Сообщения без ответов | Активные темы Текущее время: 12 дек 2019, 17:42



Ответить на тему  [ Сообщений: 4 ] 
Два IPSec+OSPF через двух ISP 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 49
Добрый день!

Продолжаю биться над решением проблемы резервирования, играюсь с ipsec разных типов, добился наконец того, чтобы в простейшей конфигурации гарантировано жили два ipsec туннеля через два разных внешних канала, но вот заставить работать ospf не получается :( Надеюсь на вашу помощь!

crypto ipsec transform-set IPSEC-VTI esp-3des esp-sha-hmac
!
crypto ipsec profile VTI
set transform-set IPSEC-VTI


!
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability

!
interface Tunnel100
ip address 10.10.10.2 255.255.255.0
ip ospf cost 100
keepalive 10 3
tunnel source Dialer0
tunnel destination XX.XX.XX.XX
tunnel mode ipsec ipv4
tunnel key 100
tunnel protection ipsec profile VTI
!
interface Tunnel200
ip address 10.20.20.2 255.255.255.0
ip ospf cost 50
keepalive 10 3
tunnel source Vlan5
tunnel destination 192.168.3.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
!

interface Vlan5
description Uplink thru ISP VPN (direct link)
ip address 192.168.3.10 255.255.255.0
no ip redirects
no ip proxy-arp
ip virtual-reassembly
!

!
interface Dialer0
description ADSL ISP
ip address negotiated previous
no ip redirects
no ip proxy-arp
ip mtu 1400
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip ospf mtu-ignore
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username xxx password 7 xxx
!

interface Vlan1
description Office LAN
ip address 192.168.18.1 255.255.255.0
ip flow egress
ip virtual-reassembly
ip tcp adjust-mss 1200
!

router ospf 5
router-id 10.5.3.18
log-adjacency-changes
passive-interface default
no passive-interface Tunnel100
no passive-interface Tunnel200
network 10.10.10.2 0.0.0.0 area 20
network 10.20.20.0 0.0.0.255 area 0
network 192.168.18.0 0.0.0.255 area 18
!

ip local policy route-map RouteSelect

ip route 0.0.0.0 0.0.0.0 Dialer0 track 100
ip route 0.0.0.0 0.0.0.0 Vlan5 192.168.3.1 track 200


ip access-list standard Adsl
permit YY.YY.YY.YY
ip access-list standard ISP1
permit 192.168.3.0 0.0.0.255


route-map RouteSelect permit 20
match ip address ISP1
set ip next-hop 192.168.3.1
!
route-map RouteSelect permit 30
match ip address Adsl
set ip next-hop ZZ.ZZ.ZZ.ZZ
!

------

И так и сяк эксперементировал, лучшее это когда ip ospf ne показывает:

Neighbor ID Pri State Dead Time Address Interface
10.5.1.1 0 FULL/ - 00:00:37 10.20.20.1 Tunnel200
10.5.1.1 0 EXSTART/ - 00:00:38 10.10.10.1 Tunnel100

Худшее:

Neighbor ID Pri State Dead Time Address Interface
10.5.1.1 0 FULL/ - 00:00:35 10.20.20.1 Tunnel200
10.5.1.1 0 DOWN/ - - 10.10.10.1 Tunnel100


sh crypto sess:


Interface: Tunnel200
Session status: UP-ACTIVE
Peer: 192.168.3.1 port 500
IKE SA: local 192.168.3.10/500 remote 192.168.3.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map

Interface: Tunnel100
Session status: UP-ACTIVE
Peer: XX.XX.XX.XX port 500
IKE SA: local YY.YY.YY.YY/500 remote XX.XX.XX.XX/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map


sh crypto isakmp sa:

IPv4 Crypto ISAKMP SA
dst src state conn-id status
YY.YY.YY.YY XX.XX.XX.XX QM_IDLE 2186 ACTIVE
192.168.3.10 192.168.3.1 QM_IDLE 2175 ACTIVE

IPv6 Crypto ISAKMP SA

Насколько я понимаю SA устанавливаются правильно, IPSec тоже... не хочет работать только OSPF как бы и черт бы с ним, но после получаса таких up/down сбрасывается OSFP процесс на хабе, унося жизни всех остальных подключенных клиентов, поэтому хочется, чтобы оба туннеля работали одновременно с OSPF и в случае падения основного Tunnel200 весь трафик плавно пошел через Tunnel100
Может тут и OSPF не нужен и все проще делать статикой?

Заранее благодарен за помощь!


16 ноя 2010, 12:47
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
может и проще статикой. но:

уберите ip ospf mtu-ignore с dialer и повесьте на tunnel . на оба. и с двух же сторон.


16 ноя 2010, 16:59
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Не помню точно, случаем не в GRE должен быть OSPF?


16 ноя 2010, 17:41
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 49
Блин вот я ступил/промахнулся... на хабе-то на tunnel повесил ip osfp mtu-ignore, а на споке точно не туда воткнул :) перевесил на tunnel и сию же секунду оспф ожил :) Спасибо огромное!

оспф и в GRE у меня в других случаях живет... я просто конкретный вариант тестирую :)


16 ноя 2010, 17:45
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB