Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:06



Ответить на тему  [ Сообщений: 4 ] 
ISR C1111-8P Два провайдера 
Автор Сообщение

Зарегистрирован: 20 сен 2021, 05:28
Сообщения: 5
Здравствуйте

Используется маршрутизатор C1111, к нему подключены два провайдера по PPPOE. Была настроена статическая маршрутизация по разным весам для работы резервирования.

Проблема заключается в следующем:

Было решено использовать основного провайдера (Dialer 1) только для доступа в интернет, а резервного (Dialer 2), помимо резерва на случай отключения основного, для VPN соединений.

Тут спотыкнулся на проблеме - если оба провайдера работают, то из Интернета доступен только основной провайдер, а резервный - нет. Интерфейс резервного провайдера даже не пингуется из внешней сети. Пакеты от резервного провайдера уходят в Интернет. Если отключить основного провайдера, резервный провайдер сразу же становится доступным. И к нему устанавливается VPN. Планировалось использовать Site to Site VPN и L2TP VPN для удаленных пользователей на резервном провайдере.

Пробывал настроить одновременное использование провайдеров по инструкции http://www.anticisco.ru/pubs/DualISPRouter.pdf.
Настроил трекинг и маршруты. Второй интерфейс стал доступен из внешней сети. Тестовый StS VPN поднялся (на туннельном интерфейсе Tunnel178).
Но трафик в vpn-туннель не идет, хотя указан маршрут до удаленной сети через туннельный интерефейс.
Если отключить первого провайдера, трафик в туннель начинает идти.

Конфигурация маршрутизатора приложена. Буду крайне благодарен за помощь.


Вложения:
conf_260921.txt [8.49 КБ]
Скачиваний: 355
26 сен 2021, 15:48
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
vtuchk писал(а):
Было решено использовать основного провайдера (Dialer 1) только для доступа в интернет, а резервного (Dialer 2), помимо резерва на случай отключения основного, для VPN соединений.

Для этого нужно использовать VRF.
Поизучайте вот эту тему и ссылки в ней:

http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11138

Вот хороший пример, только iVRF можно не использовать и оставить внутренние сети в global (GRT):
VRF-aware IPSec cheat sheet
https://community.cisco.com/t5/security ... -p/3109449

Используйте VTI везде, где это возможно.
За исключением случаев требования совместимости с древним железом.

Резервирование с VRF - это отдельная тема.
Вот тут уваж. _2e_ делился примером и соображениями:

http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11202

Там все не совсем тривиально.
А чем сложнее схема, тем больше вероятность где-то налепиться.
А у вас с этим и так, как я понимаю, проблем нет. :-)
Так что можно определиться с приоритетами - что вам важнее,
работа внутренней сети, или то, что секретарша раз в год останется без ВКонтактика?
Плюс - потянет ли второй канал ISP2 суммарный трафик (офис в Инет + VPN)?
Но все зависит от бизнес процессов, конечно.

vtuchk писал(а):
Тестовый StS VPN поднялся (на туннельном интерфейсе Tunnel178).
Но трафик в vpn-туннель не идет, хотя указан маршрут до удаленной сети через туннельный интерефейс.

Проверьте, что у вас правильно настроен Policy NAT,
чтобы не NAT-ился внутренний трафик из локалки в филиалы через VTI.
Во второй теме есть пример.

vtuchk писал(а):
Планировалось использовать ... L2TP VPN для удаленных пользователей на резервном провайдере.

L2TP - это древняя хрень. Посмотрите на что-то более современное, на тот же IKEv2, AnyConnect или SSTP.

_________________
Knowledge is Power


26 сен 2021, 22:30
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Silent_D писал(а):
Для этого нужно использовать VRF.

Точнее это называется VRF-Lite, т.е. VRF внутри одного роутера.

VRF-Lite is to use VRF without MPLS. With VRF across service-provider network,
MPLS is used to carry route information across each router for every VRF.
Each VRF has its own routing policy. With VRF-Lite, you don't have MPLS.
You create separate Virtual Routing and Forwarding tables (VRFs) in a router,
but those are locally significant.
VRFs are locally significant and detail is not shared between devices running VRF-Lite.

What is the difference between a VRF and VRF-Lite?
https://networkengineering.stackexchang ... d-vrf-lite

_________________
Knowledge is Power


27 сен 2021, 04:30
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Silent_D писал(а):
Silent_D писал(а):
Для этого нужно использовать VRF.

Точнее это называется VRF-Lite, т.е. VRF внутри одного роутера.

VRF-Lite is to use VRF without MPLS. With VRF across service-provider network,
MPLS is used to carry route information across each router for every VRF.
Each VRF has its own routing policy. With VRF-Lite, you don't have MPLS.
You create separate Virtual Routing and Forwarding tables (VRFs) in a router,
but those are locally significant.
VRFs are locally significant and detail is not shared between devices running VRF-Lite.

What is the difference between a VRF and VRF-Lite?
https://networkengineering.stackexchang ... d-vrf-lite


Тут знаете как, эффект даннинга-крюгера кажется. Ну т.е. в этом несколько только человек шарит, остальные понтуются. =)


28 сен 2021, 09:14
Профиль ICQ
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB