Дано:
Есть распределенная сеть магазинов. Локалки магазинов имеют примерно следующий вид - 192.168.1хх.0/24, где хх - номер магазина. Сетевым "центром" служит комбайн от Zyxel различных моделей (2plus, USG20, USG50 и др.)А еще есть центральный офис со старой несегментированной сеткой 192.168.0.0/22, в которой находятся основные сервера, IP телефонная станция и пр.
Связь магазинов с офисом осуществляется посредством IPSec VPN каналов. Со стороны магазина канал образует Zyxel, а вот в офисе это либо сервер pfSense, либо CiscoASA 5520. Распределены каналы примерно поровну. И при необходимости (в основном из-за непонятных глюков) каналы перебрасываются туда-сюда. Однако такие переключения мне приходится делать "руками": указывать на zyxel-е магазина другой внешник в phase-1, удалять старый и добавлять новый маршрут на роутере локалки (Cisco3925).
Задача:
Настроить автоматическое переключение маршрута до сети магазина. То есть - куда подключается магазин, туда и указывает роутер офисной локалки.Что пробовал:
Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет OSPF.
pfSense и ASA его тоже умеют, но я так понял, только посредством multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот только ASA их не умеет делать.Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?).
Если надо - могу схемку прислать.
>[оверквотинг удален]
> магазин, туда и указывает роутер офисной локалки.
> Что пробовал:
> Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет
> OSPF.
> pfSense и ASA его тоже умеют, но я так понял, только посредством
> multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой
> случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот
> только ASA их не умеет делать.
> Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?).
> Если надо - могу схемку прислать.можно держать оба канала в апе и получать маршруты с разной метрикой от двух хабов - главный упал - все пошло по резервному, вернулся главный - пошло через него все опять.
Вариант рабочий, но недостаточный. Вы предлагаете увеличить число статических маршрутов вдвое (а это порядка 160 записей "руками"!). К тому же если у меня НИЧЕГО не упало, а магазин поменял-таки VPN-шлюз, это не сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) - вот тогда переключение будет автоматическим и не всегда связанным с падением.Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее настрою sla с track-ами, но по крайней мере у меня всегда будет только один маршрут до сети магазина.
Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? Тогда можно было бы вещать сети магазинов на ASA без GRE и прочих заморок.
>[оверквотинг удален]
> сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного,
> прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза)
> - вот тогда переключение будет автоматическим и не всегда связанным с
> падением.
> Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее
> настрою sla с track-ами, но по крайней мере у меня всегда
> будет только один маршрут до сети магазина.
> Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов?
> Тогда можно было бы вещать сети магазинов на ASA без GRE
> и прочих заморок.вовсе нет, я вообще за то, чтобы свести статические маршруты к минимуму - большая часть информации должна передаваться динамически.
>[оверквотинг удален]
> сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного,
> прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза)
> - вот тогда переключение будет автоматическим и не всегда связанным с
> падением.
> Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее
> настрою sla с track-ами, но по крайней мере у меня всегда
> будет только один маршрут до сети магазина.
> Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов?
> Тогда можно было бы вещать сети магазинов на ASA без GRE
> и прочих заморок.хотя да, согласен, без vti или gre это так или иначе превращается в ту еще головомойку.
а провайдер один или разные везде?
> а провайдер один или разные везде?со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.
со стороны офиса - два провайдера.
а вы это к чему?
попроасить прова что-нибудь придумать?
>> а провайдер один или разные везде?
> со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся
> это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.
> со стороны офиса - два провайдера.
> а вы это к чему?
> попроасить прова что-нибудь придумать?ну, если он не один, тут думай-не думаю, много не придумаешь :)
Ваша задача решается, но не на том, оборудовании, что есть у Вас, у сожалению.
>>> а провайдер один или разные везде?
>> со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся
>> это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.
>> со стороны офиса - два провайдера.
>> а вы это к чему?
>> попроасить прова что-нибудь придумать?
> ну, если он не один, тут думай-не думаю, много не придумаешь :)
> Ваша задача решается, но не на том, оборудовании, что есть у Вас,
> у сожалению.Openvpn
> OpenvpnЕсли есть возможность заменить на писюки с линуксом/фряхой, то в эти-же деньги можно взять б/у Cisco 87х серии, а это полноценный нормальный DMVPN с IPSec и EIGRP - классическая и надежнейшая схема.
> Дано:
> Есть распределенная сеть магазинов.Чем торгуют магазины? Не поверю что нельзя потратить $600 на приличный Cisco 881 + AIS софт.