Anticisco http://anticisco.ru/forum/ |
|
Вотум недоверия (задачка) http://anticisco.ru/forum/viewtopic.php?f=3&t=7442 |
Страница 1 из 2 |
Автор: | Fedia [ 15 дек 2014, 13:51 ] |
Заголовок сообщения: | Вотум недоверия (задачка) |
Вложение: Задача_РЧЦ.jpg [ 29.74 КБ | Просмотров: 105162 ] Столкнулись мы тут на одном проекте вот с такой нетривиальной задачкой. Итак, у нас есть две площадки (упростил - на самом деле их 11). На каждой - два маршрутизатора cisco и шлюз шифрования (вы им не управляете, он настроен, корректно работает). Трафик между LAN1 и LAN2 должен быть по проекту зашифрован. В нашем случае это были шлюзы Континент. Поэтому трафик штатно ходит LAN1-RAins-EncA-RAout-RBout-EncB-RBins-LAN2 Пусть вы не доверяете надежности шифровалки и на всякий случай сделали прямой кабель между маршрутизаторами на всех сайтах. Как надо настроить маршрутизаторы cisco, чтобы перенаправить трафик между LAN1 и LAN2 минуя шлюзы шифрования в случае, если какой-либо из шлюзов сломался (не доступен). В идеале конечно сделать схему масштабируемой, чтобы это можно было размножить на 11 сайтов. |
Автор: | ikiliikkuja [ 15 дек 2014, 15:18 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Не очень понял в чем сложность любую динамику поднять? Между Raout - Rbout какая-то инкапсуляция по проекту существует? Да хоть dmvpn + ospf, из Континента траффик с какой адресацией вылезает, белой/серой? R*ins статически на него траффик кидает? Если статикой, то придется трек какой-нибудь нагородить, чтобы маршрут переключался на второй линк. Или это задача на решение в пару строк? |
Автор: | Fedia [ 15 дек 2014, 16:20 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Предложите механизм автоматического переключения на прямые каналы между маршрутизаторами в случае, если один из шлюзов педает. ИМХО, адресация (белая/серая) не принципиальна. |
Автор: | ikiliikkuja [ 15 дек 2014, 17:22 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
ну например, RAins: ip route 0/0 EncA track1 (на доступности EncA) RBins: ip route 0/0 EncB track1 (на доступности EncB) может быть еще красивее, если знать где что используется изначально для масштабирования по вкусу динамику, например "нешифрованный туннель" между RAout - RBout в ospf area 0, на линке между RXout - RXins - area X stub, RXins анонсит LANx |
Автор: | Volart [ 15 дек 2014, 22:32 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Такой трекинг не заработает в случае, если упадет линк между EncA и RAout. А шлюз шифрования это L2 или L3 устройство? |
Автор: | Volart [ 15 дек 2014, 22:38 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Да и в обратную сторону трафик с треккингом не пойдет( |
Автор: | ikiliikkuja [ 15 дек 2014, 23:00 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
ну да, навскидка была слишком примитивная без понимания возможностей как-то не очень вылезают варианты, может RAins.wan1 и RBins.wan1 можно динамикой сосватать |
Автор: | siv [ 16 дек 2014, 01:41 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Поправка к задачке: RAins, RAout,RBins,RBout это коммутаторы 3850 c ip services. Т.е. dmvpn не поднимешь, туннели тоже (ибо даже gre убьет произвотидельность). Динамическая маршрутизация требовалась. У нас был OSPF (но можно и расширить задачку на другие протоколы). |
Автор: | Volart [ 16 дек 2014, 11:14 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Допустим данные идут из Lan1 в Lan2. Если упал EncA, Перенаправить на RAout можно средствами OSPF по большей метрике. Проблема в том, что бы когда траффик от RAout придет на RBout не пихать его в EncB, который работает. На RAout настраиваем роутмапу. match interface (который со стороны RAins) set tag 10 На RBout тоже роутмапа. match tag 10, set nexthop RBins. И зеркально на другой площадке. Так заработает? |
Автор: | siv [ 17 дек 2014, 00:32 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
2 Volart: ваша формулировка проблемы правильная. Решение с тэгами интересное, не уверен что описанное вами заработает, но мысль хорошая. Мы, правда, сделали без route-map (пока не будут писать как). Не хотелось везде делать PBR. Когда кругом будут развешены route-map наступит взрыв мозга, имхо. |
Автор: | Starican [ 17 дек 2014, 15:11 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Коллеги, я буквально на днях натолкнулся на документацию с примером такой же ситуации http://www.gaz-is.ru/component/knowledg ... icle&id=24 разница только в том что там используется S-Terra. Но думаю тут можно сделать тоже самое. Мне кажется что это оно :) |
