Сообщения без ответов | Активные темы Текущее время: 20 апр 2018, 13:34



Ответить на тему  [ Сообщений: 24 ] 
Как автоматически перестроить маршруты? 
Автор Сообщение

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
Здравствуйте уважаемые специалисты!
Подскажите пожалуйста, как автоматически перестраивать маршруты при двух провайдерах?
OSPF одна зона. Когда прописываю маршруты на обоих CISCO ASA, то на коммутаторе CISCO 3850 всегда имеется только один маршрут.
При пропадании связи на PROVIDER1, удаленный офис переключается на PROVIDER2, НО маршрут по прежнему остается на CISCO ASA который подключен к PROVIDER1.
На двух CISCO ASA в маршрутах прописано route outside 192.168.11.0 255.255.255.248 94.78.96.112.
Есть ли механизм OSPF который меняет маршрут на CISCO 3850, при той схеме который я приложил?


Вложения:
example_sample.jpg
example_sample.jpg [ 99.22 КБ | Просмотров: 235 ]
17 апр 2018, 16:54
Профиль Отправить email

Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 203
Откуда: Москва
Не про OSPF, но всё же https://www.cisco.com/c/en/us/support/d ... sa-00.html

P.S. А по-хорошему - 3850 в стек, ASA'ы в High Availability (Active/Standby например) и будет счастье


17 апр 2018, 17:17
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
Sergey_B писал(а):
Не про OSPF, но всё же https://www.cisco.com/c/en/us/support/d ... sa-00.html

P.S. А по-хорошему - 3850 в стек, ASA'ы в High Availability (Active/Standby например) и будет счастье

Спасибо большое Вам за уделенное время!
Забыл "нарисовать"/описать, все CISCO ASA и CISCO 3850 находятся в разных зданиях (между ними нет прямой связи) и соединены между собой меж.провайдерскими соединениями на скоростях до 50 МБит/с.
По сему стек не получается у 3850 а у ASA High Availability :( пробовал, не встают они active/standby


17 апр 2018, 17:26
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
зачем на двух асах один маршрут, если вторая аса о провайдере 1 вообще не в курсе.


17 апр 2018, 17:44
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 413
А что там за провайдерами? Vpn?


17 апр 2018, 20:46
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
зачем на двух асах один маршрут, если вторая аса о провайдере 1 вообще не в курсе.

Спасибо за Ваш ответ и за уделенное время.
Да верно, первая АСА не знает о провайдере2 а вторая АСА не знает о провайдере1. Но обе АСА ДОЛЖНЫ знать ГДЕ находится подсеть офиса 192.168.11.0/29, и эта подсеть находится у офисного провайдера имеющего IP: 94.78.96.112.


18 апр 2018, 08:05
Профиль Отправить email

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
Demm писал(а):
А что там за провайдерами? Vpn?

Благодарю за Ваш ответ и ваше время!
Да, за провайдером1 и провадйером2 построена IPSEC VPN (L2L).
Немного скорректировал "картинку".


Вложения:
example_sample.jpg
example_sample.jpg [ 107.29 КБ | Просмотров: 177 ]
18 апр 2018, 08:14
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
совсем перестал понимать. Почему у вас шлюзом на ASA выступает провайдер в офисе?


18 апр 2018, 11:02
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
совсем перестал понимать. Почему у вас шлюзом на ASA выступает провайдер в офисе?

Спасибо за ответ!
Это не шлюз это маршрут в офисную подсеть для построения L2L IPSEC VPN, этот маршрут
Код:
route outside 192.168.11.0 255.255.255.0 94.78.96.112

означает, что удаленный ПК с IP-адресом: 192.168.11.5 следует искать на удаленном маршрутизаторе удаленного офиса с IP-адресом 94.78.96.112.
Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового.


18 апр 2018, 11:47
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
sidsoft писал(а):
Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового.
ага, строил. И маршрут использовался просто по-умолчанию, а не удаленный роутер, в крайнем случае можно конечно для сети отдельно маршрут, но адрес вашего провайдера.


18 апр 2018, 11:59
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
sidsoft писал(а):
Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового.
ага, строил. И маршрут использовался просто по-умолчанию, а не удаленный роутер, в крайнем случае можно конечно для сети отдельно маршрут, но адрес вашего провайдера.

Хм, как вы поступаете если есть например три удаленных подсети...
Код:
1. 10.0.10.0/24
2. 100.100.100.0/24
3. 192.168.250.0/24
Пусть маршрут будет по дефолту
Код:
route outside 0.0.0.0 0.0.0.0 97.119.25.168

Как в данном случае вы опишете маршруты на разные подсети? Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети
Как Вы опишете ацесс-листы?
Код:
access-list mch-vpn-office1 extended permit ip 192.168.0.0 255.255.0.0 10.0.10.0 255.255.255.0

крипто-мап-у?
Код:
crypto map VPN 1 match address mch-vpn-office1
crypto map VPN 1 set pfs group5
crypto map VPN 1 set peer 96.78.112.93
crypto map VPN 1 set ikev1 transform-set 881-AES-256 881-3DES

и тунельную группу?
Код:
tunnel-group 96.78.112.93 type ipsec-l2l
tunnel-group 96.78.112.93 ipsec-attributes
ikev1 pre-shared-key secret


Последний раз редактировалось sidsoft 18 апр 2018, 12:37, всего редактировалось 1 раз.



18 апр 2018, 12:31
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
sidsoft писал(а):
Как в данном случае вы опишете маршруты на разные подсети?
если это удаленные подсети, то могу никак не описывать, они уйдут по маршруту по-умолчанию. А могу описать так
Код:
route outside 10.0.10.0 255.255.255.0 97.119.25.168
route outside 100.100.100.0 255.255.255.0 97.119.25.168
route outside 192.168.250.0 255.255.255.0 97.119.25.168

ну и конечно остается
Код:
route outside 0.0.0.0 0.0.0.0 97.119.25.168
вам же в инет надо выходить :)


18 апр 2018, 12:35
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
sidsoft писал(а):
Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети
ага, и как раз эти подсети попадают в маршрутизацию всего мира, так что нам повезло :)


18 апр 2018, 12:36
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
sidsoft писал(а):
Если Вы строили IPSEC VPN-туннели то в принципе это одно из "правил" его построения, ничего нового.
ага, строил. И маршрут использовался просто по-умолчанию, а не удаленный роутер, в крайнем случае можно конечно для сети отдельно маршрут, но адрес вашего провайдера.

Хм, как вы поступаете если есть например три удаленных подсети...
Код:
1. 10.0.10.0/24
2. 100.100.100.0/24
3. 192.168.250.0/24
Пусть маршрут будет по дефолту
Код:
route outside 0.0.0.0 0.0.0.0 97.119.25.168

Как в данном случае вы опишете маршруты на разные подсети? Ведь за маршрутизатором провайдера (97.119.25.167/30) есть ВЕСЬ МИР, но не конкретные подсети
Как Вы опишете ацесс-листы?
Код:
access-list mch-vpn-office1 extended permit ip 192.168.0.0 255.255.0.0 10.0.10.0 255.255.255.0

крипто-мап-у?
Код:
crypto map VPN 1 match address mch-vpn-office1
crypto map VPN 1 set pfs group5
crypto map VPN 1 set peer 96.78.112.93
crypto map VPN 1 set ikev1 transform-set 881-AES-256 881-3DES

и тунельную группу?
Код:
tunnel-group 96.78.112.93 type ipsec-l2l
tunnel-group 96.78.112.93 ipsec-attributes
ikev1 pre-shared-key secret


18 апр 2018, 12:38
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
sidsoft писал(а):
Как Вы опишете ацесс-листы?
не пойму проблему. Если эти 3 сети за одним удаленным роутером, то в access-list'e будет 3 правила просто.
sidsoft писал(а):
крипто-мап-у?
sidsoft писал(а):
и тунельную группу?
а что с ними не так? Оставить как есть нельзя?


18 апр 2018, 12:45
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
sidsoft писал(а):
Как Вы опишете ацесс-листы?
не пойму проблему. Если эти 3 сети за одним удаленным роутером, то в access-list'e будет 3 правила просто.
sidsoft писал(а):
крипто-мап-у?
sidsoft писал(а):
и тунельную группу?
а что с ними не так? Оставить как есть нельзя?

Т.к. на удаленных офисах имеется разный тип оборудования (наследие) то и методы шифрования каждого туннеля отличается, посему и крипто-мап-ы необходимо описывать, плюс ко всему я не всех выпускаю/впускаю через АСЫ, секьюрность. Выход в Интернет осуществляется с другого оборудования и по другим правилам.


18 апр 2018, 12:52
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
давайте определимся эти 3 сети в одной точке или нет? Если в одной то я написал, если в разных - то у вас будет 3 листа, 3 туннельных группы и 3 криптомапы


18 апр 2018, 12:59
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
давайте определимся эти 3 сети в одной точке или нет? Если в одной то я написал, если в разных - то у вас будет 3 листа, 3 туннельных группы и 3 криптомапы

У разных провайдеров. Я для примера взял один ИЗ ОФИСОВ. Таких офисов у меня более трёх сотен, и все у разных провайдеров по всей РФ.


18 апр 2018, 13:11
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2484
ну ответ я написал выше опять же. 3 сотни листов, 3 сотни групп и 3 сотни криптомап


18 апр 2018, 13:15
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
crash писал(а):
ну ответ я написал выше опять же. 3 сотни листов, 3 сотни групп и 3 сотни криптомап

Это я понял, с этим у меня проблем нет.
Тема/вопрос у меня, как перестроить маршруты по OSPF, когда какой либо из офисов переключается на резерв, т.е. на Provider2(см.картинку последней редакции)?


18 апр 2018, 13:39
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 413
Нужен sh ip route с 3850


Вчера, 13:39
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
Demm писал(а):
Нужен sh ip route с 3850

Сейчас так:
Код:
CR-001#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 192.168.0.8 to network 0.0.0.0

O E2     192.168.11.0/29 [110/20] via 10.0.0.1, 09:11:20, Vlan10

И он не переключается, а должно быть в идеале когда удаленный офис переключился на Provider2
Код:
CR-001#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 192.168.0.8 to network 0.0.0.0

O E2     192.168.11.0/29 [110/20] via 10.0.0.12, 09:11:20, Vlan10

Обе АСА находятся во Vlan 10, и оба 3850 "держат" Vlan 10


Вчера, 17:13
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 413
На одной асе этот маршрут с метрикой 10, на второй 120. настроит sla, чтоб пинговал удаленную сетку и клал маршрут на первой асе, когда не доступен. в теории должно работать


Сегодня, 09:38
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 104
Demm писал(а):
На одной асе этот маршрут с метрикой 10, на второй 120. настроит sla, чтоб пинговал удаленную сетку и клал маршрут на первой асе, когда не доступен. в теории должно работать

Спасибо Вам за Ваш ответ!
Попробую так поступить, о результате напишу здесь.


Сегодня, 12:16
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 24 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google Adsense [Bot] и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB