|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
2CLOUD DMVPN с 2 ISP на SPOKE и связь напрямую между споками
Автор |
Сообщение |
Dronskiy
Зарегистрирован: 25 фев 2013, 11:33 Сообщения: 18
|
Если на SPOKE 2 провайдера, есть два варианта реализации: 1. Убирать каждый из интерфейсов в сторону провайдера в отдельный VRF, как по ссылке http://www.cisco.com/c/en/us/support/docs/security-vpn/dynamic-multi-point-vpn-dmvpn/119022-configure-dmvpn-00.htmlНо тут есть проблема если нужно выпускать пользователей в инет через этот же SPOKE, а не через HUB. Возможно ли делать leak дефолтного маршрута в глобальную таблицу маршрутизации? Пример конфига спока Код: vrf definition ISP1 rd 1:1 ! address-family ipv4 exit-address-family ! vrf definition ISP2 rd 2:2 ! address-family ipv4 exit-address-family ! interface GigabitEthernet0/0 description LAN ! interface Port-channel1.998 vrf forwarding ISP1 description ISP1 ! interface Port-channel1.999 vrf forwarding ISP2 description ISP2 ! interface Tunnel1 bandwidth 25000 ip address 10.1.3.8 255.255.255.0 no ip redirects ip mtu 1400 ip flow ingress ip flow egress ip nhrp map multicast XXXXXXXX ip nhrp map 10.1.3.1 XXXXXXXX ip nhrp network-id xxx ip nhrp holdtime 300 ip nhrp nhs 10.1.3.1 ip nhrp registration no-unique ip nhrp shortcut ip tcp adjust-mss 1360 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 xxxxxxxxxxxx ip ospf network broadcast ip ospf priority 0 ip ospf 1 area 0 load-interval 30 tunnel source Port-channel1.998 tunnel mode gre multipoint tunnel key xxxxxx tunnel vrf ISP1 tunnel protection ipsec profile DMVPN ! interface Tunnel2 bandwidth 15000 ip address 10.1.4.8 255.255.255.0 no ip redirects ip mtu 1400 ip flow ingress ip flow egress ip nhrp map multicast XXXXXXXX ip nhrp map 10.1.4.1 XXXXXXXX ip nhrp network-id xxx ip nhrp holdtime 300 ip nhrp nhs 10.1.4.1 ip nhrp registration no-unique ip nhrp shortcut ip tcp adjust-mss 1360 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 xxxxxxxxxxxx ip ospf network broadcast ip ospf priority 0 ip ospf 1 area 0 load-interval 30 tunnel source Port-channel1.999 tunnel mode gre multipoint tunnel key xxxxxx tunnel vrf ISP2 tunnel protection ipsec profile DMVPN2
2. Второй вариант без VRF. Но тут проблема в том что когда на другом spoke падает один канал, и споки пытаются общаться друг с другом то на споке у которого работает оба канала всегда isakm sa будет строится только через тот интерфейс куда у него дефолтный маршрут (команда tunnel route-via Interface mandatory не отрабатывает). Это решается прописыванием маршрута до внешнего адреса второго спока (резервного ISP), но это крайне не удобно если споков хотя бы больше 5 Поделитесь у кого как сделано?
|
28 сен 2015, 10:38 |
|
|
mgbt
Зарегистрирован: 01 апр 2015, 12:42 Сообщения: 32
|
Dronskiy писал(а): Если на SPOKE 2 провайдера, есть два варианта реализации: 1. Убирать каждый из интерфейсов в сторону провайдера в отдельный VRF, как по ссылке http://www.cisco.com/c/en/us/support/docs/security-vpn/dynamic-multi-point-vpn-dmvpn/119022-configure-dmvpn-00.htmlНо тут есть проблема если нужно выпускать пользователей в инет через этот же SPOKE, а не через HUB. Возможно ли делать leak дефолтного маршрута в глобальную таблицу маршрутизации? 2. Второй вариант без VRF. Но тут проблема в том что когда на другом spoke падает один канал, и споки пытаются общаться друг с другом то на споке у которого работает оба канала всегда isakm sa будет строится только через тот интерфейс куда у него дефолтный маршрут (команда tunnel route-via Interface mandatory не отрабатывает). Это решается прописыванием маршрута до внешнего адреса второго спока (резервного ISP), но это крайне не удобно если споков хотя бы больше 5 Поделитесь у кого как сделано? А зачем держать юзеров на споке в глобале? Создайте для них отдельный ivrf, и дальше в него делайте или route-leak дефолта из fvrf через mp-bgp или route-replicate дефолта из fvrf непосредственно в vrf definition (требуется 15.4) Более того, можно делать conditional leak из обоих fvrf в ivrf примерно так: Код: ip route vrf WAN1 0.0.0.0 0.0.0.0 22.22.12.1 252 tag 100 track 10 ip route vrf WAN2 0.0.0.0 0.0.0.0 22.22.22.1 253 tag 100 track 20 ip route vrf WAN1 0.0.0.0 0.0.0.0 22.22.12.1 254 ip route vrf WAN2 0.0.0.0 0.0.0.0 22.22.22.1 254 Код: route-replicate from vrf WAN2 unicast static route-map DEFAULT-ROUTE route-replicate from vrf WAN1 unicast static route-map DEFAULT-ROUTE Код: route-map DEFAULT-ROUTE permit 10 match tag 100 Код: ip sla 10 icmp-echo 8.8.8.8 source-interface Ethernet0/0 vrf WAN1 threshold 2000 timeout 2000 frequency 2 ip sla 20 icmp-echo 8.8.8.8 source-interface Ethernet0/1 vrf WAN2 threshold 2000 timeout 2000 frequency 2 Код: track 10 ip sla 10
