Anticisco http://anticisco.ru/forum/ |
|
Как автоматически перестроить маршруты? http://anticisco.ru/forum/viewtopic.php?f=2&t=10328 |
Страница 1 из 1 |
Автор: | sidsoft [ 17 апр 2018, 16:54 ] | ||
Заголовок сообщения: | Как автоматически перестроить маршруты? | ||
Здравствуйте уважаемые специалисты! Подскажите пожалуйста, как автоматически перестраивать маршруты при двух провайдерах? OSPF одна зона. Когда прописываю маршруты на обоих CISCO ASA, то на коммутаторе CISCO 3850 всегда имеется только один маршрут. При пропадании связи на PROVIDER1, удаленный офис переключается на PROVIDER2, НО маршрут по прежнему остается на CISCO ASA который подключен к PROVIDER1. На двух CISCO ASA в маршрутах прописано route outside 192.168.11.0 255.255.255.248 94.78.96.112. Есть ли механизм OSPF который меняет маршрут на CISCO 3850, при той схеме который я приложил?
|
Автор: | Sergey_B [ 17 апр 2018, 17:17 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
Не про OSPF, но всё же https://www.cisco.com/c/en/us/support/d ... sa-00.html P.S. А по-хорошему - 3850 в стек, ASA'ы в High Availability (Active/Standby например) и будет счастье |
Автор: | sidsoft [ 17 апр 2018, 17:26 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
Sergey_B писал(а): Не про OSPF, но всё же https://www.cisco.com/c/en/us/support/d ... sa-00.html P.S. А по-хорошему - 3850 в стек, ASA'ы в High Availability (Active/Standby например) и будет счастье Спасибо большое Вам за уделенное время! Забыл "нарисовать"/описать, все CISCO ASA и CISCO 3850 находятся в разных зданиях (между ними нет прямой связи) и соединены между собой меж.провайдерскими соединениями на скоростях до 50 МБит/с. По сему стек не получается у 3850 а у ASA High Availability пробовал, не встают они active/standby |
Автор: | crash [ 17 апр 2018, 17:44 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
зачем на двух асах один маршрут, если вторая аса о провайдере 1 вообще не в курсе. |
Автор: | Demm [ 17 апр 2018, 20:46 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
А что там за провайдерами? Vpn? |
Автор: | sidsoft [ 18 апр 2018, 08:05 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): зачем на двух асах один маршрут, если вторая аса о провайдере 1 вообще не в курсе. Спасибо за Ваш ответ и за уделенное время. Да верно, первая АСА не знает о провайдере2 а вторая АСА не знает о провайдере1. Но обе АСА ДОЛЖНЫ знать ГДЕ находится подсеть офиса 192.168.11.0/29, и эта подсеть находится у офисного провайдера имеющего IP: 94.78.96.112. |
Автор: | sidsoft [ 18 апр 2018, 08:14 ] | ||
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? | ||
Demm писал(а): А что там за провайдерами? Vpn? Благодарю за Ваш ответ и ваше время! Да, за провайдером1 и провадйером2 построена IPSEC VPN (L2L). Немного скорректировал "картинку".
|
Автор: | crash [ 18 апр 2018, 11:02 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
совсем перестал понимать. Почему у вас шлюзом на ASA выступает провайдер в офисе? |
Автор: | sidsoft [ 18 апр 2018, 11:47 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): совсем перестал понимать. Почему у вас шлюзом на ASA выступает провайдер в офисе? Спасибо за ответ! Это не шлюз это маршрут в офисную подсеть для построения L2L IPSEC VPN, этот маршрут Код: route outside 192.168.11.0 255.255.255.0 94.78.96.112 означает, что удаленный ПК с IP-адресом: 192.168.11.5 следует искать на удаленном маршрутизаторе удаленного офиса с IP-адресом 94.78.96.112. Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. |
Автор: | crash [ 18 апр 2018, 11:59 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
sidsoft писал(а): Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. |
Автор: | sidsoft [ 18 апр 2018, 12:31 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): sidsoft писал(а): Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. Хм, как вы поступаете если есть например три удаленных подсети... Код: 1. 10.0.10.0/24 2. 100.100.100.0/24 3. 192.168.250.0/24 Код: route outside 0.0.0.0 0.0.0.0 97.119.25.168 Как в данном случае вы опишете маршруты на разные подсети? Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети Как Вы опишете ацесс-листы? Код: access-list mch-vpn-office1 extended permit ip 192.168.0.0 255.255.0.0 10.0.10.0 255.255.255.0 крипто-мап-у? Код: crypto map VPN 1 match address mch-vpn-office1 crypto map VPN 1 set pfs group5 crypto map VPN 1 set peer 96.78.112.93 crypto map VPN 1 set ikev1 transform-set 881-AES-256 881-3DES и тунельную группу? Код: tunnel-group 96.78.112.93 type ipsec-l2l tunnel-group 96.78.112.93 ipsec-attributes ikev1 pre-shared-key secret |
Автор: | crash [ 18 апр 2018, 12:35 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
sidsoft писал(а): Как в данном случае вы опишете маршруты на разные подсети? Код: route outside 10.0.10.0 255.255.255.0 97.119.25.168 route outside 100.100.100.0 255.255.255.0 97.119.25.168 route outside 192.168.250.0 255.255.255.0 97.119.25.168 ну и конечно остается Код: route outside 0.0.0.0 0.0.0.0 97.119.25.168 |
Автор: | crash [ 18 апр 2018, 12:36 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
sidsoft писал(а): Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети |
Автор: | sidsoft [ 18 апр 2018, 12:38 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): sidsoft писал(а): Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. Хм, как вы поступаете если есть например три удаленных подсети... Код: 1. 10.0.10.0/24 2. 100.100.100.0/24 3. 192.168.250.0/24 Код: route outside 0.0.0.0 0.0.0.0 97.119.25.168 Как в данном случае вы опишете маршруты на разные подсети? Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети Как Вы опишете ацесс-листы? Код: access-list mch-vpn-office1 extended permit ip 192.168.0.0 255.255.0.0 10.0.10.0 255.255.255.0 крипто-мап-у? Код: crypto map VPN 1 match address mch-vpn-office1 crypto map VPN 1 set pfs group5 crypto map VPN 1 set peer 96.78.112.93 crypto map VPN 1 set ikev1 transform-set 881-AES-256 881-3DES и тунельную группу? Код: tunnel-group 96.78.112.93 type ipsec-l2l tunnel-group 96.78.112.93 ipsec-attributes ikev1 pre-shared-key secret |
Автор: | crash [ 18 апр 2018, 12:45 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
sidsoft писал(а): Как Вы опишете ацесс-листы? sidsoft писал(а): крипто-мап-у? sidsoft писал(а): и тунельную группу? |
Автор: | sidsoft [ 18 апр 2018, 12:52 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): sidsoft писал(а): Как Вы опишете ацесс-листы? sidsoft писал(а): крипто-мап-у? sidsoft писал(а): и тунельную группу? Т.к. на удаленных офисах имеется разный тип оборудования (наследие) то и методы шифрования каждого туннеля отличается, посему и крипто-мап-ы необходимо описывать, плюс ко всему я не всех выпускаю/впускаю через АСЫ, секьюрность. Выход в Интернет осуществляется с другого оборудования и по другим правилам. |
Автор: | crash [ 18 апр 2018, 12:59 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
давайте определимся эти 3 сети в одной точке или нет? Если в одной то я написал, если в разных - то у вас будет 3 листа, 3 туннельных группы и 3 криптомапы |
Автор: | sidsoft [ 18 апр 2018, 13:11 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): давайте определимся эти 3 сети в одной точке или нет? Если в одной то я написал, если в разных - то у вас будет 3 листа, 3 туннельных группы и 3 криптомапы У разных провайдеров. Я для примера взял один ИЗ ОФИСОВ. Таких офисов у меня более трёх сотен, и все у разных провайдеров по всей РФ. |
Автор: | crash [ 18 апр 2018, 13:15 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
ну ответ я написал выше опять же. 3 сотни листов, 3 сотни групп и 3 сотни криптомап |
Автор: | sidsoft [ 18 апр 2018, 13:39 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
crash писал(а): ну ответ я написал выше опять же. 3 сотни листов, 3 сотни групп и 3 сотни криптомап Это я понял, с этим у меня проблем нет. Тема/вопрос у меня, как перестроить маршруты по OSPF, когда какой либо из офисов переключается на резерв, т.е. на Provider2(см.картинку последней редакции)? |
Автор: | Demm [ 19 апр 2018, 13:39 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
Нужен sh ip route с 3850 |
Автор: | sidsoft [ 19 апр 2018, 17:13 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
Demm писал(а): Нужен sh ip route с 3850 Сейчас так: Код: CR-001#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 192.168.0.8 to network 0.0.0.0 O E2 192.168.11.0/29 [110/20] via 10.0.0.1, 09:11:20, Vlan10 И он не переключается, а должно быть в идеале когда удаленный офис переключился на Provider2 Код: CR-001#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 192.168.0.8 to network 0.0.0.0 O E2 192.168.11.0/29 [110/20] via 10.0.0.12, 09:11:20, Vlan10 Обе АСА находятся во Vlan 10, и оба 3850 "держат" Vlan 10 |
Автор: | Demm [ 20 апр 2018, 09:38 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
На одной асе этот маршрут с метрикой 10, на второй 120. настроит sla, чтоб пинговал удаленную сетку и клал маршрут на первой асе, когда не доступен. в теории должно работать |
Автор: | sidsoft [ 20 апр 2018, 12:16 ] |
Заголовок сообщения: | Re: Как автоматически перестроить маршруты? |
Demm писал(а): На одной асе этот маршрут с метрикой 10, на второй 120. настроит sla, чтоб пинговал удаленную сетку и клал маршрут на первой асе, когда не доступен. в теории должно работать Спасибо Вам за Ваш ответ! Попробую так поступить, о результате напишу здесь. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |