форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Резервный IPSec шлюз - нужен совет"	+/–
Сообщение от eviljester (ok) on 15-Мрт-14, 14:12
Дано: Есть распределенная сеть магазинов. Локалки магазинов имеют примерно следующий вид - 192.168.1хх.0/24, где хх - номер магазина. Сетевым "центром" служит комбайн от Zyxel различных моделей (2plus, USG20, USG50 и др.) А еще есть центральный офис со старой несегментированной сеткой 192.168.0.0/22, в которой находятся основные сервера, IP телефонная станция и пр. Связь магазинов с офисом осуществляется посредством IPSec VPN каналов. Со стороны магазина канал образует Zyxel, а вот в офисе это либо сервер pfSense, либо CiscoASA 5520. Распределены каналы примерно поровну. И при необходимости (в основном из-за непонятных глюков) каналы перебрасываются туда-сюда. Однако такие переключения мне приходится делать "руками": указывать на zyxel-е магазина другой внешник в phase-1, удалять старый и добавлять новый маршрут на роутере локалки (Cisco3925). Задача: Настроить автоматическое переключение маршрута до сети магазина. То есть - куда подключается магазин, туда и указывает роутер офисной локалки. Что пробовал: Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет OSPF. pfSense и ASA его тоже умеют, но я так понял, только посредством multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот только ASA их не умеет делать. Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?). Если надо - могу схемку прислать.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Резервный IPSec шлюз - нужен совет"	+/–
Сообщение от jabbson (ok) on 15-Мрт-14, 14:18
>[оверквотинг удален] > магазин, туда и указывает роутер офисной локалки. > Что пробовал: > Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет > OSPF. > pfSense и ASA его тоже умеют, но я так понял, только посредством > multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой > случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот > только ASA их не умеет делать. > Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?). > Если надо - могу схемку прислать. можно держать оба канала в апе и получать маршруты с разной метрикой от двух хабов - главный упал - все пошло по резервному, вернулся главный - пошло через него все опять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от eviljester (ok) on 15-Мрт-14, 17:30
	Вариант рабочий, но недостаточный. Вы предлагаете увеличить число статических маршрутов вдвое (а это порядка 160 записей "руками"!). К тому же если у меня НИЧЕГО не упало, а магазин поменял-таки VPN-шлюз, это не сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) - вот тогда переключение будет автоматическим и не всегда связанным с падением. Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее настрою sla с track-ами, но по крайней мере у меня всегда будет только один маршрут до сети магазина. Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? Тогда можно было бы вещать сети магазинов на ASA без GRE и прочих заморок.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от jabbson (ok) on 15-Мрт-14, 18:34
	>[оверквотинг удален] > сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, > прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) > - вот тогда переключение будет автоматическим и не всегда связанным с > падением. > Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее > настрою sla с track-ами, но по крайней мере у меня всегда > будет только один маршрут до сети магазина. > Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? > Тогда можно было бы вещать сети магазинов на ASA без GRE > и прочих заморок. вовсе нет, я вообще за то, чтобы свести статические маршруты к минимуму - большая часть информации должна передаваться динамически.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от jabbson (ok) on 15-Мрт-14, 21:09
	>[оверквотинг удален] > сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, > прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) > - вот тогда переключение будет автоматическим и не всегда связанным с > падением. > Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее > настрою sla с track-ами, но по крайней мере у меня всегда > будет только один маршрут до сети магазина. > Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? > Тогда можно было бы вещать сети магазинов на ASA без GRE > и прочих заморок. хотя да, согласен, без vti или gre это так или иначе превращается в ту еще головомойку. а провайдер один или разные везде?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от eviljester (ok) on 16-Мрт-14, 14:17
	> а провайдер один или разные везде? со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр. со стороны офиса - два провайдера. а вы это к чему? попроасить прова что-нибудь придумать?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от jabbson (ok) on 16-Мрт-14, 16:59
	>> а провайдер один или разные везде? > со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся > это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр. > со стороны офиса - два провайдера. > а вы это к чему? > попроасить прова что-нибудь придумать? ну, если он не один, тут думай-не думаю, много не придумаешь :) Ваша задача решается, но не на том, оборудовании, что есть у Вас, у сожалению.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от vasla on 17-Мрт-14, 13:24
	>>> а провайдер один или разные везде? >> со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся >> это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр. >> со стороны офиса - два провайдера. >> а вы это к чему? >> попроасить прова что-нибудь придумать? > ну, если он не один, тут думай-не думаю, много не придумаешь :) > Ваша задача решается, но не на том, оборудовании, что есть у Вас, > у сожалению. Openvpn
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Резервный IPSec шлюз - нужен совет"	+/–
	Сообщение от ShyLion (ok) on 21-Мрт-14, 07:38
	> Openvpn Если есть возможность заменить на писюки с линуксом/фряхой, то в эти-же деньги можно взять б/у Cisco 87х серии, а это полноценный нормальный DMVPN с IPSec и EIGRP - классическая и надежнейшая схема.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Резервный IPSec шлюз - нужен совет"	+/–
Сообщение от ShyLion (ok) on 21-Мрт-14, 07:42
> Дано: > Есть распределенная сеть магазинов. Чем торгуют магазины? Не поверю что нельзя потратить $600 на приличный Cisco 881 + AIS софт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема