Добрый день, коллеги.
Прошу подсказать.
Есть 2 филиала, в каждом по 2 провайдера. Провайдеры входят в ASA 5505.
Филиалы соединены VPN, поднимающимся на ASAх.
Из этого вытекают проблемы - не работает динамическая маршрутизация между филиалами и сейчас работает только 1 канал, второй все время выключен.
Думаю добавить в схему роутеры.
План такой - провайдеры входят в роутеры. Аса видит инет только через них. Аса поднимает IPSEC, а роутер туда запускает GRE и уже внутрь можно будет динамическую маршрутизацию?
Плюс Аса не будет участвовать в переключении каналов.
Насколько работоспособна схема?

поднимать тунели на роутерах, а в инет выпускать через асу? между роутером и асой вроде оспф можно поднять

Вам динамическую маршрутизацию между офисами или что бы второй канал не простаивал?
Шо то не понятно.

Вообще - хватит динамики.
Был опыт работы в конторе, там инет заходил на роутер, с роутера же поднимался тунель до филиала, а аса внутри пускала ipsec.
Вот там отлично работал EIGRP и не было граблей с натом.


Какие роутеры можно сейчас купить, чтобы по производительности были уровня ASA 5505? Т.е чтобы экономные директора выдали денег.

Это как???Упал пров, упал туннель

вот знал бы как, я бы не спрашивал
предположительно - аса вообще не знает о том, как ходит в инет, у неё есть только маршрут по-умолчанию на роутер.
вот с шифрованием и тунелированием мне непонятно.

Опишу примерно как у меня:

1) инет приходит на ASA
2) маршруты на филиалы смотрят на роутер (банально 10/8 )
3) с роутера один статик маршрут филиала на асу (10.х.у/24)
3) туннели строятся между роутерами (VTI, GRE+IPSec, DMVPN)
4) динамика работает только на роутерах

1 провайдер на роутер для dmvpn, ipsec, gre
2 провайдер на асу для инета + site 2 site vpn между асами
везде ospf area 0
роутеры 881, 1941. если что, бэндвич на тонелях поставить

881 или 1941 вообще в продаже новые бывают?