Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Вложение:
Задача_РЧЦ.jpg [ 29.74 КБ | Просмотров: 106855 ]
Столкнулись мы тут на одном проекте вот с такой нетривиальной задачкой. Итак, у нас есть две площадки (упростил - на самом деле их 11). На каждой - два маршрутизатора cisco и шлюз шифрования (вы им не управляете, он настроен, корректно работает). Трафик между LAN1 и LAN2 должен быть по проекту зашифрован. В нашем случае это были шлюзы Континент. Поэтому трафик штатно ходит LAN1-RAins-EncA-RAout-RBout-EncB-RBins-LAN2 Пусть вы не доверяете надежности шифровалки и на всякий случай сделали прямой кабель между маршрутизаторами на всех сайтах. Как надо настроить маршрутизаторы cisco, чтобы перенаправить трафик между LAN1 и LAN2 минуя шлюзы шифрования в случае, если какой-либо из шлюзов сломался (не доступен). В идеале конечно сделать схему масштабируемой, чтобы это можно было размножить на 11 сайтов.
|
15 дек 2014, 13:51 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 323
|
Не очень понял в чем сложность любую динамику поднять? Между Raout - Rbout какая-то инкапсуляция по проекту существует?
Да хоть dmvpn + ospf, из Континента траффик с какой адресацией вылезает, белой/серой? R*ins статически на него траффик кидает? Если статикой, то придется трек какой-нибудь нагородить, чтобы маршрут переключался на второй линк. Или это задача на решение в пару строк?
|
15 дек 2014, 15:18 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Предложите механизм автоматического переключения на прямые каналы между маршрутизаторами в случае, если один из шлюзов педает.
ИМХО, адресация (белая/серая) не принципиальна.
|
15 дек 2014, 16:20 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 323
|
ну например,
RAins: ip route 0/0 EncA track1 (на доступности EncA) RBins: ip route 0/0 EncB track1 (на доступности EncB) может быть еще красивее, если знать где что используется изначально
для масштабирования по вкусу динамику, например "нешифрованный туннель" между RAout - RBout в ospf area 0, на линке между RXout - RXins - area X stub, RXins анонсит LANx
|
15 дек 2014, 17:22 |
|
|
Volart
Зарегистрирован: 31 июл 2013, 10:33 Сообщения: 6
|
Такой трекинг не заработает в случае, если упадет линк между EncA и RAout. А шлюз шифрования это L2 или L3 устройство?
|
15 дек 2014, 22:32 |
|
|
Volart
Зарегистрирован: 31 июл 2013, 10:33 Сообщения: 6
|
Да и в обратную сторону трафик с треккингом не пойдет(
|
15 дек 2014, 22:38 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 323
|
ну да, навскидка была слишком примитивная без понимания возможностей как-то не очень вылезают варианты, может RAins.wan1 и RBins.wan1 можно динамикой сосватать
|
15 дек 2014, 23:00 |
|
|
siv
Зарегистрирован: 02 июн 2009, 14:42 Сообщения: 231
|
Поправка к задачке: RAins, RAout,RBins,RBout это коммутаторы 3850 c ip services. Т.е. dmvpn не поднимешь, туннели тоже (ибо даже gre убьет произвотидельность). Динамическая маршрутизация требовалась. У нас был OSPF (но можно и расширить задачку на другие протоколы).
|
16 дек 2014, 01:41 |
|
|
Volart
Зарегистрирован: 31 июл 2013, 10:33 Сообщения: 6
|
Допустим данные идут из Lan1 в Lan2. Если упал EncA, Перенаправить на RAout можно средствами OSPF по большей метрике. Проблема в том, что бы когда траффик от RAout придет на RBout не пихать его в EncB, который работает.
На RAout настраиваем роутмапу. match interface (который со стороны RAins) set tag 10 На RBout тоже роутмапа. match tag 10, set nexthop RBins.
И зеркально на другой площадке.
Так заработает?
|
16 дек 2014, 11:14 |
|
|
siv
Зарегистрирован: 02 июн 2009, 14:42 Сообщения: 231
|
2 Volart: ваша формулировка проблемы правильная. Решение с тэгами интересное, не уверен что описанное вами заработает, но мысль хорошая. Мы, правда, сделали без route-map (пока не будут писать как). Не хотелось везде делать PBR. Когда кругом будут развешены route-map наступит взрыв мозга, имхо.
|
17 дек 2014, 00:32 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Коллеги, я буквально на днях натолкнулся на документацию с примером такой же ситуации http://www.gaz-is.ru/component/knowledg ... icle&id=24разница только в том что там используется S-Terra. Но думаю тут можно сделать тоже самое. Мне кажется что это оно :)
|
17 дек 2014, 15:11 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Starican, там ж GRE используются...
Коллеги, извините, я не сильно долго думал, но в голову пришёл вариант с плавающим статиком. То есть делаем грубо так: 1. Настраиваем статический маршрут LAN1-RAins-RAout-RBout-RBins-LAN2 с запредельно большой AD. 2. На RAout и RBout настраиваем правильно два хостовых маршрута для концов туннеля. 3. EncA и EncB между собой, а также с RAins и RBins поднимают какую-либо динамику, которая перебивает статику с большим AD. 3.а. Если EncA или EncB падают, то динамический маршрут пропадает. 3.б. Если EncA и EncB не умеют динамику, то на них должно быть по два статических маршрута (со стандартным/любым AD). А определение живости пути через EncA и EncB можно проверить с помощью BGP между RAins и RBins.
Сильно не пинайте, но у меня, вроде бы, никаких противоречий не возникает.
|
19 дек 2014, 08:47 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Так, а что плохого в GRE, особенно если учитывать что внутри него шифрование ? Главное задачку сделать, а какими средствами - это уже не важно на мой взгляд.
|
19 дек 2014, 09:41 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
В GRE плохо то, что не все железки его нормально тянут. То есть было же указано, что там 3850, то есть GRE их по процу положит.
Сергеи, во-первых, всё-таки интересно, как профессионалы решили, а во-вторых, недочёты своего предложения хочется узнать. ;-)
|
20 дек 2014, 13:38 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Стоять зорька :))) Где в статье написано про GRE на свитчах/роутерах?? Там (в статье) GRE поднимается на S-Terra(средствами операционки CentOS 5.3). Как я понимаю, КОнтинент примерно так же сделан (linux+ добавка сверху для шифрования по ГОСТу). Потому и предположил что решения могут быть одинаковыми. Т.е. ни один свитч/роутер не пострадал :)
|
22 дек 2014, 10:38 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
В описании приведённого Вами решения есть динамика между роутерами/L3-свитчами и шифрующим девайсом. Если бы это можно было сделать, едва ли ребята запостили бы такую задачку сюда.
|
22 дек 2014, 11:07 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Максим (Black Fox) прав - конечно, о динамике между внутренними (да и внешними тоже) цисками и шифровалками речь не идет
|
15 янв 2015, 17:07 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Так что насчёт кривости моего решения с BGP? Попробовал со студентами на их зачёте - решили. Правда, без наводящих вопросов не обошлось. То есть схема, вроде как, рабочая, но хочется услышать решение от гуру всё-таки. Ну, и критику схемы с BGP.
|
15 янв 2015, 22:33 |
|
|
itex
Зарегистрирован: 16 янв 2014, 14:42 Сообщения: 80
|
долго не мог понять "не доверяете надежности шифровалки" - думал слабое шифрование используется и ето решается пуском трафика вообще без него... что за бред думал я)) потом дошло, что железка из строя может выйти и всё - теперь понятно.
из условия не понятно - шифровальщики мы настраивать не можем, но на них оспф уже настроен? или там статика?
|
12 мар 2015, 18:25 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Считаем, что на шифровалках - статика.
|
19 мар 2015, 21:03 |
|
|
Debug all
Зарегистрирован: 13 дек 2012, 12:34 Сообщения: 127
|
[quote="Volart"]Да и в обратную сторону трафик с треккингом не пойдет([/quote]
Смотря как треки настроить. Можно попробовать вот так:
[quote] ! !RAins ! ip sla 1 icmp-echo RBins_LAN2-int_IP source-interface LAN1-int ! ip sla schedule 1 life forever start-time now ! ip route LAN2 EncA track 1 !
! !RBins ! ip sla 1 icmp-echo RAins_LAN2-int_IP source-interface LAN2-int ! ip sla schedule 1 life forever start-time now ! ip route LAN1 EncA track 1 ! [/quote]
Плюс между всеми цисками динамика по вкусу.
Пинги будут ходить между LAN-интерфейсами цисок RAins и RBins через шифровалки, при этом попадая в тоннель, как и трафик данных. Поэтому при отвале или зависании любого из крипто-шлюзов пропадут пинги, трек на статике уйдет в даун, и трафик пойдет по динамическим маршрутам с бОльшим АД напрямую через циски. Не?
|
27 мар 2015, 12:15 |
|
|
Debug all
Зарегистрирован: 13 дек 2012, 12:34 Сообщения: 127
|
Упустил из конфига ip route RB_LAN2-int_IP 255.255.255.255 EncA и аналогичный с другой стороны. Иначе пинги перемаршрутизируются. И в sla втором опечатка, но не суть.
|
27 мар 2015, 12:36 |
|
|
Cadet
Зарегистрирован: 14 мар 2012, 15:48 Сообщения: 329
|
Offtop
Континент в кластер :-)
Шас делаю такую схему - почти.
OSPF на континентах подняли.
|
01 апр 2015, 12:17 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
[quote="Cadet"]Offtop
Континент в кластер :-)
Шас делаю такую схему - почти.
OSPF на континентах подняли.[/quote]Ага. Судя по вопросам - не совсем поднялось. :-)
|
06 апр 2015, 10:40 |
|
|
Cadet
Зарегистрирован: 14 мар 2012, 15:48 Сообщения: 329
|
не на континентах и кластер и OSPF поднялось все ОК
|
06 апр 2015, 12:12 |
|
|