track 20 ip sla 20 В данном примере в каждом fvrf есть безусловный дефолт до соответствующего провайдера + дефолт с треком и тагом, который реплицируется в таблицу маршрутизации юзерского ivrf, только когда трек соответствующего ISP в апе. Порядок выбора маршрутов при route-replicate следующий: If a route is replicated, the following rule determines route preference: * If two routes are owned by the same protocol and have the same source VRF, and if one of the routes is NOT replicated, then the nonreplicated route is preferred. If the above rule does not apply, the following rules determine route preference, in this order: 1. Prefer the route with smaller administrative distance. 2. Prefer the route with smaller default administrative distance. 3. Prefer a non-replicated route over a replicated route. 4. Compare original vrf-names. Prefer the route with the lexicographically smaller vrf-name. 5. Compare original sub-address-families: Prefer unicast over multicast. 6. Prefer the oldest route.
|
28 сен 2015, 13:10 |
|
|
Dronskiy
Зарегистрирован: 25 фев 2013, 11:33 Сообщения: 18
|
Спасибо! Так работает
|
29 сен 2015, 10:22 |
|
|
Dronskiy
Зарегистрирован: 25 фев 2013, 11:33 Сообщения: 18
|
Роут реплицируется но трафик между vrf не ходит Код: vrf definition MTS rd 1:1 ! address-family ipv4 exit-address-family ! vrf definition Rostel rd 2:2 ! address-family ipv4 exit-address-family ! vrf definition Lan rd 3:3 ! address-family ipv4 route-replicate from vrf Rostel unicast static route-replicate from vrf MTS unicast static exit-address-family ! interface Port-channel1.998 vrf forwarding Rostel ! interface Port-channel1.999 vrf forwarding MTS ! interface Port-channel1.1001 vrf forwarding Lan ! router ospf 1 vrf Lan router-id xxxxxxxx auto-cost reference-bandwidth 1000 capability vrf-lite passive-interface default no passive-interface Port-channel1.1001 network x.x.x.x x.x.x.x area x ! ip route vrf MTS 0.0.0.0 0.0.0.0 xx.xxx.xxx.xx ip route vrf Rostel 0.0.0.0 0.0.0.0 xx.xxx.xxx.xx 254
Код: #sh ip route vrf Lan Gateway of last resort is not set
[b]S* + 0.0.0.0/0 [1/0] via 62.xxx.xxx.xxx (MTS)[/b] 10.0.0.0/8 is variably subnetted, 144 subnets, 8 masks
#ping vrf Lan 8.8.4.4 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.4.4, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)
|
01 окт 2015, 11:57 |
|
|
mgbt
Зарегистрирован: 01 апр 2015, 12:42 Сообщения: 32
|
В nat-трансляции ivrf указан?
|
01 окт 2015, 12:35 |
|
|
Dronskiy
Зарегистрирован: 25 фев 2013, 11:33 Сообщения: 18
|
Да что то я затупил c nat. Теперь вот ещё CUBE запихать в VRF. voice vrf мoжет быть только один на всю железку Получается sip только натить? Код: voice vrf Lan ! voice service voip ip address trusted list sip bind control source-interface Port-channel1.20 bind media source-interface Port-channel1.20 ! interface Port-channel1.20 description VOICE ip address 10.15.20.250 255.255.255.0 encapsulation dot1Q 20 vrf forwarding Lan ! sip-ua credentials xxxxxxxxx registrar 1 xxxxxxxxx
Код: -------------- SIP Transport Layer Listen Sockets --------------- Conn-Id Local-Address =========== ============================= 2 [10.15.20.250]:5060:Lan
|
02 окт 2015, 11:47 |
|
|
Dronskiy
Зарегистрирован: 25 фев 2013, 11:33 Сообщения: 18
|
Не работает в таком конфиге sip ((( Ещё нашёл вариант конфига для двух провайдеров с ip local policy route-map, но у меня isakmp не попадает под local policy У кого нибудь применяется ip local policy к isakmp, скажите ios?
|
08 окт 2015, 09:42 |
|
|
teroni
Зарегистрирован: 04 апр 2016, 13:01 Сообщения: 1
|
Dronskiy писал(а): Не работает в таком конфиге sip (((
удалось побороть сип в вариации с 2 vrf?
|
04 апр 2016, 13:07 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
А не проще без vrf на базе параметра tunnel route via .... в тунельном интерфейсе и 2 равнозначных дефолта? А локальный трафик юзеров в инет корректировать PBR-ом по необходимости.
VRF-ы это конечно круто. Но в данном случае ИМХО перебор сложности.
|
04 апр 2016, 14:54 |
|
|
cosmonaft
Зарегистрирован: 25 апр 2013, 12:36 Сообщения: 120 Откуда: Мск. обл.
|
P@ve1 писал(а): А не проще без vrf на базе параметра tunnel route via .... в тунельном интерфейсе и 2 равнозначных дефолта? А локальный трафик юзеров в инет корректировать PBR-ом по необходимости.
VRF-ы это конечно круто. Но в данном случае ИМХО перебор сложности. tunnel route via можно использовать только на IOS, если на spoke будет IOS XE, то только vrf-lite т.к. tunnel route via в IOS XE не реализован и не известно будет ли. https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdfПодскажите, а как в предложенном вами варианте регулировать трафик юзеров в инет, еще так что при падении основного канала они в интернет выходили через резервный. Прошу сильно не кидаться в меня, я столкнулся с аналогичной проблемой, как выпускать пользователей в интернет со спока не соображу. У меня удаленный спок на IOS, vrf прикручивать не хочу. Если у вас есть пример конфигурации буду очень благодарен. Заранее спасибо!
|
12 дек 2017, 15:39 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
cosmonaft писал(а): P@ve1 писал(а): А не проще без vrf на базе параметра tunnel route via .... в тунельном интерфейсе и 2 равнозначных дефолта? А локальный трафик юзеров в инет корректировать PBR-ом по необходимости.
VRF-ы это конечно круто. Но в данном случае ИМХО перебор сложности. tunnel route via можно использовать только на IOS, если на spoke будет IOS XE, то только vrf-lite т.к. tunnel route via в IOS XE не реализован и не известно будет ли. https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdfПодскажите, а как в предложенном вами варианте регулировать трафик юзеров в инет, еще так что при падении основного канала они в интернет выходили через резервный. Прошу сильно не кидаться в меня, я столкнулся с аналогичной проблемой, как выпускать пользователей в интернет со спока не соображу. У меня удаленный спок на IOS, vrf прикручивать не хочу. Если у вас есть пример конфигурации буду очень благодарен. Заранее спасибо! А чо там за проблемы с нехотением прикручивать врф? Резервного прова суёте туда и дальше примерно так: Код: track 100 ip sla 100 reachability delay down 15 up 15
vrf definition ISP2 address-family ipv4 route-replicate from vrf global unicast connected exit-address-family
global-address-family ipv4 route-replicate from vrf ISP2 unicast static
crypto keyring KR-DMVPN vrf ISP2 pre-shared-key address 0.0.0.0 0.0.0.0 key xxx
crypto isakmp profile IKP99 keyring KR-DMVPN match identity address 0.0.0.0 ISP2
interface Tunnel200 ... delay 1100 tunnel vrf ISP2 tunnel protection ipsec profile CIP99
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.29 track 100 ip route 8.8.4.4 255.255.255.255 xx.xx.99.29 ip route vrf ISP2 0.0.0.0 0.0.0.0 zz.zz.79.254 100
ip sla 100 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2 frequency 15 ip sla schedule 100 life forever start-time now
ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload ip nat inside source route-map ISP2-RM interface GigabitEthernet0/1 overload
route-map ISP1-RM permit 10 match ip address NAT match interface GigabitEthernet0/2
route-map ISP2-RM permit 10 match ip address NAT match interface GigabitEthernet0/1
event manager applet ISP1UPDOWN event track 100 state any action 1.0 cli command "enable" action 2.0 cli command "clear ip nat trans forced"
|
12 дек 2017, 15:48 |
|
|
cosmonaft
Зарегистрирован: 25 апр 2013, 12:36 Сообщения: 120 Откуда: Мск. обл.
|
Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера? Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via.
|
13 дек 2017, 10:29 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
cosmonaft писал(а): Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера? Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via. Правильно. tunnel route via - костыль.
|
13 дек 2017, 10:36 |
|
|
cosmonaft
Зарегистрирован: 25 апр 2013, 12:36 Сообщения: 120 Откуда: Мск. обл.
