkie połączenia DMVPN zestawiały sie na IP po trasie od ISP2.
No i zastanawiam się jak w tą topologie wpiąć 2 łącza MPLS typu ethernet i aby miały priorytet nad tunelami kiedy ich praca jest prawidłowa.
Czyli coś takiego ale z tą różnicą że Hub Site1 i 2 to jest 1 router z podłączonymi 2 operatorami.