Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 13:47



Ответить на тему  [ Сообщений: 4 ] 
ASA, IPSec, 2х2 ISP 
Автор Сообщение

Зарегистрирован: 27 мар 2013, 08:12
Сообщения: 34
Доброго дня!
Продолжаю "бороться" со своей схемой, начал в http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10261.
Схема чуть усложнилась, теперь и в голове и в бренче по два провайдера.
По рекомендации _2e_ делал динамическую крипто карту, работало в GNS. Но хотелось спрыгнуть на ikev2. Спрыгнул....
В общем, ничуть конфиги не упростил, теперь имею:
Код:
group-policy TunnelGP internal
group-policy TunnelGP attributes
vpn-session-timeout none
vpn-idle-timeout none
vpn-tunnel-protocol ikev2
exit
crypto ipsec profile VTI-Profile
set ikev2 ipsec-proposal AES-256
exit

tunnel-group aaa.aaa.aaa.aaa type ipsec-l2l
tunnel-group aaa.aaa.aaa.aaa ipsec-attributes
ikev2 remote-auth pre-shared-key Secret
ikev2 local-auth pre-shared-key Secret
tunnel-group aaa.aaa.aaa.aaa general-attributes
default-group-policy TunnelGP
exit

tunnel-group bbb.bbb.bbb.bbb type ipsec-l2l
tunnel-group bbb.bbb.bbb.bbb ipsec-attributes
ikev2 remote-auth pre-shared-key Secret
ikev2 local-auth pre-shared-key Secret
tunnel-group bbb.bbb.bbb.bbb general-attributes
default-group-policy TunnelGP
exit

crypto ipsec ikev2 ipsec-proposal AES-256 esp-aes-256 esp-sha-hmac

########VTI Configuration for both WAN circuits
int Tunnel1
nameif VTI_1
ip address 172.16.250.102 255.255.255.0
tunnel source interface outside
tunnel destination aaa.aaa.aaa.aaa
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI-Profile
exit

int Tunnel2
nameif VTI_2
ip address 172.17.250.102 255.255.255.0
tunnel source interface outside_backup
tunnel destination bbb.bbb.bbb.bbb
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI-Profile
exit

crypto ikev2 policy 2018
encryption aes-256
integrity sha
group 5
prf sha
lifetime seconds 28800
exit

crypto ikev2 enable outside
crypto ikev2 enable outside_backup

#########bgp config with multipath
router bgp 64513
address-family ipv4 unicast
neighbor 172.16.250.1 remote-as 64512
neighbor 172.17.250.1 remote-as 64512
neighbor 172.16.250.1 next-hop-self
neighbor 172.17.250.1 next-hop-self
network 192.168.102.0 mask 255.255.255.0
neighbor 172.16.250.1 activate
neighbor 172.17.250.1 activate
maximum-paths 2
exit-address-family
bgp graceful-restart

route outside 0.0.0.0 0.0.0.0 aaa.aaa.aaa.aaa
route outside_backup bbb.bbb.bbb.bbb 255.255.255.255 87.249.7.109

sysopt connection tcpmss 1350
sysopt connection preserve-vpn-flows


Ну т.е. одновременно работающих 2 туннеля на основных и резервных каналах, в них bgp. Ожидал, что при такой схеме вообще не будут теряться пакеты... глупец.
В общем, устал уже. Подскажите, умные люди, как, все же, наиболее грамотно сделать схему туннелей между двумя точками с 2мя ISP на каждой? Объектов много, каналов, как понимаете, в два раза больше, маршрутизация начинает напрягать, объекты прибавляются/уходят.... full mesh было бы круто, но в ASA, как говорит все тот же _2e_, все это выглядит перанально. Баланисировка тоже прикольно, но все те же слова вспоминаются. В общем, хотя бы тупо на переключения ASA вытянуть, с наименьшими потерями пакетов и простоя.
Спасибо!


16 июл 2018, 13:31
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
ASA-X умеет Full Mesh, но для этого нужно изначально загружать FTD и тогда будет вам счастье..


16 июл 2018, 14:08
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Ну если уж прижало вас - переходите на FTD, на бумаге у поганых индусов всё красиво. Прокачаетесь заодно.
В варианте с ikev1 резервирование есть, но оно убогое чуть более чем полностью.
В ikev2 некопенгаген. Я б поменял асу на пиво и поднял dmvpn с нормальным резервированием и динамикой
на каких нить дешманских isr g2 (c881/881/891 с чем-нить помощнее на хабе типа 2911/2921 хотя бы).


16 июл 2018, 14:17
Профиль ICQ

Зарегистрирован: 27 мар 2013, 08:12
Сообщения: 34
ASA не Х, тольео одна есть 5512-Х. 2921 есть две штуки, но 5505 два десятка, от них не просто убежать. Сам плююсь на, но работать нужно на том, что есть (хотя бы пока).
А по вопросу есть у кого-нибудь идеи? _2e_-то понятно, поменял бы на водку/пиво (читал) :)


16 июл 2018, 14:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 78


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB