Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 02:21



Ответить на тему  [ Сообщений: 5 ] 
DMVPN и 2 ISP 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Доброго всем дня.
Хотелось бы закрыть вопрос с резервированием DMVPN туннелей без схемы с двумя хабами. Коротко - есть офис, на роутере два провайдера, есть филиал с одним провайдером. Между ними туннель, и сейчас при отвале основного прова падает и туннель. В сети много ссылок, но в основном не вполне рабочие схемы, во многих есть проблемы с обратным переключением на основного провайдера и т.д. Правильно, как понимаю, реализовать с использованием конструкций ip vrf, но такую схему пока не встречал. Если есть у кого рабочий вариант, прошу поделиться.


03 мар 2019, 11:25
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Эта тема обсосана со всех сторон - на цицко ком есть все примеры реализации....


03 мар 2019, 12:01
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Благодарю за ответ, ищу, пока там только схемы с двумя хабами встречаются. Я был бы Вам очень признателен за ссылку, если найдется.


03 мар 2019, 15:25
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
А как разница, 2 хаба или один?

Поднимаете 2 туннеля на хабе, каждый туннель через своего провайдера. Тюнингом iGP/BGP делаете один из туннелей приоритетным.

Для того, чтоб не смешивать маршрутизацию в NBMA и Overlay сетях, кладете каждого ISP в свой vrf.

_________________
@k@ fantik


03 мар 2019, 23:03
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Доброго всем дня. Ещё раз благодарю всех ответивших, выложу свои конфиги на суд экспертов. Задачу с двумя провайдерами на хабе и переключением DMVPN пока решил без vrf, по мануалу отсюда же и еще нескольким. Туннели работают, переключение на данный момент удалось проверить только в симуляторе eve. Буду признателен замечаниям и критике )
Итак, хаб

track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
track 50 list boolean or
object 10
object 20
delay down 10 up 5
!
crypto keyring DMVPN-2
local-address GigabitEthernet0/1
pre-shared-key address 0.0.0.0 0.0.0.0 key secret
crypto keyring DMVPN-1
local-address GigabitEthernet0/0
pre-shared-key address 0.0.0.0 0.0.0.0 key secret
!
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 periodic
crypto isakmp profile DMVPN-1
keyring DMVPN-1
match identity address 0.0.0.0
local-address GigabitEthernet0/0
crypto isakmp profile DMVPN-2
keyring DMVPN-2
match identity address 0.0.0.0
local-address GigabitEthernet0/1
!
!
crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac
mode tunnel
!
crypto ipsec profile DMVPN-1
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-1
!
crypto ipsec profile DMVPN-2
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-2
!
!
!
!
!
!
!
interface Tunnel0
bandwidth 1000
ip address 10.10.1.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
ip nhrp network-id 1
ip tcp adjust-mss 1360
delay 1000
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1
tunnel route-via GigabitEthernet0/0 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-1
!
interface Tunnel1
bandwidth 1000
ip address 10.10.2.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
ip nhrp network-id 2
ip tcp adjust-mss 1360
delay 1500
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 2
tunnel route-via GigabitEthernet0/1 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-2
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
!
router eigrp 1
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 192.168.2.0
!
ip nat inside source route-map ISP1 interface GigabitEthernet0/0 overload
ip nat inside source route-map ISP2 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 194.67.23.81 track 50
ip route 0.0.0.0 0.0.0.0 37.110.143.1 20
ip route 8.8.8.8 255.255.255.255 194.67.23.81
ip route 77.88.8.8 255.255.255.255 194.67.23.81
!
ip sla auto discovery
ip sla 1
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
threshold 1000
timeout 1500
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 77.88.8.8 source-interface GigabitEthernet0/0
threshold 1000
timeout 1500
frequency 3
ip sla schedule 2 life forever start-time now
!
route-map ISP2 permit 10
match ip address 10
match interface GigabitEthernet0/1
!
route-map ISP1 permit 10
match ip address 10
match interface GigabitEthernet0/0
!
!
access-list 10 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
event manager applet ISP1_UP
event track 50 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat translation *"
action 003 syslog msg "ISP1 is UP"
event manager applet ISP1_DOWN
event track 50 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat translation *"
action 003 syslog msg "ISP1 is DOWN"
!
end

И спок

!
crypto keyring DMVPN-2
local-address FastEthernet0/0
pre-shared-key address 0.0.0.0 0.0.0.0 key secret
crypto keyring DMVPN-1
local-address FastEthernet0/0
pre-shared-key address 0.0.0.0 0.0.0.0 key secret
!
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 periodic
crypto isakmp profile DMVPN-1
keyring DMVPN-1
match identity address 0.0.0.0
local-address FastEthernet0/0
crypto isakmp profile DMVPN-2
keyring DMVPN-2
match identity address 0.0.0.0
local-address FastEthernet0/0
!
!
crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac
!
crypto ipsec profile DMVPN-1
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-1
!
crypto ipsec profile DMVPN-2
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-2
!
interface Tunnel0
bandwidth 1000
ip address 10.10.1.5 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp map 10.10.1.1 194.67.хх.хх
ip nhrp map multicast 194.67.хх.хх
ip nhrp network-id 1
ip nhrp nhs 10.10.1.1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 1
delay 1000
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1
tunnel route-via FastEthernet0/0 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-1
!
interface Tunnel1
bandwidth 1000
ip address 10.10.2.5 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp map 10.10.2.1 37.110.хх.хх
ip nhrp map multicast 37.110.хх.хх
ip nhrp network-id 2
ip nhrp nhs 10.10.2.1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 1
delay 1500
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 2
tunnel route-via FastEthernet0/0 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-2
!
router eigrp 1
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 192.168.12.0
eigrp stub connected summary
!
ip nat inside source list NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 81.88.хх.хх
!
ip access-list extended NAT
permit ip 192.168.12.0 0.0.0.255 any
!
end


09 мар 2019, 12:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 57


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB