Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 02:53



Ответить на тему  [ Сообщений: 22 ] 
2CLOUD DMVPN с 2 ISP на SPOKE и связь напрямую между споками 
Автор Сообщение

Зарегистрирован: 25 фев 2013, 11:33
Сообщения: 18
Если на SPOKE 2 провайдера, есть два варианта реализации:

1. Убирать каждый из интерфейсов в сторону провайдера в отдельный VRF, как по ссылке http://www.cisco.com/c/en/us/support/docs/security-vpn/dynamic-multi-point-vpn-dmvpn/119022-configure-dmvpn-00.html
Но тут есть проблема если нужно выпускать пользователей в инет через этот же SPOKE, а не через HUB. Возможно ли делать leak дефолтного маршрута в глобальную таблицу маршрутизации?

Пример конфига спока

Код:
vrf definition ISP1
 rd 1:1
 !
 address-family ipv4
 exit-address-family
!
vrf definition ISP2
 rd 2:2
 !
 address-family ipv4
 exit-address-family
!
interface GigabitEthernet0/0
 description LAN
!
interface Port-channel1.998
vrf forwarding ISP1
 description ISP1
!
interface Port-channel1.999
vrf forwarding ISP2
 description ISP2
!
interface Tunnel1
 bandwidth 25000
 ip address 10.1.3.8 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip flow ingress
 ip flow egress
 ip nhrp map multicast XXXXXXXX
 ip nhrp map 10.1.3.1 XXXXXXXX
 ip nhrp network-id xxx
 ip nhrp holdtime 300
 ip nhrp nhs 10.1.3.1
 ip nhrp registration no-unique
 ip nhrp shortcut
 ip tcp adjust-mss 1360
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 xxxxxxxxxxxx
 ip ospf network broadcast
 ip ospf priority 0
 ip ospf 1 area 0
 load-interval 30
 tunnel source Port-channel1.998
 tunnel mode gre multipoint
 tunnel key xxxxxx
 tunnel vrf ISP1
 tunnel protection ipsec profile DMVPN
!
interface Tunnel2
 bandwidth 15000
 ip address 10.1.4.8 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip flow ingress
 ip flow egress
 ip nhrp map multicast XXXXXXXX
 ip nhrp map 10.1.4.1 XXXXXXXX
 ip nhrp network-id xxx
 ip nhrp holdtime 300
 ip nhrp nhs 10.1.4.1
 ip nhrp registration no-unique
 ip nhrp shortcut
 ip tcp adjust-mss 1360
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 xxxxxxxxxxxx
 ip ospf network broadcast
 ip ospf priority 0
 ip ospf 1 area 0
 load-interval 30
 tunnel source Port-channel1.999
 tunnel mode gre multipoint
 tunnel key xxxxxx
 tunnel vrf ISP2
 tunnel protection ipsec profile DMVPN2


2. Второй вариант без VRF. Но тут проблема в том что когда на другом spoke падает один канал, и споки пытаются общаться друг с другом то на споке у которого работает оба канала всегда isakm sa будет строится только через тот интерфейс куда у него дефолтный маршрут (команда tunnel route-via Interface mandatory не отрабатывает). Это решается прописыванием маршрута до внешнего адреса второго спока (резервного ISP), но это крайне не удобно если споков хотя бы больше 5


Поделитесь у кого как сделано?


28 сен 2015, 10:38
Профиль

Зарегистрирован: 01 апр 2015, 12:42
Сообщения: 32
Dronskiy писал(а):
Если на SPOKE 2 провайдера, есть два варианта реализации:

1. Убирать каждый из интерфейсов в сторону провайдера в отдельный VRF, как по ссылке http://www.cisco.com/c/en/us/support/docs/security-vpn/dynamic-multi-point-vpn-dmvpn/119022-configure-dmvpn-00.html
Но тут есть проблема если нужно выпускать пользователей в инет через этот же SPOKE, а не через HUB. Возможно ли делать leak дефолтного маршрута в глобальную таблицу маршрутизации?

2. Второй вариант без VRF. Но тут проблема в том что когда на другом spoke падает один канал, и споки пытаются общаться друг с другом то на споке у которого работает оба канала всегда isakm sa будет строится только через тот интерфейс куда у него дефолтный маршрут (команда tunnel route-via Interface mandatory не отрабатывает). Это решается прописыванием маршрута до внешнего адреса второго спока (резервного ISP), но это крайне не удобно если споков хотя бы больше 5


Поделитесь у кого как сделано?


А зачем держать юзеров на споке в глобале?
Создайте для них отдельный ivrf, и дальше в него делайте или route-leak дефолта из fvrf через mp-bgp или route-replicate дефолта из fvrf непосредственно в vrf definition (требуется 15.4)
Более того, можно делать conditional leak из обоих fvrf в ivrf примерно так:


Код:
ip route vrf WAN1 0.0.0.0 0.0.0.0 22.22.12.1 252 tag 100 track 10
ip route vrf WAN2 0.0.0.0 0.0.0.0 22.22.22.1 253 tag 100 track 20
ip route vrf WAN1 0.0.0.0 0.0.0.0 22.22.12.1 254
ip route vrf WAN2 0.0.0.0 0.0.0.0 22.22.22.1 254



Код:
route-replicate from vrf WAN2 unicast static route-map DEFAULT-ROUTE
route-replicate from vrf WAN1 unicast static route-map DEFAULT-ROUTE


Код:
route-map DEFAULT-ROUTE permit 10
 match tag 100


Код:
ip sla 10
 icmp-echo 8.8.8.8 source-interface Ethernet0/0
 vrf WAN1
 threshold 2000
 timeout 2000
 frequency 2
ip sla 20
 icmp-echo 8.8.8.8 source-interface Ethernet0/1
 vrf WAN2
 threshold 2000
 timeout 2000
 frequency 2


Код:
track 10 ip sla 10

track 20 ip sla 20


В данном примере в каждом fvrf есть безусловный дефолт до соответствующего провайдера + дефолт с треком и тагом, который реплицируется в таблицу маршрутизации юзерского ivrf, только когда трек соответствующего ISP в апе.


Порядок выбора маршрутов при route-replicate следующий:


If a route is replicated, the following rule determines route preference:

* If two routes are owned by the same protocol and have the same source VRF, and if one of the routes is NOT replicated, then the nonreplicated route is preferred.

If the above rule does not apply, the following rules determine route preference, in this order:

1. Prefer the route with smaller administrative distance.
2. Prefer the route with smaller default administrative distance.
3. Prefer a non-replicated route over a replicated route.
4. Compare original vrf-names. Prefer the route with the lexicographically smaller vrf-name.
5. Compare original sub-address-families: Prefer unicast over multicast.
6. Prefer the oldest route.


28 сен 2015, 13:10
Профиль

Зарегистрирован: 25 фев 2013, 11:33
Сообщения: 18
Спасибо! Так работает


29 сен 2015, 10:22
Профиль

Зарегистрирован: 25 фев 2013, 11:33
Сообщения: 18
Роут реплицируется но трафик между vrf не ходит :(

Код:
vrf definition MTS
 rd 1:1
 !
 address-family ipv4
 exit-address-family
 !
vrf definition Rostel
 rd 2:2
 !
 address-family ipv4
 exit-address-family
!
vrf definition Lan
 rd 3:3
 !
 address-family ipv4
  route-replicate from vrf Rostel unicast static
  route-replicate from vrf MTS unicast static
 exit-address-family
!
interface Port-channel1.998
vrf forwarding Rostel
!
interface Port-channel1.999
vrf forwarding MTS
!
interface Port-channel1.1001
vrf forwarding Lan
!
router ospf 1 vrf Lan
 router-id xxxxxxxx
 auto-cost reference-bandwidth 1000
 capability vrf-lite
 passive-interface default
 no passive-interface Port-channel1.1001
 network x.x.x.x x.x.x.x area x
!
ip route vrf MTS 0.0.0.0 0.0.0.0 xx.xxx.xxx.xx
ip route vrf Rostel 0.0.0.0 0.0.0.0 xx.xxx.xxx.xx 254


Код:
#sh ip route vrf Lan
Gateway of last resort is not set

[b]S*  + 0.0.0.0/0 [1/0] via 62.xxx.xxx.xxx (MTS)[/b]
      10.0.0.0/8 is variably subnetted, 144 subnets, 8 masks

#ping vrf Lan 8.8.4.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.4.4, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)


01 окт 2015, 11:57
Профиль

Зарегистрирован: 01 апр 2015, 12:42
Сообщения: 32
В nat-трансляции ivrf указан?


01 окт 2015, 12:35
Профиль

Зарегистрирован: 25 фев 2013, 11:33
Сообщения: 18
Да что то я затупил c nat.
Теперь вот ещё CUBE запихать в VRF.
voice vrf мoжет быть только один на всю железку
Получается sip только натить?

Код:
voice vrf Lan
!
voice service voip
 ip address trusted list
 sip
  bind control source-interface Port-channel1.20
  bind media source-interface Port-channel1.20
!
interface Port-channel1.20
 description VOICE
 ip address 10.15.20.250 255.255.255.0
 encapsulation dot1Q 20
 vrf forwarding Lan
!
sip-ua
 credentials xxxxxxxxx
 registrar 1 xxxxxxxxx


Код:
-------------- SIP Transport Layer Listen Sockets ---------------
  Conn-Id               Local-Address             
 ===========    =============================
   2            [10.15.20.250]:5060:Lan


02 окт 2015, 11:47
Профиль

Зарегистрирован: 25 фев 2013, 11:33
Сообщения: 18
Не работает в таком конфиге sip (((
Ещё нашёл вариант конфига для двух провайдеров с ip local policy route-map, но у меня isakmp не попадает под local policy
У кого нибудь применяется ip local policy к isakmp, скажите ios?


08 окт 2015, 09:42
Профиль

Зарегистрирован: 04 апр 2016, 13:01
Сообщения: 1
Dronskiy писал(а):
Не работает в таком конфиге sip (((

удалось побороть сип в вариации с 2 vrf?


04 апр 2016, 13:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
А не проще без vrf на базе параметра tunnel route via .... в тунельном интерфейсе и 2 равнозначных дефолта?
А локальный трафик юзеров в инет корректировать PBR-ом по необходимости.

VRF-ы это конечно круто. Но в данном случае ИМХО перебор сложности.


04 апр 2016, 14:54
Профиль
Аватара пользователя

Зарегистрирован: 25 апр 2013, 12:36
Сообщения: 120
Откуда: Мск. обл.
P@ve1 писал(а):
А не проще без vrf на базе параметра tunnel route via .... в тунельном интерфейсе и 2 равнозначных дефолта?
А локальный трафик юзеров в инет корректировать PBR-ом по необходимости.

VRF-ы это конечно круто. Но в данном случае ИМХО перебор сложности.


tunnel route via можно использовать только на IOS, если на spoke будет IOS XE, то только vrf-lite т.к. tunnel route via в IOS XE не реализован и не известно будет ли.
https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdf
Подскажите, а как в предложенном вами варианте регулировать трафик юзеров в инет, еще так что при падении основного канала они в интернет выходили через резервный.
Прошу сильно не кидаться в меня, я столкнулся с аналогичной проблемой, как выпускать пользователей в интернет со спока не соображу. У меня удаленный спок на IOS, vrf прикручивать не хочу.
Если у вас есть пример конфигурации буду очень благодарен.
Заранее спасибо!


12 дек 2017, 15:39
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
cosmonaft писал(а):
P@ve1 писал(а):
А не проще без vrf на базе параметра tunnel route via .... в тунельном интерфейсе и 2 равнозначных дефолта?
А локальный трафик юзеров в инет корректировать PBR-ом по необходимости.

VRF-ы это конечно круто. Но в данном случае ИМХО перебор сложности.


tunnel route via можно использовать только на IOS, если на spoke будет IOS XE, то только vrf-lite т.к. tunnel route via в IOS XE не реализован и не известно будет ли.
https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdf
Подскажите, а как в предложенном вами варианте регулировать трафик юзеров в инет, еще так что при падении основного канала они в интернет выходили через резервный.
Прошу сильно не кидаться в меня, я столкнулся с аналогичной проблемой, как выпускать пользователей в интернет со спока не соображу. У меня удаленный спок на IOS, vrf прикручивать не хочу.
Если у вас есть пример конфигурации буду очень благодарен.
Заранее спасибо!


А чо там за проблемы с нехотением прикручивать врф?
Резервного прова суёте туда и дальше примерно так:

Код:
track 100 ip sla 100 reachability
 delay down 15 up 15

vrf definition ISP2
 address-family ipv4
  route-replicate from vrf global unicast connected
 exit-address-family

global-address-family ipv4
 route-replicate from vrf ISP2 unicast static

crypto keyring KR-DMVPN vrf ISP2
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxx

crypto isakmp profile IKP99
   keyring KR-DMVPN
   match identity address 0.0.0.0 ISP2

interface Tunnel200
 ...
 delay 1100
 tunnel vrf ISP2
 tunnel protection ipsec profile CIP99

ip route 0.0.0.0 0.0.0.0 xx.xx.xx.29 track 100
ip route 8.8.4.4 255.255.255.255 xx.xx.99.29
ip route vrf ISP2 0.0.0.0 0.0.0.0 zz.zz.79.254 100

ip sla 100
 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2
 frequency 15
ip sla schedule 100 life forever start-time now

ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload
ip nat inside source route-map ISP2-RM interface GigabitEthernet0/1 overload

route-map ISP1-RM permit 10
 match ip address NAT
 match interface GigabitEthernet0/2

route-map ISP2-RM permit 10
 match ip address NAT
 match interface GigabitEthernet0/1

event manager applet ISP1UPDOWN
 event track 100 state any
 action 1.0 cli command "enable"
 action 2.0 cli command "clear ip nat trans forced"


12 дек 2017, 15:48
Профиль ICQ
Аватара пользователя

Зарегистрирован: 25 апр 2013, 12:36
Сообщения: 120
Откуда: Мск. обл.
Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера?
Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via.


13 дек 2017, 10:29
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
cosmonaft писал(а):
Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера?
Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via.


Правильно. tunnel route via - костыль.


13 дек 2017, 10:36
Профиль ICQ
Аватара пользователя

Зарегистрирован: 25 апр 2013, 12:36
Сообщения: 120
Откуда: Мск. обл.
У меня DMVPN phase 2 + EIGRP, 2 HUB.
У меня на споке с двумя провайдерами способ с Route Replication Behavior for Easy Virtual Network не работает.
роутер ISR 4321/K9
Cisco IOS XE Software, Version 03.16.06.S - Extended Support Release
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S6, RELEASE SOFTWARE (fc3)

EIGRP не анонсирует маршруты с +

Коллеги, помогите разобраться с этим.


23 мар 2018, 20:10
Профиль

Зарегистрирован: 25 фев 2013, 11:33
Сообщения: 18
Год не заходил, а моя тема апнута, не могу не ответить)))

В IOS XE и вроде с IOS 15.5 можно сливать маршруты из vrf в global. Тоесть туннели во front door vrf а все остальное в остается global

Код:
global-address-family ipv4
 route-replicate from vrf FVRF01 unicast static route-map default-route
 route-replicate from vrf FVRF02 unicast static route-map default-route
!
ip route vrf FVRF01 0.0.0.0 0.0.0.0 xxxxxxxxxx 20 track 12
ip route vrf FVRF02 0.0.0.0 0.0.0.0 xxxxxxxxxx 30 track 22
!


Код:
sh ip route

Gateway of last resort is not set

S*  + 0.0.0.0/0 [20/0] via xxxxxxxx (FVRF01)


27 мар 2018, 22:43
Профиль

Зарегистрирован: 13 июн 2017, 15:39
Сообщения: 3
cosmonaft писал(а):
Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера?
Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via.

cosmonaft, нашли рабочий вариант с tunnel route via ?


13 июн 2018, 12:54
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Там с tunnel route via тоже не все так просто.
Для того, что бы оно отрабатывало - два дефолтных роута должно быть в таблице маршрутизации, насколько я помню.


15 июн 2018, 14:23
Профиль
Аватара пользователя

Зарегистрирован: 25 апр 2013, 12:36
Сообщения: 120
Откуда: Мск. обл.
alex_0 писал(а):
cosmonaft писал(а):
Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера?
Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via.

cosmonaft, нашли рабочий вариант с tunnel route via ?

Добрый день!
нет я не использую tunnel route via
сделал с vrf
а так же использую на некоторых споках конфигурацию с local policy и pbr

рекомендую - https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdf
и оригинал - BRKSEC 4054

И да для tunnel route via оба default route от двух провайдеров должны быть в таблице маршрутизации, а пользователей в интернет выпускать pbr, об этом коллеги выше писали.


15 июн 2018, 15:20
Профиль
Аватара пользователя

Зарегистрирован: 25 апр 2013, 12:36
Сообщения: 120
Откуда: Мск. обл.
ip route via в ios xe не работает - его там попросту нет и сказали не будет


15 июн 2018, 15:23
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
Маршруты из VRF в GRT можно эскпортировать с помощью export ipv4 unicast map и MP-BGP


17 июн 2018, 11:24
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
cosmonaft писал(а):
alex_0 писал(а):
cosmonaft писал(а):
Правильно я понимаю, вы предлагаете запихнуть в vrf только bacup-ного провайдера?
Спасибо попробую этот вариант, но все же интересно как сделать на ios c tunnel route via.

cosmonaft, нашли рабочий вариант с tunnel route via ?

Добрый день!
нет я не использую tunnel route via
сделал с vrf
а так же использую на некоторых споках конфигурацию с local policy и pbr

рекомендую - https://www.cisco.com/c/dam/m/ru_ru/tra ... roblem.pdf
и оригинал - BRKSEC 4054

И да для tunnel route via оба default route от двух провайдеров должны быть в таблице маршрутизации, а пользователей в интернет выпускать pbr, об этом коллеги выше писали.

Я тоже попробовал tunnel route via, не получилось. Не понял какие маршруты должны быть, с vrf ИМХО, все гораздо проще. Т.к. мне надо было резервный ipsec через мобильного провайдера пускать, было сделано следующее:
Код:
ip vrf ISP2
 description Mobile (reserv) Internet service provider
 rd 65000:1
...
interface Tunnel1
...
 tunnel vrf ISP2
 tunnel protection ipsec profile ESKO-pr
interface Vlan100
...
 ip vrf receive ISP2
 ip address 172.16.255.1 255.255.255.252
...
 ip policy route-map ISP2-rm
route-map ISP2-rm permit 10
 match ip address IPSEC-ISP2-acl
 set vrf ISP2
ip access-list extended IPSEC-ISP2-acl
 permit udp any eq non500-isakmp host 172.16.255.1
 permit udp any eq isakmp host 172.16.255.1
ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.255.2


После такого даже маршруты реплицировать не надо:
Код:
sh ip route vrf ISP2

Routing Table: ISP2
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 172.16.255.2 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.255.2
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.255.0/30 is directly connected, Vlan100
L        172.16.255.1/32 is directly connected, Vlan100


Вот.


17 июн 2018, 22:33
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Yacudzer писал(а):
...
После такого даже маршруты реплицировать не надо:
...


Маршруты реплицировать надо, если будете делать нат.


18 июн 2018, 08:01
Профиль ICQ
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 22 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB