Anticisco
http://anticisco.ru/forum/

Вотум недоверия (задачка)
http://anticisco.ru/forum/viewtopic.php?f=3&t=7442		 Страница 1 из 2
Автор:  Fedia [ 15 дек 2014, 13:51 ]
Заголовок сообщения:  Вотум недоверия (задачка)
Вложение:
Задача_РЧЦ.jpg
Задача_РЧЦ.jpg [ 29.74 КБ | Просмотров: 105014 ]

Столкнулись мы тут на одном проекте вот с такой нетривиальной задачкой.

Итак, у нас есть две площадки (упростил - на самом деле их 11).
На каждой - два маршрутизатора cisco и шлюз шифрования (вы им не управляете, он настроен, корректно работает).

Трафик между LAN1 и LAN2 должен быть по проекту зашифрован. В нашем случае это были шлюзы Континент. Поэтому трафик штатно ходит LAN1-RAins-EncA-RAout-RBout-EncB-RBins-LAN2

Пусть вы не доверяете надежности шифровалки и на всякий случай сделали прямой кабель между маршрутизаторами на всех сайтах.

Как надо настроить маршрутизаторы cisco, чтобы перенаправить трафик между LAN1 и LAN2 минуя шлюзы шифрования в случае, если какой-либо из шлюзов сломался (не доступен).

В идеале конечно сделать схему масштабируемой, чтобы это можно было размножить на 11 сайтов.
Автор:  ikiliikkuja [ 15 дек 2014, 15:18 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Не очень понял в чем сложность любую динамику поднять? Между Raout - Rbout какая-то инкапсуляция по проекту существует?

Да хоть dmvpn + ospf, из Континента траффик с какой адресацией вылезает, белой/серой? R*ins статически на него траффик кидает? Если статикой, то придется трек какой-нибудь нагородить, чтобы маршрут переключался на второй линк.
Или это задача на решение в пару строк?
Автор:  Fedia [ 15 дек 2014, 16:20 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Предложите механизм автоматического переключения на прямые каналы между маршрутизаторами в случае, если один из шлюзов педает.

ИМХО, адресация (белая/серая) не принципиальна.
Автор:  ikiliikkuja [ 15 дек 2014, 17:22 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
ну например,

RAins: ip route 0/0 EncA track1 (на доступности EncA)
RBins: ip route 0/0 EncB track1 (на доступности EncB)
может быть еще красивее, если знать где что используется изначально

для масштабирования по вкусу динамику, например "нешифрованный туннель" между RAout - RBout в ospf area 0, на линке между RXout - RXins - area X stub, RXins анонсит LANx
Автор:  Volart [ 15 дек 2014, 22:32 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Такой трекинг не заработает в случае, если упадет линк между EncA и RAout.
А шлюз шифрования это L2 или L3 устройство?
Автор:  Volart [ 15 дек 2014, 22:38 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Да и в обратную сторону трафик с треккингом не пойдет(
Автор:  ikiliikkuja [ 15 дек 2014, 23:00 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
ну да, навскидка была слишком примитивная
без понимания возможностей как-то не очень вылезают варианты, может RAins.wan1 и RBins.wan1 можно динамикой сосватать
Автор:  siv [ 16 дек 2014, 01:41 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Поправка к задачке: RAins, RAout,RBins,RBout это коммутаторы 3850 c ip services. Т.е. dmvpn не поднимешь, туннели тоже (ибо даже gre убьет произвотидельность). Динамическая маршрутизация требовалась. У нас был OSPF (но можно и расширить задачку на другие протоколы).
Автор:  Volart [ 16 дек 2014, 11:14 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Допустим данные идут из Lan1 в Lan2. Если упал EncA, Перенаправить на RAout можно средствами OSPF по большей метрике.
Проблема в том, что бы когда траффик от RAout придет на RBout не пихать его в EncB, который работает.

На RAout настраиваем роутмапу. match interface (который со стороны RAins) set tag 10
На RBout тоже роутмапа. match tag 10, set nexthop RBins.

И зеркально на другой площадке.

Так заработает?
Автор:  siv [ 17 дек 2014, 00:32 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
2 Volart: ваша формулировка проблемы правильная.
Решение с тэгами интересное, не уверен что описанное вами заработает, но мысль хорошая.
Мы, правда, сделали без route-map (пока не будут писать как). Не хотелось везде делать PBR. Когда кругом будут развешены route-map наступит взрыв мозга, имхо.
Автор:  Starican [ 17 дек 2014, 15:11 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Коллеги, я буквально на днях натолкнулся на документацию с примером такой же ситуации

http://www.gaz-is.ru/component/knowledg ... icle&id=24

разница только в том что там используется S-Terra.
Но думаю тут можно сделать тоже самое.

Мне кажется что это оно :)
Автор:  Black Fox [ 19 дек 2014, 08:47 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Starican, там ж GRE используются...

Коллеги, извините, я не сильно долго думал, но в голову пришёл вариант с плавающим статиком. То есть делаем грубо так:
1. Настраиваем статический маршрут LAN1-RAins-RAout-RBout-RBins-LAN2 с запредельно большой AD.
2. На RAout и RBout настраиваем правильно два хостовых маршрута для концов туннеля.
3. EncA и EncB между собой, а также с RAins и RBins поднимают какую-либо динамику, которая перебивает статику с большим AD.
3.а. Если EncA или EncB падают, то динамический маршрут пропадает.
3.б. Если EncA и EncB не умеют динамику, то на них должно быть по два статических маршрута (со стандартным/любым AD). А определение живости пути через EncA и EncB можно проверить с помощью BGP между RAins и RBins.

Сильно не пинайте, но у меня, вроде бы, никаких противоречий не возникает.
Автор:  Starican [ 19 дек 2014, 09:41 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Так, а что плохого в GRE, особенно если учитывать что внутри него шифрование ?
Главное задачку сделать, а какими средствами - это уже не важно на мой взгляд.
Автор:  Black Fox [ 20 дек 2014, 13:38 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
В GRE плохо то, что не все железки его нормально тянут. То есть было же указано, что там 3850, то есть GRE их по процу положит.

Сергеи, во-первых, всё-таки интересно, как профессионалы решили, а во-вторых, недочёты своего предложения хочется узнать. ;-)
Автор:  Starican [ 22 дек 2014, 10:38 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Стоять зорька :)))
Где в статье написано про GRE на свитчах/роутерах?? Там (в статье) GRE поднимается на S-Terra(средствами операционки CentOS 5.3). Как я понимаю, КОнтинент примерно так же сделан (linux+ добавка сверху для шифрования по ГОСТу). Потому и предположил что решения могут быть одинаковыми.
Т.е. ни один свитч/роутер не пострадал :)
Автор:  Black Fox [ 22 дек 2014, 11:07 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
В описании приведённого Вами решения есть динамика между роутерами/L3-свитчами и шифрующим девайсом. Если бы это можно было сделать, едва ли ребята запостили бы такую задачку сюда.
Автор:  Fedia [ 15 янв 2015, 17:07 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Максим (Black Fox) прав - конечно, о динамике между внутренними (да и внешними тоже) цисками и шифровалками речь не идет :(
Автор:  Black Fox [ 15 янв 2015, 22:33 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Так что насчёт кривости моего решения с BGP? Попробовал со студентами на их зачёте - решили. Правда, без наводящих вопросов не обошлось. То есть схема, вроде как, рабочая, но хочется услышать решение от гуру всё-таки. Ну, и критику схемы с BGP.
Автор:  itex [ 12 мар 2015, 18:25 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
долго не мог понять
"не доверяете надежности шифровалки" - думал слабое шифрование используется и ето решается пуском трафика вообще без него... что за бред думал я))
потом дошло, что железка из строя может выйти и всё - теперь понятно.

из условия не понятно - шифровальщики мы настраивать не можем, но на них оспф уже настроен? или там статика?
Автор:  Fedia [ 19 мар 2015, 21:03 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Считаем, что на шифровалках - статика.
Автор:  Debug all [ 27 мар 2015, 12:15 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
[quote="Volart"]Да и в обратную сторону трафик с треккингом не пойдет([/quote]

Смотря как треки настроить.
Можно попробовать вот так:

[quote]
!
!RAins
!
ip sla 1
icmp-echo RBins_LAN2-int_IP source-interface LAN1-int
!
ip sla schedule 1 life forever start-time now
!
ip route LAN2 EncA track 1
!

!
!RBins
!
ip sla 1
icmp-echo RAins_LAN2-int_IP source-interface LAN2-int
!
ip sla schedule 1 life forever start-time now
!
ip route LAN1 EncA track 1
!
[/quote]

Плюс между всеми цисками динамика по вкусу.

Пинги будут ходить между LAN-интерфейсами цисок RAins и RBins через шифровалки, при этом попадая в тоннель, как и трафик данных.
Поэтому при отвале или зависании любого из крипто-шлюзов пропадут пинги, трек на статике уйдет в даун, и трафик пойдет по динамическим маршрутам с бОльшим АД напрямую через циски.
Не?
Автор:  Debug all [ 27 мар 2015, 12:36 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Упустил из конфига ip route RB_LAN2-int_IP 255.255.255.255 EncA и аналогичный с другой стороны. Иначе пинги перемаршрутизируются.
И в sla втором опечатка, но не суть.
Автор:  Cadet [ 01 апр 2015, 12:17 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
Offtop

Континент в кластер :-)

Шас делаю такую схему - почти.

OSPF на континентах подняли.
Автор:  Nikolay_ [ 06 апр 2015, 10:40 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
[quote="Cadet"]Offtop

Континент в кластер :-)

Шас делаю такую схему - почти.

OSPF на континентах подняли.[/quote]Ага. Судя по вопросам - не совсем поднялось. :-)
Автор:  Cadet [ 06 апр 2015, 12:12 ]
Заголовок сообщения:  Re: Вотум недоверия (задачка)
не на континентах и кластер и OSPF поднялось все ОК
Страница 1 из 2 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/