|
У меня DMVPN phase 2 + EIGRP, 2 HUB. У меня на споке с двумя провайдерами способ с Route Replication Behavior for Easy Virtual Network не работает. роутер ISR 4321/K9 Cisco IOS XE Software, Version 03.16.06.S - Extended Support Release Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S6, RELEASE SOFTWARE (fc3)
EIGRP не анонсирует маршруты с +
Коллеги, помогите разобраться с этим.
|
23 мар 2018, 20:10 |
|
|
Dronskiy
Зарегистрирован: 25 фев 2013, 11:33 Сообщения: 18
|
Год не заходил, а моя тема апнута, не могу не ответить))) В IOS XE и вроде с IOS 15.5 можно сливать маршруты из vrf в global. Тоесть туннели во front door vrf а все остальное в остается global Код: global-address-family ipv4 route-replicate from vrf FVRF01 unicast static route-map default-route route-replicate from vrf FVRF02 unicast static route-map default-route ! ip route vrf FVRF01 0.0.0.0 0.0.0.0 xxxxxxxxxx 20 track 12 ip route vrf FVRF02 0.0.0.0 0.0.0.0 xxxxxxxxxx 30 track 22 !
Код: sh ip route
Gateway of last resort is not set
S* + 0.0.0.0/0 [20/0] via xxxxxxxx (FVRF01)
|
27 мар 2018, 22:43 |
|
|
alex_0
Зарегистрирован: 13 июн 2017, 15:39 Сообщения: 3
|
cosmonaft писал(а): Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера? Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via. cosmonaft, нашли рабочий вариант с tunnel route via ?
|
13 июн 2018, 12:54 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Там с tunnel route via тоже не все так просто. Для того, что бы оно отрабатывало - два дефолтных роута должно быть в таблице маршрутизации, насколько я помню.
|
15 июн 2018, 14:23 |
|
|
cosmonaft
Зарегистрирован: 25 апр 2013, 12:36 Сообщения: 120 Откуда: Мск. обл.
|
alex_0 писал(а): cosmonaft писал(а): Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера? Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via. cosmonaft, нашли рабочий вариант с tunnel route via ? Добрый день! нет я не использую tunnel route via сделал с vrf а так же использую на некоторых споках конфигурацию с local policy и pbr рекомендую - https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdfи оригинал - BRKSEC 4054 И да для tunnel route via оба default route от двух провайдеров должны быть в таблице маршрутизации, а пользователей в интернет выпускать pbr, об этом коллеги выше писали.
|
15 июн 2018, 15:20 |
|
|
cosmonaft
Зарегистрирован: 25 апр 2013, 12:36 Сообщения: 120 Откуда: Мск. обл.
|
ip route via в ios xe не работает - его там попросту нет и сказали не будет
|
15 июн 2018, 15:23 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
Маршруты из VRF в GRT можно эскпортировать с помощью export ipv4 unicast map и MP-BGP
|
17 июн 2018, 11:24 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
cosmonaft писал(а): alex_0 писал(а): cosmonaft писал(а): Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера? Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via. cosmonaft, нашли рабочий вариант с tunnel route via ? Добрый день! нет я не использую tunnel route via сделал с vrf а так же использую на некоторых споках конфигурацию с local policy и pbr рекомендую - https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdfи оригинал - BRKSEC 4054 И да для tunnel route via оба default route от двух провайдеров должны быть в таблице маршрутизации, а пользователей в интернет выпускать pbr, об этом коллеги выше писали. Я тоже попробовал tunnel route via, не получилось. Не понял какие маршруты должны быть, с vrf ИМХО, все гораздо проще. Т.к. мне надо было резервный ipsec через мобильного провайдера пускать, было сделано следующее: Код: ip vrf ISP2 description Mobile (reserv) Internet service provider rd 65000:1 ... interface Tunnel1 ... tunnel vrf ISP2 tunnel protection ipsec profile ESKO-pr interface Vlan100 ... ip vrf receive ISP2 ip address 172.16.255.1 255.255.255.252 ... ip policy route-map ISP2-rm route-map ISP2-rm permit 10 match ip address IPSEC-ISP2-acl set vrf ISP2 ip access-list extended IPSEC-ISP2-acl permit udp any eq non500-isakmp host 172.16.255.1 permit udp any eq isakmp host 172.16.255.1 ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.255.2
После такого даже маршруты реплицировать не надо: Код: sh ip route vrf ISP2
Routing Table: ISP2 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR
Gateway of last resort is 172.16.255.2 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.16.255.2 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.16.255.0/30 is directly connected, Vlan100 L 172.16.255.1/32 is directly connected, Vlan100
Вот.
|
17 июн 2018, 22:33 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Yacudzer писал(а): ... После такого даже маршруты реплицировать не надо: ...
Маршруты реплицировать надо, если будете делать нат.
|
18 июн 2018, 08:01 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|