ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Andrew I Baznikin                    2:5020/400     17 Apr 2007  08:18:10
 To : All
 Subject : резервные каналы, ASA и другие животные
 -------------------------------------------------------------------------------- 
 

 Коллеги, вопрос.
 
 В качестве центрального маршрутизатора используется ASA5520. В филиалах
 устанавливаются Cisco 851 или выше. Трафик из локальных сетей филиалов из/в
 сторону центрального узла шифруется (IPSEC, на интерфейсе в сторону центра-
 crypto map). Hа стороне центрального узла IPSEC-туннели приземляются на VPN3000.
 
 Задача проста - сделать резервирование.
 
 Сейчас я смотрю в сторону динамической маршрутизации и одного ipsec-туннеля.
 Типа такого (конфиг филиала):
 
 interface Loopback1
    ip address 172.16.255.10 255.255.255.255
 crypto map VPN local-address Loopback1
 crypto map VPN 10 ipsec-isakmp 
    set peer 10.1.5.1
    set transform-set TRANSFORM_SET 
    match address VPN_TRIGGER
 interface FastEthernet1
    description MAIN LINK
    ip address 172.16.1.10 255.255.255.0
    crypto map VPN
 interface FastEthernet2
    description BACKUP LINK
    ip address 172.16.2.10 255.255.255.0
    crypto map VPN
 router ospf 1
    log-adjacency-changes
    redistribute connected subnets
    network 172.16.1.0 0.0.0.255 area 1.1.1.1
    network 172.16.2.0 0.0.0.255 area 2.2.2.2
 
 Все должно работать как часы, если бы не ASA! Когда "роняем" один из интерфейсов
 маршрут до 172.16.255.10 перестраивается на использование другого линка
 
 До переключения:
 
 ciscoasa# sh route | b 172.16.255
 O E2 172.16.255.10 255.255.255.255 
            [110/20] via 172.16.160.10, 0:04:26, link1
 
 ciscoasa# sh conn detail | i 172.16.255.10
 ESP dmz:10.1.5.1/41767 link1:172.16.255.10/56656
 ESP dmz:10.1.5.1/4405 link1:172.16.255.10/38401
 UDP dmz:10.1.5.1/500 link1:172.16.255.10/500 flags -
 
 После переключения:
 
 ciscoasa# sh route | b 172.16.255
 O E2 172.16.255.10 255.255.255.255 
            [110/20] via 172.16.0.27, 0:00:15, link2
 
 ciscoasa# sh conn detail | i 172.16.255.10
 UDP dmz:10.1.5.1/500 link1:172.16.255.10/500 flags -
 
 Как видим, маршрут стал указывать на другой интерфейс, но ASA
 "запомнила" сессию с привязкой к другому интерфейсу. И все пакеты
 теперь дропаются по причине no-adjacency.
 
 Питаю некоторую надежду, что обновление софта 7.0(4) -> 7.2(2) может помочь, при
 удобносм случае обновлю.
 
 Вопросы:
 1) если я делаю _в_принципе_ правильно - как победить ASA? Если не
 поможет смена софта, то я вижу только установку еще одного
 маршрутизатора перед ASA, на который будут собираться
 первичные/вторичные линки и на котором терминируется OSPF, чтобы в ASA
 все это хозяйство проходило через один интерфейс. Либо же: 2) может
 быть стоит делать в принципе по другому? Hапример - OSPF внутри двух
 независимых туннелей? Подскажите как лучше с точки зрения good practic.
 --- ifmail v.2.15dev5.3
  * Origin: RTComm.RU (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    резервные каналы, ASA и другие животные   Andrew I Baznikin   17 Apr 2007 08:18:10   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   17 Apr 2007 09:51:38   Re: резервные каналы, ASA и другие животные   Andrew I Baznikin   17 Apr 2007 11:41:36   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   17 Apr 2007 11:53:56   Re: резервные каналы, ASA и другие животные   Andrew I Baznikin   17 Apr 2007 13:00:40   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   17 Apr 2007 13:11:06   Re: резервные каналы, ASA и другие животные   Victor Sudakov   17 Apr 2007 12:57:36   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   17 Apr 2007 13:02:36   Re: резервные каналы, ASA и другие животные   Victor Sudakov   17 Apr 2007 15:04:55   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   17 Apr 2007 15:13:52   Re: резервные каналы, ASA и другие животные   Igor O. Ladygin   18 Apr 2007 03:52:34   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   18 Apr 2007 10:28:48   Re: резервные каналы, ASA и другие животные   Igor O. Ladygin   18 Apr 2007 11:32:40   резервные каналы, ASA и другие животные   Maxim Basunov   18 Apr 2007 15:39:06   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   18 Apr 2007 17:09:40   резервные каналы, ASA и другие животные   Maxim Basunov   19 Apr 2007 12:11:41   Re: резервные каналы, ASA и другие животные   Eugene Grosbein   19 Apr 2007 18:33:38   резервные каналы, ASA и другие животные   Slawa Olhovchenkov   19 Apr 2007 14:51:44   резервные каналы, ASA и другие животные   Maxim Basunov   19 Apr 2007 19:24:02   резервные каналы, ASA и другие животные   Alexey Lukatsky   20 Apr 2007 15:13:42   резервные каналы, ASA и другие животные   Maxim Basunov   23 Apr 2007 00:04:21   резервные каналы, ASA и другие животные   Alexey Lukatsky   23 Apr 2007 21:14:03   резервные каналы, ASA и другие животные   Alexey Vissarionov   17 Apr 2007 14:32:12   резервные каналы, ASA и другие животные   Alexey Lukatsky   17 Apr 2007 11:46:54   резервные каналы, ASA и другие животные   Pavel Alex   28 Apr 2007 16:42:00   Re: резервные каналы, ASA и другие животные   Andrew I Baznikin   03 May 2007 06:31:43   Re: резервные каналы, ASA и другие животные   Nick Maryenko   03 May 2007 07:24:30   Re: резервные каналы, ASA и другие животные   Andrew I Baznikin   03 May 2007 08:19:15   резервные каналы, ASA и другие животные   Pavel Alex   03 May 2007 11:19:56