Доброго дня!
Продолжаю "бороться" со своей схемой, начал в
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10261.
Схема чуть усложнилась, теперь и в голове и в бренче по два провайдера.
По рекомендации _2e_ делал динамическую крипто карту, работало в GNS. Но хотелось спрыгнуть на ikev2. Спрыгнул....
В общем, ничуть конфиги не упростил, теперь имею:
Код:
group-policy TunnelGP internal
group-policy TunnelGP attributes
vpn-session-timeout none
vpn-idle-timeout none
vpn-tunnel-protocol ikev2
exit
crypto ipsec profile VTI-Profile
set ikev2 ipsec-proposal AES-256
exit
tunnel-group aaa.aaa.aaa.aaa type ipsec-l2l
tunnel-group aaa.aaa.aaa.aaa ipsec-attributes
ikev2 remote-auth pre-shared-key Secret
ikev2 local-auth pre-shared-key Secret
tunnel-group aaa.aaa.aaa.aaa general-attributes
default-group-policy TunnelGP
exit
tunnel-group bbb.bbb.bbb.bbb type ipsec-l2l
tunnel-group bbb.bbb.bbb.bbb ipsec-attributes
ikev2 remote-auth pre-shared-key Secret
ikev2 local-auth pre-shared-key Secret
tunnel-group bbb.bbb.bbb.bbb general-attributes
default-group-policy TunnelGP
exit
crypto ipsec ikev2 ipsec-proposal AES-256 esp-aes-256 esp-sha-hmac
########VTI Configuration for both WAN circuits
int Tunnel1
nameif VTI_1
ip address 172.16.250.102 255.255.255.0
tunnel source interface outside
tunnel destination aaa.aaa.aaa.aaa
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI-Profile
exit
int Tunnel2
nameif VTI_2
ip address 172.17.250.102 255.255.255.0
tunnel source interface outside_backup
tunnel destination bbb.bbb.bbb.bbb
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI-Profile
exit
crypto ikev2 policy 2018
encryption aes-256
integrity sha
group 5
prf sha
lifetime seconds 28800
exit
crypto ikev2 enable outside
crypto ikev2 enable outside_backup
#########bgp config with multipath
router bgp 64513
address-family ipv4 unicast
neighbor 172.16.250.1 remote-as 64512
neighbor 172.17.250.1 remote-as 64512
neighbor 172.16.250.1 next-hop-self
neighbor 172.17.250.1 next-hop-self
network 192.168.102.0 mask 255.255.255.0
neighbor 172.16.250.1 activate
neighbor 172.17.250.1 activate
maximum-paths 2
exit-address-family
bgp graceful-restart
route outside 0.0.0.0 0.0.0.0 aaa.aaa.aaa.aaa
route outside_backup bbb.bbb.bbb.bbb 255.255.255.255 87.249.7.109
sysopt connection tcpmss 1350
sysopt connection preserve-vpn-flows
Ну т.е. одновременно работающих 2 туннеля на основных и резервных каналах, в них bgp. Ожидал, что при такой схеме вообще не будут теряться пакеты... глупец.
В общем, устал уже. Подскажите, умные люди, как, все же, наиболее грамотно сделать схему туннелей между двумя точками с 2мя ISP на каждой? Объектов много, каналов, как понимаете, в два раза больше, маршрутизация начинает напрягать, объекты прибавляются/уходят.... full mesh было бы круто, но в ASA, как говорит все тот же _2e_, все это выглядит перанально. Баланисировка тоже прикольно, но все те же слова вспоминаются. В общем, хотя бы тупо на переключения ASA вытянуть, с наименьшими потерями пакетов и простоя.
Спасибо!