|
|
Страница 1 из 1
|
[ Сообщений: 24 ] |
|
Как автоматически перестроить маршруты?
Автор |
Сообщение |
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
Здравствуйте уважаемые специалисты! Подскажите пожалуйста, как автоматически перестраивать маршруты при двух провайдерах? OSPF одна зона. Когда прописываю маршруты на обоих CISCO ASA, то на коммутаторе CISCO 3850 всегда имеется только один маршрут. При пропадании связи на PROVIDER1, удаленный офис переключается на PROVIDER2, НО маршрут по прежнему остается на CISCO ASA который подключен к PROVIDER1. На двух CISCO ASA в маршрутах прописано route outside 192.168.11.0 255.255.255.248 94.78.96.112. Есть ли механизм OSPF который меняет маршрут на CISCO 3850, при той схеме который я приложил?
Вложения:
example_sample.jpg [ 99.22 КБ | Просмотров: 11171 ]
|
17 апр 2018, 16:54 |
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45 Сообщения: 211 Откуда: Москва
|
Не про OSPF, но всё же https://www.cisco.com/c/en/us/support/d ... sa-00.htmlP.S. А по-хорошему - 3850 в стек, ASA'ы в High Availability (Active/Standby например) и будет счастье
|
17 апр 2018, 17:17 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
Спасибо большое Вам за уделенное время! Забыл "нарисовать"/описать, все CISCO ASA и CISCO 3850 находятся в разных зданиях (между ними нет прямой связи) и соединены между собой меж.провайдерскими соединениями на скоростях до 50 МБит/с. По сему стек не получается у 3850 а у ASA High Availability пробовал, не встают они active/standby
|
17 апр 2018, 17:26 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
зачем на двух асах один маршрут, если вторая аса о провайдере 1 вообще не в курсе.
|
17 апр 2018, 17:44 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
А что там за провайдерами? Vpn?
|
17 апр 2018, 20:46 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): зачем на двух асах один маршрут, если вторая аса о провайдере 1 вообще не в курсе. Спасибо за Ваш ответ и за уделенное время. Да верно, первая АСА не знает о провайдере2 а вторая АСА не знает о провайдере1. Но обе АСА ДОЛЖНЫ знать ГДЕ находится подсеть офиса 192.168.11.0/29, и эта подсеть находится у офисного провайдера имеющего IP: 94.78.96.112.
|
18 апр 2018, 08:05 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
Demm писал(а): А что там за провайдерами? Vpn? Благодарю за Ваш ответ и ваше время! Да, за провайдером1 и провадйером2 построена IPSEC VPN (L2L). Немного скорректировал "картинку".
Вложения:
example_sample.jpg [ 107.29 КБ | Просмотров: 11113 ]
|
18 апр 2018, 08:14 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
совсем перестал понимать. Почему у вас шлюзом на ASA выступает провайдер в офисе?
|
18 апр 2018, 11:02 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): совсем перестал понимать. Почему у вас шлюзом на ASA выступает провайдер в офисе? Спасибо за ответ! Это не шлюз это маршрут в офисную подсеть для построения L2L IPSEC VPN, этот маршрут Код: route outside 192.168.11.0 255.255.255.0 94.78.96.112 означает, что удаленный ПК с IP-адресом: 192.168.11.5 следует искать на удаленном маршрутизаторе удаленного офиса с IP-адресом 94.78.96.112. Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового.
|
18 апр 2018, 11:47 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
sidsoft писал(а): Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. ага, строил. И маршрут использовался просто по-умолчанию, а не удаленный роутер, в крайнем случае можно конечно для сети отдельно маршрут, но адрес вашего провайдера.
|
18 апр 2018, 11:59 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): sidsoft писал(а): Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. ага, строил. И маршрут использовался просто по-умолчанию, а не удаленный роутер, в крайнем случае можно конечно для сети отдельно маршрут, но адрес вашего провайдера. Хм, как вы поступаете если есть например три удаленных подсети... Код: 1. 10.0.10.0/24 2. 100.100.100.0/24 3. 192.168.250.0/24
Пусть маршрут будет по дефолту Код: route outside 0.0.0.0 0.0.0.0 97.119.25.168 Как в данном случае вы опишете маршруты на разные подсети? Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети Как Вы опишете ацесс-листы? Код: access-list mch-vpn-office1 extended permit ip 192.168.0.0 255.255.0.0 10.0.10.0 255.255.255.0 крипто-мап-у? Код: crypto map VPN 1 match address mch-vpn-office1 crypto map VPN 1 set pfs group5 crypto map VPN 1 set peer 96.78.112.93 crypto map VPN 1 set ikev1 transform-set 881-AES-256 881-3DES и тунельную группу? Код: tunnel-group 96.78.112.93 type ipsec-l2l tunnel-group 96.78.112.93 ipsec-attributes ikev1 pre-shared-key secret
Последний раз редактировалось sidsoft 18 апр 2018, 12:37, всего редактировалось 1 раз.
|
18 апр 2018, 12:31 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
sidsoft писал(а): Как в данном случае вы опишете маршруты на разные подсети? если это удаленные подсети, то могу никак не описывать, они уйдут по маршруту по-умолчанию. А могу описать так Код: route outside 10.0.10.0 255.255.255.0 97.119.25.168 route outside 100.100.100.0 255.255.255.0 97.119.25.168 route outside 192.168.250.0 255.255.255.0 97.119.25.168 ну и конечно остается Код: route outside 0.0.0.0 0.0.0.0 97.119.25.168 вам же в инет надо выходить
|
18 апр 2018, 12:35 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
sidsoft писал(а): Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети ага, и как раз эти подсети попадают в маршрутизацию всего мира, так что нам повезло
|
18 апр 2018, 12:36 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): sidsoft писал(а): Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового. ага, строил. И маршрут использовался просто по-умолчанию, а не удаленный роутер, в крайнем случае можно конечно для сети отдельно маршрут, но адрес вашего провайдера. Хм, как вы поступаете если есть например три удаленных подсети... Код: 1. 10.0.10.0/24 2. 100.100.100.0/24 3. 192.168.250.0/24
Пусть маршрут будет по дефолту Код: route outside 0.0.0.0 0.0.0.0 97.119.25.168 Как в данном случае вы опишете маршруты на разные подсети? Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети Как Вы опишете ацесс-листы? Код: access-list mch-vpn-office1 extended permit ip 192.168.0.0 255.255.0.0 10.0.10.0 255.255.255.0 крипто-мап-у? Код: crypto map VPN 1 match address mch-vpn-office1 crypto map VPN 1 set pfs group5 crypto map VPN 1 set peer 96.78.112.93 crypto map VPN 1 set ikev1 transform-set 881-AES-256 881-3DES и тунельную группу? Код: tunnel-group 96.78.112.93 type ipsec-l2l tunnel-group 96.78.112.93 ipsec-attributes ikev1 pre-shared-key secret
|
18 апр 2018, 12:38 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
sidsoft писал(а): Как Вы опишете ацесс-листы? не пойму проблему. Если эти 3 сети за одним удаленным роутером, то в access-list'e будет 3 правила просто. sidsoft писал(а): крипто-мап-у? sidsoft писал(а): и тунельную группу? а что с ними не так? Оставить как есть нельзя?
|
18 апр 2018, 12:45 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): sidsoft писал(а): Как Вы опишете ацесс-листы? не пойму проблему. Если эти 3 сети за одним удаленным роутером, то в access-list'e будет 3 правила просто. sidsoft писал(а): крипто-мап-у? sidsoft писал(а): и тунельную группу? а что с ними не так? Оставить как есть нельзя? Т.к. на удаленных офисах имеется разный тип оборудования (наследие) то и методы шифрования каждого туннеля отличается, посему и крипто-мап-ы необходимо описывать, плюс ко всему я не всех выпускаю/впускаю через АСЫ, секьюрность. Выход в Интернет осуществляется с другого оборудования и по другим правилам.
|
18 апр 2018, 12:52 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
давайте определимся эти 3 сети в одной точке или нет? Если в одной то я написал, если в разных - то у вас будет 3 листа, 3 туннельных группы и 3 криптомапы
|
18 апр 2018, 12:59 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): давайте определимся эти 3 сети в одной точке или нет? Если в одной то я написал, если в разных - то у вас будет 3 листа, 3 туннельных группы и 3 криптомапы У разных провайдеров. Я для примера взял один ИЗ ОФИСОВ. Таких офисов у меня более трёх сотен, и все у разных провайдеров по всей РФ.
|
18 апр 2018, 13:11 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
ну ответ я написал выше опять же. 3 сотни листов, 3 сотни групп и 3 сотни криптомап
|
18 апр 2018, 13:15 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
crash писал(а): ну ответ я написал выше опять же. 3 сотни листов, 3 сотни групп и 3 сотни криптомап Это я понял, с этим у меня проблем нет. Тема/вопрос у меня, как перестроить маршруты по OSPF, когда какой либо из офисов переключается на резерв, т.е. на Provider2(см.картинку последней редакции)?
|
18 апр 2018, 13:39 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Нужен sh ip route с 3850
|
19 апр 2018, 13:39 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
Demm писал(а): Нужен sh ip route с 3850 Сейчас так: Код: CR-001#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override
Gateway of last resort is 192.168.0.8 to network 0.0.0.0
O E2 192.168.11.0/29 [110/20] via 10.0.0.1, 09:11:20, Vlan10 И он не переключается, а должно быть в идеале когда удаленный офис переключился на Provider2 Код: CR-001#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override
Gateway of last resort is 192.168.0.8 to network 0.0.0.0
O E2 192.168.11.0/29 [110/20] via 10.0.0.12, 09:11:20, Vlan10 Обе АСА находятся во Vlan 10, и оба 3850 "держат" Vlan 10
|
19 апр 2018, 17:13 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
На одной асе этот маршрут с метрикой 10, на второй 120. настроит sla, чтоб пинговал удаленную сетку и клал маршрут на первой асе, когда не доступен. в теории должно работать
|
20 апр 2018, 09:38 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
Demm писал(а): На одной асе этот маршрут с метрикой 10, на второй 120. настроит sla, чтоб пинговал удаленную сетку и клал маршрут на первой асе, когда не доступен. в теории должно работать Спасибо Вам за Ваш ответ! Попробую так поступить, о результате напишу здесь.
|
20 апр 2018, 12:16 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 24 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 70 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|