Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 20:46



Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
Вотум недоверия (задачка) 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Вложение:
Задача_РЧЦ.jpg
Задача_РЧЦ.jpg [ 29.74 КБ | Просмотров: 104856 ]

Столкнулись мы тут на одном проекте вот с такой нетривиальной задачкой.

Итак, у нас есть две площадки (упростил - на самом деле их 11).
На каждой - два маршрутизатора cisco и шлюз шифрования (вы им не управляете, он настроен, корректно работает).

Трафик между LAN1 и LAN2 должен быть по проекту зашифрован. В нашем случае это были шлюзы Континент. Поэтому трафик штатно ходит LAN1-RAins-EncA-RAout-RBout-EncB-RBins-LAN2

Пусть вы не доверяете надежности шифровалки и на всякий случай сделали прямой кабель между маршрутизаторами на всех сайтах.

Как надо настроить маршрутизаторы cisco, чтобы перенаправить трафик между LAN1 и LAN2 минуя шлюзы шифрования в случае, если какой-либо из шлюзов сломался (не доступен).

В идеале конечно сделать схему масштабируемой, чтобы это можно было размножить на 11 сайтов.


15 дек 2014, 13:51
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
Не очень понял в чем сложность любую динамику поднять? Между Raout - Rbout какая-то инкапсуляция по проекту существует?

Да хоть dmvpn + ospf, из Континента траффик с какой адресацией вылезает, белой/серой? R*ins статически на него траффик кидает? Если статикой, то придется трек какой-нибудь нагородить, чтобы маршрут переключался на второй линк.
Или это задача на решение в пару строк?


15 дек 2014, 15:18
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Предложите механизм автоматического переключения на прямые каналы между маршрутизаторами в случае, если один из шлюзов педает.

ИМХО, адресация (белая/серая) не принципиальна.


15 дек 2014, 16:20
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
ну например,

RAins: ip route 0/0 EncA track1 (на доступности EncA)
RBins: ip route 0/0 EncB track1 (на доступности EncB)
может быть еще красивее, если знать где что используется изначально

для масштабирования по вкусу динамику, например "нешифрованный туннель" между RAout - RBout в ospf area 0, на линке между RXout - RXins - area X stub, RXins анонсит LANx


15 дек 2014, 17:22
Профиль

Зарегистрирован: 31 июл 2013, 10:33
Сообщения: 6
Такой трекинг не заработает в случае, если упадет линк между EncA и RAout.
А шлюз шифрования это L2 или L3 устройство?


15 дек 2014, 22:32
Профиль

Зарегистрирован: 31 июл 2013, 10:33
Сообщения: 6
Да и в обратную сторону трафик с треккингом не пойдет(


15 дек 2014, 22:38
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
ну да, навскидка была слишком примитивная
без понимания возможностей как-то не очень вылезают варианты, может RAins.wan1 и RBins.wan1 можно динамикой сосватать


15 дек 2014, 23:00
Профиль

Зарегистрирован: 02 июн 2009, 14:42
Сообщения: 231
Поправка к задачке: RAins, RAout,RBins,RBout это коммутаторы 3850 c ip services. Т.е. dmvpn не поднимешь, туннели тоже (ибо даже gre убьет произвотидельность). Динамическая маршрутизация требовалась. У нас был OSPF (но можно и расширить задачку на другие протоколы).


16 дек 2014, 01:41
Профиль

Зарегистрирован: 31 июл 2013, 10:33
Сообщения: 6
Допустим данные идут из Lan1 в Lan2. Если упал EncA, Перенаправить на RAout можно средствами OSPF по большей метрике.
Проблема в том, что бы когда траффик от RAout придет на RBout не пихать его в EncB, который работает.

На RAout настраиваем роутмапу. match interface (который со стороны RAins) set tag 10
На RBout тоже роутмапа. match tag 10, set nexthop RBins.

И зеркально на другой площадке.

Так заработает?


16 дек 2014, 11:14
Профиль

Зарегистрирован: 02 июн 2009, 14:42
Сообщения: 231
2 Volart: ваша формулировка проблемы правильная.
Решение с тэгами интересное, не уверен что описанное вами заработает, но мысль хорошая.
Мы, правда, сделали без route-map (пока не будут писать как). Не хотелось везде делать PBR. Когда кругом будут развешены route-map наступит взрыв мозга, имхо.


17 дек 2014, 00:32
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Коллеги, я буквально на днях натолкнулся на документацию с примером такой же ситуации

http://www.gaz-is.ru/component/knowledg ... icle&id=24

разница только в том что там используется S-Terra.
Но думаю тут можно сделать тоже самое.

Мне кажется что это оно :)


17 дек 2014, 15:11
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Starican, там ж GRE используются...

Коллеги, извините, я не сильно долго думал, но в голову пришёл вариант с плавающим статиком. То есть делаем грубо так:
1. Настраиваем статический маршрут LAN1-RAins-RAout-RBout-RBins-LAN2 с запредельно большой AD.
2. На RAout и RBout настраиваем правильно два хостовых маршрута для концов туннеля.
3. EncA и EncB между собой, а также с RAins и RBins поднимают какую-либо динамику, которая перебивает статику с большим AD.
3.а. Если EncA или EncB падают, то динамический маршрут пропадает.
3.б. Если EncA и EncB не умеют динамику, то на них должно быть по два статических маршрута (со стандартным/любым AD). А определение живости пути через EncA и EncB можно проверить с помощью BGP между RAins и RBins.

Сильно не пинайте, но у меня, вроде бы, никаких противоречий не возникает.


19 дек 2014, 08:47
Профиль WWW

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Так, а что плохого в GRE, особенно если учитывать что внутри него шифрование ?
Главное задачку сделать, а какими средствами - это уже не важно на мой взгляд.


19 дек 2014, 09:41
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
В GRE плохо то, что не все железки его нормально тянут. То есть было же указано, что там 3850, то есть GRE их по процу положит.

Сергеи, во-первых, всё-таки интересно, как профессионалы решили, а во-вторых, недочёты своего предложения хочется узнать. ;-)


20 дек 2014, 13:38
Профиль WWW

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Стоять зорька :)))
Где в статье написано про GRE на свитчах/роутерах?? Там (в статье) GRE поднимается на S-Terra(средствами операционки CentOS 5.3). Как я понимаю, КОнтинент примерно так же сделан (linux+ добавка сверху для шифрования по ГОСТу). Потому и предположил что решения могут быть одинаковыми.
Т.е. ни один свитч/роутер не пострадал :)


22 дек 2014, 10:38
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
В описании приведённого Вами решения есть динамика между роутерами/L3-свитчами и шифрующим девайсом. Если бы это можно было сделать, едва ли ребята запостили бы такую задачку сюда.


22 дек 2014, 11:07
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Максим (Black Fox) прав - конечно, о динамике между внутренними (да и внешними тоже) цисками и шифровалками речь не идет :(


15 янв 2015, 17:07
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Так что насчёт кривости моего решения с BGP? Попробовал со студентами на их зачёте - решили. Правда, без наводящих вопросов не обошлось. То есть схема, вроде как, рабочая, но хочется услышать решение от гуру всё-таки. Ну, и критику схемы с BGP.


15 янв 2015, 22:33
Профиль WWW

Зарегистрирован: 16 янв 2014, 14:42
Сообщения: 80
долго не мог понять
"не доверяете надежности шифровалки" - думал слабое шифрование используется и ето решается пуском трафика вообще без него... что за бред думал я))
потом дошло, что железка из строя может выйти и всё - теперь понятно.

из условия не понятно - шифровальщики мы настраивать не можем, но на них оспф уже настроен? или там статика?


12 мар 2015, 18:25
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Считаем, что на шифровалках - статика.


19 мар 2015, 21:03
Профиль

Зарегистрирован: 13 дек 2012, 12:34
Сообщения: 127
[quote="Volart"]Да и в обратную сторону трафик с треккингом не пойдет([/quote]

Смотря как треки настроить.
Можно попробовать вот так:

[quote]
!
!RAins
!
ip sla 1
icmp-echo RBins_LAN2-int_IP source-interface LAN1-int
!
ip sla schedule 1 life forever start-time now
!
ip route LAN2 EncA track 1
!

!
!RBins
!
ip sla 1
icmp-echo RAins_LAN2-int_IP source-interface LAN2-int
!
ip sla schedule 1 life forever start-time now
!
ip route LAN1 EncA track 1
!
[/quote]

Плюс между всеми цисками динамика по вкусу.

Пинги будут ходить между LAN-интерфейсами цисок RAins и RBins через шифровалки, при этом попадая в тоннель, как и трафик данных.
Поэтому при отвале или зависании любого из крипто-шлюзов пропадут пинги, трек на статике уйдет в даун, и трафик пойдет по динамическим маршрутам с бОльшим АД напрямую через циски.
Не?


27 мар 2015, 12:15
Профиль

Зарегистрирован: 13 дек 2012, 12:34
Сообщения: 127
Упустил из конфига ip route RB_LAN2-int_IP 255.255.255.255 EncA и аналогичный с другой стороны. Иначе пинги перемаршрутизируются.
И в sla втором опечатка, но не суть.


27 мар 2015, 12:36
Профиль

Зарегистрирован: 14 мар 2012, 15:48
Сообщения: 327
Offtop

Континент в кластер :-)

Шас делаю такую схему - почти.

OSPF на континентах подняли.


01 апр 2015, 12:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
[quote="Cadet"]Offtop

Континент в кластер :-)

Шас делаю такую схему - почти.

OSPF на континентах подняли.[/quote]Ага. Судя по вопросам - не совсем поднялось. :-)


06 апр 2015, 10:40
Профиль

Зарегистрирован: 14 мар 2012, 15:48
Сообщения: 327
не на континентах и кластер и OSPF поднялось все ОК


06 апр 2015, 12:12
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 28 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB