Cześć
Czy można i jeśli tak to jak, zdefiniować routing pomiędzy podsieciami LAN A i LAN C (za routerami A i C) w konfiguracji:
oddział A (router A, LAN A) --> (Site-to-Site VPN) -- centrala B (router B, LAN B) --> (Site-to-Site VPN)-- odział C (router C, LAN C)
gdzie pomiędzy routerami A i B, oraz B i C są zestawione pojedyncze tunele wg:
https://www.cisco.com/c/en/us/support/d ... ig-00.html
bez zastosowania tuneli GRE lub VTI
nawiązuję tu do tematu
viewtopic.php?f=42&t=25498
gdzie chciałbym wpinać routery innego vendora zamiast cisco.
pozdrawiam
Jeanas.
Routing miedzy podsieciami w topologii gwiazdy
Re: Routing miedzy podsieciami w topologii gwiazdy
Tak, jak najbardziej można i da się. Ale to się nie skaluje, więc jakiekolwiek interfejsy Tunnel z routingiem dynamicznym sprawdzą się lepiej.
RouterA
W cryptomapie do B jest cryptoACL:
RouterC
W cryptomapie do B jest cryptoACL:
RouterB
W cryptomapie do A jest cryptoACL:
W cryptomapie do C jest cryptoACL:
Pokazujemy to na różnych szkoleniach , np.
ASA -> https://csproidea.pl/kurs/asa/
CCNA Security (w zależności od czasu, ale zawsze omawiamy) -> https://csproidea.pl/kurs/ccna-security ... rity-iins/
Rozwiązanie działa, ale już przy kilku peerach robi się z tego mały koszmarek konfiguracyjny.
Pozdrawiam,
RouterA
W cryptomapie do B jest cryptoACL:
Kod: Zaznacz cały
permit ip LanA LanB
permit ip LanA LanC
W cryptomapie do B jest cryptoACL:
Kod: Zaznacz cały
permit ip LanC LanB
permit ip LanC LanA
W cryptomapie do A jest cryptoACL:
Kod: Zaznacz cały
permit ip LanB LanA
permit ip LanC LanA
Kod: Zaznacz cały
permit ip LanB LanC
permit ip LanA LanC
ASA -> https://csproidea.pl/kurs/asa/
CCNA Security (w zależności od czasu, ale zawsze omawiamy) -> https://csproidea.pl/kurs/ccna-security ... rity-iins/
Rozwiązanie działa, ale już przy kilku peerach robi się z tego mały koszmarek konfiguracyjny.
Pozdrawiam,
Re: Routing miedzy podsieciami w topologii gwiazdy
Dzięki ms
Działa, szczególnie że przetestowałem na urządzeniach innego vendora (zyxel UTM). Szczerze mówiąc szukam właśnie innego vendora którego urządzenia obsłużą tunnel IPSec o przepustowości ok 100Mbps. Oczywiście w wersji budżetowej do ok 2000 pln netto za appliance do małego oddziału. Cisco niestety wychodzi ponad to, także nowa linia ISR 1100 gdzie i tak za dodatkową przepustowość IPSec trzeba dopłacić. Podobnie Juniper wukracza ponad budżet.
Co do małej elastyczności rozwiązania bez interfejsów Tunnel z routingiem dynamicznym - mam tego świadomość.
Czy możesz coś polecić co obsłuży Tunnele numerowane innego vendora niż Cisco?
pozdrawiam
Jeanas
Re: Routing miedzy podsieciami w topologii gwiazdy
Jak ma być budżetowo to np. MikroTik, choć niektórzy za chwilę pewnie napiszą, że to się do niczego nie nadaje . Niemniej jednak np. GRE over IPSec z OSPF zestawiony do Cisco po prostu działa. Przepustowość 100Mb/s obsłuży praktycznie chyba każdy aktualny model ze wsparciem sprzętowym dla IPSec.
Pytanie też co ten router ma robić poza VPN i co za ruch będzie latał tym VPN. Bo gdy np. pakiety o pełnym MTU (np. jakieś backupy) to można by się też ewentualnie przyglądnąć Cisco 892. Te ok 100Mb/s to właśnie taki max dla niego (w optymalnych warunkach), więc trzeba by to zdecydowanie przetestować, ale platforma byłaby jednak tak na styk (więc pytanie czy warto).
Pozdrawiam,
Pytanie też co ten router ma robić poza VPN i co za ruch będzie latał tym VPN. Bo gdy np. pakiety o pełnym MTU (np. jakieś backupy) to można by się też ewentualnie przyglądnąć Cisco 892. Te ok 100Mb/s to właśnie taki max dla niego (w optymalnych warunkach), więc trzeba by to zdecydowanie przetestować, ale platforma byłaby jednak tak na styk (więc pytanie czy warto).
Pozdrawiam,