Автор: | Black Fox [ 19 дек 2014, 08:47 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Starican, там ж GRE используются... Коллеги, извините, я не сильно долго думал, но в голову пришёл вариант с плавающим статиком. То есть делаем грубо так: 1. Настраиваем статический маршрут LAN1-RAins-RAout-RBout-RBins-LAN2 с запредельно большой AD. 2. На RAout и RBout настраиваем правильно два хостовых маршрута для концов туннеля. 3. EncA и EncB между собой, а также с RAins и RBins поднимают какую-либо динамику, которая перебивает статику с большим AD. 3.а. Если EncA или EncB падают, то динамический маршрут пропадает. 3.б. Если EncA и EncB не умеют динамику, то на них должно быть по два статических маршрута (со стандартным/любым AD). А определение живости пути через EncA и EncB можно проверить с помощью BGP между RAins и RBins. Сильно не пинайте, но у меня, вроде бы, никаких противоречий не возникает. |
Автор: | Starican [ 19 дек 2014, 09:41 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Так, а что плохого в GRE, особенно если учитывать что внутри него шифрование ? Главное задачку сделать, а какими средствами - это уже не важно на мой взгляд. |
Автор: | Black Fox [ 20 дек 2014, 13:38 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
В GRE плохо то, что не все железки его нормально тянут. То есть было же указано, что там 3850, то есть GRE их по процу положит. Сергеи, во-первых, всё-таки интересно, как профессионалы решили, а во-вторых, недочёты своего предложения хочется узнать. ;-) |
Автор: | Starican [ 22 дек 2014, 10:38 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Стоять зорька :))) Где в статье написано про GRE на свитчах/роутерах?? Там (в статье) GRE поднимается на S-Terra(средствами операционки CentOS 5.3). Как я понимаю, КОнтинент примерно так же сделан (linux+ добавка сверху для шифрования по ГОСТу). Потому и предположил что решения могут быть одинаковыми. Т.е. ни один свитч/роутер не пострадал :) |
Автор: | Black Fox [ 22 дек 2014, 11:07 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
В описании приведённого Вами решения есть динамика между роутерами/L3-свитчами и шифрующим девайсом. Если бы это можно было сделать, едва ли ребята запостили бы такую задачку сюда. |
Автор: | Fedia [ 15 янв 2015, 17:07 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Максим (Black Fox) прав - конечно, о динамике между внутренними (да и внешними тоже) цисками и шифровалками речь не идет |
Автор: | Black Fox [ 15 янв 2015, 22:33 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Так что насчёт кривости моего решения с BGP? Попробовал со студентами на их зачёте - решили. Правда, без наводящих вопросов не обошлось. То есть схема, вроде как, рабочая, но хочется услышать решение от гуру всё-таки. Ну, и критику схемы с BGP. |
Автор: | itex [ 12 мар 2015, 18:25 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
долго не мог понять "не доверяете надежности шифровалки" - думал слабое шифрование используется и ето решается пуском трафика вообще без него... что за бред думал я)) потом дошло, что железка из строя может выйти и всё - теперь понятно. из условия не понятно - шифровальщики мы настраивать не можем, но на них оспф уже настроен? или там статика? |
Автор: | Fedia [ 19 мар 2015, 21:03 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Считаем, что на шифровалках - статика. |
Автор: | Debug all [ 27 мар 2015, 12:15 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
[quote="Volart"]Да и в обратную сторону трафик с треккингом не пойдет([/quote] Смотря как треки настроить. Можно попробовать вот так: [quote] ! !RAins ! ip sla 1 icmp-echo RBins_LAN2-int_IP source-interface LAN1-int ! ip sla schedule 1 life forever start-time now ! ip route LAN2 EncA track 1 ! ! !RBins ! ip sla 1 icmp-echo RAins_LAN2-int_IP source-interface LAN2-int ! ip sla schedule 1 life forever start-time now ! ip route LAN1 EncA track 1 ! [/quote] Плюс между всеми цисками динамика по вкусу. Пинги будут ходить между LAN-интерфейсами цисок RAins и RBins через шифровалки, при этом попадая в тоннель, как и трафик данных. Поэтому при отвале или зависании любого из крипто-шлюзов пропадут пинги, трек на статике уйдет в даун, и трафик пойдет по динамическим маршрутам с бОльшим АД напрямую через циски. Не? |
Автор: | Debug all [ 27 мар 2015, 12:36 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Упустил из конфига ip route RB_LAN2-int_IP 255.255.255.255 EncA и аналогичный с другой стороны. Иначе пинги перемаршрутизируются. И в sla втором опечатка, но не суть. |
Автор: | Cadet [ 01 апр 2015, 12:17 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
Offtop Континент в кластер :-) Шас делаю такую схему - почти. OSPF на континентах подняли. |
Автор: | Nikolay_ [ 06 апр 2015, 10:40 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
[quote="Cadet"]Offtop Континент в кластер :-) Шас делаю такую схему - почти. OSPF на континентах подняли.[/quote]Ага. Судя по вопросам - не совсем поднялось. :-) |
Автор: | Cadet [ 06 апр 2015, 12:12 ] |
Заголовок сообщения: | Re: Вотум недоверия (задачка) |
не на континентах и кластер и OSPF поднялось все ОК |
Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |