|
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Автор |
Сообщение |
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Доброго всем дня. Хотелось бы закрыть вопрос с резервированием DMVPN туннелей без схемы с двумя хабами. Коротко - есть офис, на роутере два провайдера, есть филиал с одним провайдером. Между ними туннель, и сейчас при отвале основного прова падает и туннель. В сети много ссылок, но в основном не вполне рабочие схемы, во многих есть проблемы с обратным переключением на основного провайдера и т.д. Правильно, как понимаю, реализовать с использованием конструкций ip vrf, но такую схему пока не встречал. Если есть у кого рабочий вариант, прошу поделиться.
|
03 мар 2019, 11:25 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Эта тема обсосана со всех сторон - на цицко ком есть все примеры реализации....
|
03 мар 2019, 12:01 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Благодарю за ответ, ищу, пока там только схемы с двумя хабами встречаются. Я был бы Вам очень признателен за ссылку, если найдется.
|
03 мар 2019, 15:25 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
А как разница, 2 хаба или один?
Поднимаете 2 туннеля на хабе, каждый туннель через своего провайдера. Тюнингом iGP/BGP делаете один из туннелей приоритетным.
Для того, чтоб не смешивать маршрутизацию в NBMA и Overlay сетях, кладете каждого ISP в свой vrf.
_________________ @k@ fantik
|
03 мар 2019, 23:03 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Доброго всем дня. Ещё раз благодарю всех ответивших, выложу свои конфиги на суд экспертов. Задачу с двумя провайдерами на хабе и переключением DMVPN пока решил без vrf, по мануалу отсюда же и еще нескольким. Туннели работают, переключение на данный момент удалось проверить только в симуляторе eve. Буду признателен замечаниям и критике ) Итак, хаб
track 10 ip sla 1 reachability ! track 20 ip sla 2 reachability ! track 50 list boolean or object 10 object 20 delay down 10 up 5 ! crypto keyring DMVPN-2 local-address GigabitEthernet0/1 pre-shared-key address 0.0.0.0 0.0.0.0 key secret crypto keyring DMVPN-1 local-address GigabitEthernet0/0 pre-shared-key address 0.0.0.0 0.0.0.0 key secret ! crypto isakmp policy 10 authentication pre-share group 2 crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 periodic crypto isakmp profile DMVPN-1 keyring DMVPN-1 match identity address 0.0.0.0 local-address GigabitEthernet0/0 crypto isakmp profile DMVPN-2 keyring DMVPN-2 match identity address 0.0.0.0 local-address GigabitEthernet0/1 ! ! crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac mode tunnel ! crypto ipsec profile DMVPN-1 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-1 ! crypto ipsec profile DMVPN-2 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-2 ! ! ! ! ! ! ! interface Tunnel0 bandwidth 1000 ip address 10.10.1.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ip nhrp network-id 1 ip tcp adjust-mss 1360 delay 1000 tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel key 1 tunnel route-via GigabitEthernet0/0 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-1 ! interface Tunnel1 bandwidth 1000 ip address 10.10.2.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ip nhrp network-id 2 ip tcp adjust-mss 1360 delay 1500 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 2 tunnel route-via GigabitEthernet0/1 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-2 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! ! router eigrp 1 network 10.10.1.0 0.0.0.255 network 10.10.2.0 0.0.0.255 network 192.168.2.0 ! ip nat inside source route-map ISP1 interface GigabitEthernet0/0 overload ip nat inside source route-map ISP2 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 194.67.23.81 track 50 ip route 0.0.0.0 0.0.0.0 37.110.143.1 20 ip route 8.8.8.8 255.255.255.255 194.67.23.81 ip route 77.88.8.8 255.255.255.255 194.67.23.81 ! ip sla auto discovery ip sla 1 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0 threshold 1000 timeout 1500 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 77.88.8.8 source-interface GigabitEthernet0/0 threshold 1000 timeout 1500 frequency 3 ip sla schedule 2 life forever start-time now ! route-map ISP2 permit 10 match ip address 10 match interface GigabitEthernet0/1 ! route-map ISP1 permit 10 match ip address 10 match interface GigabitEthernet0/0 ! ! access-list 10 permit 192.168.2.0 0.0.0.255 ! ! ! ! ! event manager applet ISP1_UP event track 50 state up action 001 cli command "enable" action 002 cli command "clear ip nat translation *" action 003 syslog msg "ISP1 is UP" event manager applet ISP1_DOWN event track 50 state down action 001 cli command "enable" action 002 cli command "clear ip nat translation *" action 003 syslog msg "ISP1 is DOWN" ! end
И спок
! crypto keyring DMVPN-2 local-address FastEthernet0/0 pre-shared-key address 0.0.0.0 0.0.0.0 key secret crypto keyring DMVPN-1 local-address FastEthernet0/0 pre-shared-key address 0.0.0.0 0.0.0.0 key secret ! crypto isakmp policy 10 authentication pre-share group 2 crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 periodic crypto isakmp profile DMVPN-1 keyring DMVPN-1 match identity address 0.0.0.0 local-address FastEthernet0/0 crypto isakmp profile DMVPN-2 keyring DMVPN-2 match identity address 0.0.0.0 local-address FastEthernet0/0 ! ! crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac ! crypto ipsec profile DMVPN-1 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-1 ! crypto ipsec profile DMVPN-2 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-2 ! interface Tunnel0 bandwidth 1000 ip address 10.10.1.5 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp map 10.10.1.1 194.67.хх.хх ip nhrp map multicast 194.67.хх.хх ip nhrp network-id 1 ip nhrp nhs 10.10.1.1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 delay 1000 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 1 tunnel route-via FastEthernet0/0 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-1 ! interface Tunnel1 bandwidth 1000 ip address 10.10.2.5 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp map 10.10.2.1 37.110.хх.хх ip nhrp map multicast 37.110.хх.хх ip nhrp network-id 2 ip nhrp nhs 10.10.2.1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 delay 1500 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 2 tunnel route-via FastEthernet0/0 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-2 ! router eigrp 1 network 10.10.1.0 0.0.0.255 network 10.10.2.0 0.0.0.255 network 192.168.12.0 eigrp stub connected summary ! ip nat inside source list NAT interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 81.88.хх.хх ! ip access-list extended NAT permit ip 192.168.12.0 0.0.0.255 any ! end
|
09 мар 2019, 12:50 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 57 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|