В интернете уже куча мануалов о том, как сделать связность через двух провайдеров через ipsec..внесу свои 5 копеек..
схема следующая: имеется региональный маршрутизатор, на который приходит два аплинка от двух разных провайдеров..необходимо с этого маршрутизатора построить два ipsec-туннеля до центрального роутера с использованием трэкинга и включением OSPF внутри этих туннелей..
Конфигурация Spoke-роутера будет следующая:
схема следующая: имеется региональный маршрутизатор, на который приходит два аплинка от двух разных провайдеров..необходимо с этого маршрутизатора построить два ipsec-туннеля до центрального роутера с использованием трэкинга и включением OSPF внутри этих туннелей..
Вот вроде бы и всё..в этом конфиге основной провайдер мониторится трекингом на доступность..при его отвале траффик идёт через второго провайдера..ipsec и ospf при этом успешно перестраиваются. NAT также работает корректно, но для верности можно добавить сюда еще ЕЕМ-апплет для сброса трансляций при переключении роутинга..
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
crypto isakmp key yyyyyy address C.C.C.200
crypto isakmp invalid-spi-recovery
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set NEW esp-aes 256 esp-md5-hmac
!
crypto ipsec profile NEW
set transform-set NEW
!
!
track 1 ip sla 1 reachability
!
!
interface Tunnel0
description ### Tunnel_over_Elisa ###
ip address 192.168.192.2 255.255.255.252
ip mtu 1412
ip ospf network point-to-point
ip ospf cost 10
keepalive 10 3
tunnel source A.A.A.90
tunnel destination C.C.C.200
tunnel mode ipsec ipv4
tunnel protection ipsec profile NEW
!
interface Tunnel1
description ### Tunnel_over_Elion ###
ip address 192.168.192.6 255.255.255.252
ip mtu 1412
ip ospf network point-to-point
ip ospf cost 100
keepalive 10 3
tunnel source B.B.B.18
tunnel destination C.C.C.200
tunnel mode ipsec ipv4
tunnel protection ipsec profile NEW
!
interface FastEthernet0/0
description ### LAN ###
ip address 10.47.17.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0/0
description ### WAN Elisa main ###
ip address A.A.A.90 255.255.255.248
ip access-group WAN-Access in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/1
description ### WAN Elion backup ###
ip address B.B.B.18 255.255.255.248
ip access-group WAN-Access in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
router ospf 1
router-id 10.47.17.1
log-adjacency-changes
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
network 10.47.17.0 0.0.0.255 area 10.47.0.0
network 192.168.192.0 0.0.0.3 area 0
network 192.168.192.4 0.0.0.3 area 0
!
ip route 0.0.0.0 0.0.0.0 A.A.A.94 track 1
ip route 0.0.0.0 0.0.0.0 B.B.B.17 250
!
!
ip nat pool ELISA-POOL A.A.A.90 A.A.A.90 netmask 255.255.255.248
ip nat pool ELION-POOL B.B.B.18 B.B.B.18 netmask 255.255.255.248
ip nat inside source route-map ELION pool ELION-POOL overload
ip nat inside source route-map ELISA pool ELISA-POOL overload
!
!
ip access-list extended WAN-Access
permit tcp X.X.X.0 0.0.0.255 any eq 22
deny tcp any any eq 22 log
deny tcp any any eq 1720 log
deny tcp any any eq 2000 log
deny tcp any any eq 2443 log
deny tcp any any eq 5060 log
deny udp any any eq 5060 log
deny udp any eq 8882 any log
permit ip any any
!
ip sla 1
icmp-echo A.A.A.94 source-interface FastEthernet0/0/0
ip sla schedule 1 life forever start-time now
!
!
route-map ELION permit 10
match ip address 100
match interface FastEthernet0/0/1
!
route-map ELISA permit 10
match ip address 100
match interface FastEthernet0/0/0
!
!
access-list 100 deny ip 10.47.17.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 100 deny ip host 10.47.17.7 any
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq smtp
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq www
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq pop3
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq ftp
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq ftp-data
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq 143
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq 200
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq 443
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq 447
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq 993
access-list 100 permit tcp 10.47.17.0 0.0.0.255 any eq 1024
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.