|
Необходимо подключить два офиса двумя провайдерами каждый к Интернету, и организовать между ними отказоустойчивый канал VPN.
Итак дано:
локальные сети офисов 10.1.0.0/16 и 12.2.0.0/16 соответственно. между ними поднято два GRE туннеля, смысл использования GRE в возможности использования протоколов динамической маршрутизации между офисами и человеческое "destination unreachable" при падении туннеля. сам туннель GRE обворачивается IPSec для секьюрности. схема отказоустойчивости основана на двух туннелях ISP1-ISP1 и ISP2-ISP2, провайдеров реально может быть и 4ре и 3ри, сути не меняет. для организации четырех туннелей (крест на крест) необходимо по два IP адреса на интерфейс для четырех маршрутов, по маршруту на тунель (ибо PBR на GRE не действует). в качестве железок использовались две 1811, есть мнение, что и старшие это могут ))), так же могут те из серии 800 у которых один из лановских интерфейсов можно сделать вановским. | | Офис 1 | Офис 2 | | LAN | 10.1.0.0/16 | 10.2.0.0/16 | | GRE1 | 192.168.1.1 | 192.168.1.2 | | GRE2 | 192.168.2.1 | 192.168.2.2 | | ISP1 | 1.1.1.1 | 1.2.1.1 | | ISP2 | 2.1.1.1 | 2.2.1.1 |
Итак приступим: создадим transform-set для нашего IPSec: crypto ipsec transform-set TS ah-sha-hmac esp-aes 256 esp-sha-hmac
создадим access-list для нашего IPSec: access-list 101 permit ip host 1.1.1.1 host 1.2.1.1 access-list 102 permit ip host 2.1.1.1 host 2.2.1.1
создадим crypto map для нашего IPSec: crypto map CM_ISP1-ISP1 1 ipsec-isakmp description IPS1-ISP1 set peer 1.2.1.1 set transform-set TS match address 101 crypto map CM_ISP2-ISP2 1 ipsec-isakmp description IPS2-ISP2
set peer 2.2.1.1 set transform-set TS match address 102
создадим наши туннели GRE interface Tunnel1 description ISP1-ISP1 ip address 192.168.1.1 255.255.255.252 tunnel source 1.1.1.1 tunnel destination 1.2.1.1 ! interface Tunnel2
description ISP2-ISP2 ip address 192.168.2.1 255.255.255.252 tunnel source 2.1.1.1 tunnel destination 2.2.1.1
подготовим физические интерфейсы (ну и коли я теперь в теме PPPoE один из провайдеров будет PPPoE) interface FastEthernet0 description ISP1 ip address 1.1.1.1 255.255.255.252 ip nat outside ip virtual-reassembly no cdp enable crypto map CM_ISP1-ISP1 ! interface FastEthernet1 description ISP2 no ip address pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable
! interface Dialer1 ip address negotiate ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 no cdp enable ppp authentication chap pap callin ppp chap hostname login ppp chap password 0 pass crypto map CM_ISP2-ISP2
! interface Vlan1 description LAN ip address 10.1.0.1 255.255.0.0 ip nat inside ip virtual-reassembly
ISP1 было решено использовать как основной маршрут для всего трафика кроме VPN между офисами, ISP2 основной маршрут для VPN между офисами, падение любого провайдера должно влечь за собой отправку соответствующего трафика через второго провайдера. прикрутим локальную route-map, хотя бы для тех же пингов обоих интерфейсов из вне (на самом деле желательно политику сделать для обоих интерфейсов, чтобы в последствии переключать дефолтный маршрут безболезненно, но то уже Д/З ;) ): access-list 10 permit 2.1.1.1 route-map LOCAL permit 10 match ip address 10 set interface Dialer1 ! ip local policy route-map LOCAL ну что? прикрутим маршруты? !дефолтный маршрут для трафика ip route 0.0.0.0 0.0.0.0 1.1.1.2 !резервный маршрут для трафика ip route 0.0.0.0 0.0.0.0 Dialer1 100 !основной маршрут для сети второго офиса ip route 10.2.0.0 255.255.0.0 192.168.2.2 !резервный маршрут для сети второго офиса ip route 10.2.0.0 255.255.0.0 192.168.1.2 50 !маршрут для нашего основного тунеля ip route 2.2.1.1 255.255.255.255 Dialer1 осталось занатить оба интерфейса соответствующими адресами: access-list 11 permit 10.1.0.0 0.0.255.255 route-map NAT-ISP1 permit 10 match ip address 11 match interface FastEthernet0 ! route-map NAT-ISP2 permit 10 match ip address 11 match interface Dialer1 ! ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload ip nat inside source route-map NAT-ISP2 interface Dialer1 overload вот вроде и все, второй конфиг выглядит зеркально. тюнинг в виде мту, кипалива туннелей, таймаутов ната и прочее останется Вам как Д/З. зы писано по памяти, могут быть не точности. рабочий конфиг уже не доступен.
|