Ciao a tutti,
Avrei bisogno del vostro aiuto.
Ho un cliente con due sedi collegate tramite tunnel IPsec terminati su un 2801.
Abbiamo montato un'ulteriore HWIC ADSL su entrmbi i router per poter configuarare un secondo tunnel in modalità load balancing o come semplice backup... Le ADSL sono di provider differenti.
Qualcuno ha qualche idea, magari già testata e funzionate, per configuare almeno il secondo tunnel in modalità backup, se proprio il load balancing non si potesse fare?
I due tunnel testati distintamente sono funzionanti.
Grazie mille!!!
Daniele
Aiuto su Tunnel IPSec Ridondato o in Load Balancing
Moderatore: Federico.Lagni
-
pierky
- Cisco fan
- Messaggi: 50
- Iscritto il: sab 19 lug , 2008 11:28 am
- Contatta:
Ciao, vediamo cosa si può fare...
Supponiamo un indirizzamento punto-punto del tipo:
sede A:
ADSL_ISP1: 1.1.1.2/30
ADSL_ISP2: 2.2.1.2/30
LAN: 192.168.1.0/24
sede B:
ADSL_ISP1: 1.1.2.2/30
ADSL_ISP2: 2.2.2.2/30
LAN: 192.168.2.0/24
dove l'ISP ha l'IP .1.
Sul router A aggiungi delle route statiche per raggiungere l'ADSL dell'ISP1 della sede B tramite l'ADSL dello stesso ISP, e stessa cosa per l'ADSL dell'ISP2:
ip route 1.1.2.0 255.255.255.252 1.1.1.1
ip route 2.2.2.0 255.255.255.252 2.2.1.1
Situazione speculare per il router B!
Poi crei due tunnel su ciascun router (esempio su router A):
interface Tunnel0
ip unnumbered FastEthernet1/0
tunnel source 1.1.1.2
tunnel destination 1.1.2.2
!
interface Tunnel1
ip unnumbered FastEthernet1/0
tunnel source 2.2.1.2
tunnel destination 2.2.2.2
!
Dopodiché aggiungi 2 route statiche su ciascun router verso le LAN (esempio sempre su router A):
ip route 192.168.2.0 255.255.255.0 Tunnel0
ip route 192.168.2.0 255.255.255.0 Tunnel1
Così hai la base del load-balancing. Ora, per il failover di questa soluzione puoi sbizzarrirti in vari modi, a seconda delle esigenze e della situazione specifica. Puoi annunciare le subnet locali tramite un protocollo di routing, oppure installare le route con il tracking delle relative interfacce d'uscita, o più semplicemente attivare il keepalive dei tunnel.
Spero di non essermi incartato sugli IP!
Ciao
Supponiamo un indirizzamento punto-punto del tipo:
sede A:
ADSL_ISP1: 1.1.1.2/30
ADSL_ISP2: 2.2.1.2/30
LAN: 192.168.1.0/24
sede B:
ADSL_ISP1: 1.1.2.2/30
ADSL_ISP2: 2.2.2.2/30
LAN: 192.168.2.0/24
dove l'ISP ha l'IP .1.
Sul router A aggiungi delle route statiche per raggiungere l'ADSL dell'ISP1 della sede B tramite l'ADSL dello stesso ISP, e stessa cosa per l'ADSL dell'ISP2:
ip route 1.1.2.0 255.255.255.252 1.1.1.1
ip route 2.2.2.0 255.255.255.252 2.2.1.1
Situazione speculare per il router B!
Poi crei due tunnel su ciascun router (esempio su router A):
interface Tunnel0
ip unnumbered FastEthernet1/0
tunnel source 1.1.1.2
tunnel destination 1.1.2.2
!
interface Tunnel1
ip unnumbered FastEthernet1/0
tunnel source 2.2.1.2
tunnel destination 2.2.2.2
!
Dopodiché aggiungi 2 route statiche su ciascun router verso le LAN (esempio sempre su router A):
ip route 192.168.2.0 255.255.255.0 Tunnel0
ip route 192.168.2.0 255.255.255.0 Tunnel1
Così hai la base del load-balancing. Ora, per il failover di questa soluzione puoi sbizzarrirti in vari modi, a seconda delle esigenze e della situazione specifica. Puoi annunciare le subnet locali tramite un protocollo di routing, oppure installare le route con il tracking delle relative interfacce d'uscita, o più semplicemente attivare il keepalive dei tunnel.
Spero di non essermi incartato sugli IP!
Ciao
-
Impact Tool
- n00b
- Messaggi: 3
- Iscritto il: mer 23 apr , 2008 3:43 pm
Grazie mille per la dritta.
Con la tua configurazione devo per forza eliminare i tunnel ipsec con le varie righe di crypto e configuare tunnel GRE? x l'ip unnambered dei tunnel hai preso l'ip della fast dove hai la LAN che mi hai scritto come esempio?
Grazie mille
PS:al momento ho configurato due tunnel IPSec + ip CEF con route-map per il load-sharing... il fatto è che sembra funzionare, ma se scollego una ADSL inizio a perdere una barca di pacchetti, come se a livello di routing qualcosa andasse storto...
Se pensi sia necessario posso postarti le conf
Grazie ancora
Daniele
Con la tua configurazione devo per forza eliminare i tunnel ipsec con le varie righe di crypto e configuare tunnel GRE? x l'ip unnambered dei tunnel hai preso l'ip della fast dove hai la LAN che mi hai scritto come esempio?
Grazie mille
PS:al momento ho configurato due tunnel IPSec + ip CEF con route-map per il load-sharing... il fatto è che sembra funzionare, ma se scollego una ADSL inizio a perdere una barca di pacchetti, come se a livello di routing qualcosa andasse storto...
Se pensi sia necessario posso postarti le conf
Grazie ancora
Daniele
-
pierky
- Cisco fan
- Messaggi: 50
- Iscritto il: sab 19 lug , 2008 11:28 am
- Contatta:
E di che!Impact Tool ha scritto:Grazie mille per la dritta.
No non c'è bisogno di eliminarli. Immagino che questi tunnel siano comunque in GRE poi criptati con IPSec.Impact Tool ha scritto:Con la tua configurazione devo per forza eliminare i tunnel ipsec con le varie righe di crypto e configuare tunnel GRE?
Si esatto, anche se in realtà è sempre bene usare loopback per l'unnumbered.Impact Tool ha scritto:x l'ip unnambered dei tunnel hai preso l'ip della fast dove hai la LAN che mi hai scritto come esempio?
... come se continuasse a forwardare pacchetti verso l'interfaccia che è down? Ora non so di preciso che config tu abbia realizzato e dove sia il problema specifico, però credo che la soluzione che ti ho proposto sia più lineare e pulita.Impact Tool ha scritto:Grazie mille
PS:al momento ho configurato due tunnel IPSec + ip CEF con route-map per il load-sharing... il fatto è che sembra funzionare, ma se scollego una ADSL inizio a perdere una barca di pacchetti, come se a livello di routing qualcosa andasse storto...
Ciao
-
Impact Tool
- n00b
- Messaggi: 3
- Iscritto il: mer 23 apr , 2008 3:43 pm
Grazie mille pierky!!!
é un giorno e mezzo che ho messo in piedi la soluzione con le dritte che mi hai dato e tutto sembra funzionare.
L'unica differenza è che ho dato un indirizzamento "nuovo" ai tunnel e le subnet remote le ho fatte gestire solo da OSPF (eliminando quindi le due rotte statiche che mi davano problemi in fase di load-sharing)
Grazie ancora
é un giorno e mezzo che ho messo in piedi la soluzione con le dritte che mi hai dato e tutto sembra funzionare.
L'unica differenza è che ho dato un indirizzamento "nuovo" ai tunnel e le subnet remote le ho fatte gestire solo da OSPF (eliminando quindi le due rotte statiche che mi davano problemi in fase di load-sharing)
Grazie ancora
-
pierky
- Cisco fan
- Messaggi: 50
- Iscritto il: sab 19 lug , 2008 11:28 am
- Contatta:
Bene bene, sono contento! 
Alla prossima...
Alla prossima...-
risk
- Cisco fan
- Messaggi: 37
- Iscritto il: lun 09 feb , 2009 9:59 am
ciao
in un altro post ho richiesto se era possibile avere alcune dritte su una configurazione un po' particolare ma utilizzando un asa 5505 e non un router, provo a chiedervi qualche info, magari ne vengo a capo.
Esiste, con l'asa 5505, la possibilità di configurare due route dove una rimane di backup, quindi non fa bilanciamento, con licenza sec-plus e utilizzando due porte dello switch con vlan differenti. Fin qui tutto bene.
Riepilogando: una porta interna collegata alla Lan e due porte esterne collegate ai router.
La domanda: è possibile collegare due router, uno alla porta esterna e uno ad una porta interna, quindi sulle stessa Lan dei pc ?
Es. sede1
porta interna firewall 192.168.1.1/24
porta esterna firewall collegata al router adsl(1) 88.88.88.88/29
router adsl(1) 88.88.88.89/29
porta interna router adsl(2) 192.168.1.100/24
considerando che ho due sedi e che ho attivato due vpn, una su ogni adsl
Es. sede2
porta interna firewall 192.168.2.1/24
porta esterna firewall collegata al router adsl(1) 88.88.88.95
router adsl(1) 88.88.88.96
porta interna router adsl(2) 192.168.2.100/24
ho impostato le route nel segunete modo: sede1
route inside 192.168.2.0 255.255.255.0 192.168.1.100
route ouside 192.168.2.0 255.255.255.0 88.88.88.89
nella sede2 così
route inside 192.168.1.0 255.255.255.0 192.168.2.100
route outside 192.168.1.0 255.255.255.0 88.88.88.96
purtroppo non funziona, o meglio, se imposto la route principale quella verso il router sulla porta esterna del firewall tutto ok, ma se imposto l'altra route, quindi quella sul router nella stessa lan dei pc non fuge.
Qualcuno ha già fatto qualcosa di simile ?
in un altro post ho richiesto se era possibile avere alcune dritte su una configurazione un po' particolare ma utilizzando un asa 5505 e non un router, provo a chiedervi qualche info, magari ne vengo a capo.
Esiste, con l'asa 5505, la possibilità di configurare due route dove una rimane di backup, quindi non fa bilanciamento, con licenza sec-plus e utilizzando due porte dello switch con vlan differenti. Fin qui tutto bene.
Riepilogando: una porta interna collegata alla Lan e due porte esterne collegate ai router.
La domanda: è possibile collegare due router, uno alla porta esterna e uno ad una porta interna, quindi sulle stessa Lan dei pc ?
Es. sede1
porta interna firewall 192.168.1.1/24
porta esterna firewall collegata al router adsl(1) 88.88.88.88/29
router adsl(1) 88.88.88.89/29
porta interna router adsl(2) 192.168.1.100/24
considerando che ho due sedi e che ho attivato due vpn, una su ogni adsl
Es. sede2
porta interna firewall 192.168.2.1/24
porta esterna firewall collegata al router adsl(1) 88.88.88.95
router adsl(1) 88.88.88.96
porta interna router adsl(2) 192.168.2.100/24
ho impostato le route nel segunete modo: sede1
route inside 192.168.2.0 255.255.255.0 192.168.1.100
route ouside 192.168.2.0 255.255.255.0 88.88.88.89
nella sede2 così
route inside 192.168.1.0 255.255.255.0 192.168.2.100
route outside 192.168.1.0 255.255.255.0 88.88.88.96
purtroppo non funziona, o meglio, se imposto la route principale quella verso il router sulla porta esterna del firewall tutto ok, ma se imposto l'altra route, quindi quella sul router nella stessa lan dei pc non fuge.
Qualcuno ha già fatto qualcosa di simile ?
