Главная
офис - два провайдера - vpn - два провайдера - офис (cisco 1811 и два провайдера)
Рейтинг пользователей: / 2
ХудшийЛучший 
blogs - boba
Автор: BoBa   
11.03.2009 09:33

Необходимо подключить два офиса двумя провайдерами каждый к Интернету, и организовать между ними отказоустойчивый канал VPN.

Итак дано:
локальные сети офисов 10.1.0.0/16 и 12.2.0.0/16 соответственно. между ними поднято два GRE туннеля, смысл использования GRE в возможности использования протоколов динамической маршрутизации между офисами и человеческое "destination unreachable" при падении туннеля. сам туннель GRE обворачивается IPSec для секьюрности. схема отказоустойчивости основана на двух туннелях ISP1-ISP1 и ISP2-ISP2, провайдеров реально может быть и 4ре и 3ри, сути не меняет. для организации четырех туннелей (крест на крест) необходимо по два IP адреса на интерфейс для четырех маршрутов, по маршруту на тунель (ибо PBR на GRE не действует). в качестве железок использовались две 1811, есть мнение, что и старшие это могут ))), так же могут те из серии 800 у которых один из лановских интерфейсов можно сделать вановским.

 
 Офис 1 Офис 2 
LAN10.1.0.0/16 10.2.0.0/16
GRE1192.168.1.1192.168.1.2 
GRE2192.168.2.1192.168.2.2
ISP1 1.1.1.1 1.2.1.1
ISP2 2.1.1.1 2.2.1.1

Итак приступим:

создадим transform-set для нашего IPSec:

crypto ipsec transform-set TS ah-sha-hmac esp-aes 256 esp-sha-hmac

создадим access-list для нашего IPSec:

access-list 101 permit ip host 1.1.1.1 host 1.2.1.1
access-list 102 permit ip host 2.1.1.1 host 2.2.1.1

создадим crypto map для нашего IPSec: 

crypto map CM_ISP1-ISP1 1 ipsec-isakmp
 description IPS1-ISP1
 set peer 1.2.1.1
 set transform-set TS
 match address 101
crypto map CM_ISP2-ISP2 1 ipsec-isakmp
 description IPS2-ISP2
 set peer 2.2.1.1
 set transform-set TS
 match address 102
 

создадим наши туннели GRE

interface Tunnel1
 description ISP1-ISP1
 ip address 192.168.1.1 255.255.255.252
 tunnel source 1.1.1.1
 tunnel destination 1.2.1.1
!
interface Tunnel2
 description ISP2-ISP2
 ip address 192.168.2.1 255.255.255.252
 tunnel source 2.1.1.1
 tunnel destination 2.2.1.1
 

подготовим физические интерфейсы (ну и коли я теперь в теме PPPoE один из провайдеров будет PPPoE)

interface FastEthernet0
 description ISP1
 ip address 1.1.1.1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 no cdp enable
 crypto map CM_ISP1-ISP1
!
interface FastEthernet1
 description ISP2
 no ip address
 pppoe enable
 group global
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Dialer1
 ip address negotiate
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname login
 ppp chap password 0 pass
 crypto map CM_ISP2-ISP2
 interface Vlan1
 description LAN
 ip address 10.1.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly
 

ISP1 было решено использовать как основной маршрут для всего трафика кроме VPN между офисами, ISP2 основной маршрут для VPN между офисами, падение любого провайдера должно влечь за собой отправку соответствующего трафика через второго провайдера. 

 

прикрутим локальную route-map, хотя бы для тех же пингов обоих интерфейсов из вне (на самом деле желательно политику сделать для обоих интерфейсов, чтобы в последствии переключать дефолтный маршрут безболезненно, но то уже Д/З ;) ): 

access-list 10 permit 2.1.1.1 
route-map LOCAL permit 10
 match ip address 10
 set interface Dialer1
!
ip local policy route-map LOCAL
 

ну что? прикрутим маршруты?

!дефолтный маршрут для трафика
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!резервный маршрут для трафика 
ip route 0.0.0.0 0.0.0.0 Dialer1 100
 
!основной маршрут для сети второго офиса 
ip route 10.2.0.0 255.255.0.0 192.168.2.2
!резервный маршрут для сети второго офиса
ip route 10.2.0.0 255.255.0.0 192.168.1.2 50
 
!маршрут для нашего основного тунеля
ip route 2.2.1.1 255.255.255.255 Dialer1
 

осталось занатить оба интерфейса соответствующими адресами:

access-list 11 permit 10.1.0.0 0.0.255.255
route-map NAT-ISP1 permit 10
 match ip address 11
 match interface FastEthernet0
!
route-map NAT-ISP2 permit 10
 match ip address 11
 match interface Dialer1
!
ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload
ip nat inside source route-map NAT-ISP2 interface Dialer1 overload
 

 

вот вроде и все, второй конфиг выглядит зеркально. тюнинг в виде мту, кипалива туннелей, таймаутов ната и прочее останется Вам как Д/З.

зы писано по памяти, могут быть не точности. рабочий конфиг уже не доступен.

LAST_UPDATED2