|
ru.cisco- RU.CISCO --------------------------------------------------------------------- From : Andrew I Baznikin 2:5020/400 17 Apr 2007 08:18:10 To : All Subject : резервные каналы, ASA и другие животные --------------------------------------------------------------------------------
Коллеги, вопрос.
В качестве центрального маршрутизатора используется ASA5520. В филиалах
устанавливаются Cisco 851 или выше. Трафик из локальных сетей филиалов из/в
сторону центрального узла шифруется (IPSEC, на интерфейсе в сторону центра-
crypto map). Hа стороне центрального узла IPSEC-туннели приземляются на VPN3000.
Задача проста - сделать резервирование.
Сейчас я смотрю в сторону динамической маршрутизации и одного ipsec-туннеля.
Типа такого (конфиг филиала):
interface Loopback1
ip address 172.16.255.10 255.255.255.255
crypto map VPN local-address Loopback1
crypto map VPN 10 ipsec-isakmp
set peer 10.1.5.1
set transform-set TRANSFORM_SET
match address VPN_TRIGGER
interface FastEthernet1
description MAIN LINK
ip address 172.16.1.10 255.255.255.0
crypto map VPN
interface FastEthernet2
description BACKUP LINK
ip address 172.16.2.10 255.255.255.0
crypto map VPN
router ospf 1
log-adjacency-changes
redistribute connected subnets
network 172.16.1.0 0.0.0.255 area 1.1.1.1
network 172.16.2.0 0.0.0.255 area 2.2.2.2
Все должно работать как часы, если бы не ASA! Когда "роняем" один из интерфейсов
маршрут до 172.16.255.10 перестраивается на использование другого линка
До переключения:
ciscoasa# sh route | b 172.16.255
O E2 172.16.255.10 255.255.255.255
[110/20] via 172.16.160.10, 0:04:26, link1
ciscoasa# sh conn detail | i 172.16.255.10
ESP dmz:10.1.5.1/41767 link1:172.16.255.10/56656
ESP dmz:10.1.5.1/4405 link1:172.16.255.10/38401
UDP dmz:10.1.5.1/500 link1:172.16.255.10/500 flags -
После переключения:
ciscoasa# sh route | b 172.16.255
O E2 172.16.255.10 255.255.255.255
[110/20] via 172.16.0.27, 0:00:15, link2
ciscoasa# sh conn detail | i 172.16.255.10
UDP dmz:10.1.5.1/500 link1:172.16.255.10/500 flags -
Как видим, маршрут стал указывать на другой интерфейс, но ASA
"запомнила" сессию с привязкой к другому интерфейсу. И все пакеты
теперь дропаются по причине no-adjacency.
Питаю некоторую надежду, что обновление софта 7.0(4) -> 7.2(2) может помочь, при
удобносм случае обновлю.
Вопросы:
1) если я делаю _в_принципе_ правильно - как победить ASA? Если не
поможет смена софта, то я вижу только установку еще одного
маршрутизатора перед ASA, на который будут собираться
первичные/вторичные линки и на котором терминируется OSPF, чтобы в ASA
все это хозяйство проходило через один интерфейс. Либо же: 2) может
быть стоит делать в принципе по другому? Hапример - OSPF внутри двух
независимых туннелей? Подскажите как лучше с точки зрения good practic.
--- ifmail v.2.15dev5.3
* Origin: RTComm.RU (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.cisco/13859315bbde9.html, оценка из 5, голосов 10
|