отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

туннель GRE over IPsec и HSRP

Добрый день!

 

Что то я запутался, в инете на форумах говорится, что нежелательно использовать HSRP виртуальный ip, как tunnel source или tunnel destination адрес. Но опять же есть примеры конфигов с использованием HSRP виртуального ip, для туннелей. Помогите разобраться.

У меня один маршрутизатор офиса1 связан туннелями с двумя маршрутизаторами офиса2. Маршрутизаторы офиса2 находятся в HSRP на WAN интерфейсах.

Изначально, я хотел настроить один туннель на маршрутизаторе офиса1 и указать для tunnel destination ip виртуального HSRP. И по одному туннелю на маршрутизаторах офиса2, указав для tunnel source ip виртуального HSRP.

 

Маршрутизатор офиса1

interface Tunnel0
description GRE
ip address 192.168.254.10 255.255.255.255
no ip redirects
no ip proxy-arp
ip mtu 1436
ip tcp adjust-mss 1436
tunnel source FastEthernet0/1

tunnel mode ipsec ipv4
tunnel destination [ip виртуального HSRP]
tunnel protection ipsec profile Test

Маршрутизатор1 офиса2

interface Tunnel0
description GRE reserv
ip address 196.168.254.4 255.255.255.255
no ip redirects
no ip proxy-arp
ip tcp adjust-mss 1436
tunnel source [ip виртуального HSRP]

tunnel mode ipsec ipv4
tunnel destination 20.20.20.1
tunnel protection ipsec profile Test

Маршрутизатор2 офиса2

interface Tunnel0
description GRE reserv
ip address 196.168.254.5 255.255.255.255
no ip redirects
no ip proxy-arp
ip tcp adjust-mss 1436
tunnel source [ip виртуального HSRP]

tunnel mode ipsec ipv4
tunnel destination 20.20.20.1
tunnel protection ipsec profile Test

Но после прочтения топиков на форумах запутался. Если нельзя указывать для адресов туннелей ip виртуального HSRP, то неужно сконфигурить на два туннеля на маршрутизаторе офиса1, по одному на каждый маршрутизатор офиса2? Как указать какой основной туннель, а какой резервный? Как отслеживать состояние туннелей? И почему нельзя использовать адрес виртуального HSRP, каковы последствия?

 

Спасибо.
 

  • Маршрутизация и коммутация (Routing and Switching)
5 ОТВЕТ.

> Как указать какой основной

> Как указать какой основной туннель, а какой резервный?

А зачем делить их на основной и резервный? Пусть оба работают одновременно, равноправно.

 

> Как отслеживать состояние туннелей?

Правильнее всего hello пакетами протокола маршрутизации. Как вариант - IP SLA или даже tunnel keepalive.

 

> И почему нельзя использовать адрес виртуального HSRP

Как минимум - лишнее усложнение. Предположу, что стендбайный HSRP роутер будет бросать пакеты в никуда, так как не сможет ничего сорсить с VIP адреса, придется выкручиваться дополнительной конфигурацией, которая будет пересылать трафик с одного роутера на другой в пределах сайта. А главное - ради чего? Какой смысл так делать?

New Member

Т.е. тунели будут работать

Т.е. тунели будут работать одновременно, а маршрутизаторы офиса2 будут active и standby? И в случае, если один маршрутизатор будет недоступен, весь трафик просто пойдет через другой?

Не будет никакого active и

Не будет никакого active и standby с точки зрения GRE/IPSec. Просто совершенно симметричная конфигурация (как будто подключили два роутера патч-кордами к одному центральному). Трафик можете пускать как угодно, например - балансируя туда и туда.

New Member

Т.е. конфиг будет такой?

Т.е. конфиг будет такой?

 

Маршрутизатор офиса1

interface Tunnel0
description GRE
ip address 192.168.254.10 255.255.255.255
no ip redirects
no ip proxy-arp
ip mtu 1436
ip tcp adjust-mss 1436
tunnel source FastEthernet0/1

tunnel mode ipsec ipv4
tunnel destination [ip физ интерфейса маршрутизатора 1 офиса 2]
tunnel protection ipsec profile Test

tunnel keepalive

 

 

interface Tunnel1
description GRE
ip address 192.168.254.11 255.255.255.255
no ip redirects
no ip proxy-arp
ip mtu 1436
ip tcp adjust-mss 1436
tunnel source FastEthernet0/1

tunnel mode ipsec ipv4
tunnel destination [ip физ интерфейса маршрутизатора 2 офиса 2]
tunnel protection ipsec profile Test

tunnel keepalive

Маршрутизатор1 офиса2

interface Tunnel0
description GRE reserv
ip address 196.168.254.4 255.255.255.255
no ip redirects
no ip proxy-arp
ip tcp adjust-mss 1436
tunnel source [ip физ интерфейса маршрутизатора 1 офиса 2]

tunnel mode ipsec ipv4
tunnel destination 20.20.20.1
tunnel protection ipsec profile Test

tunnel keepalive

 

Маршрутизатор2 офиса2

interface Tunnel0
description GRE reserv
ip address 196.168.254.5 255.255.255.255
no ip redirects
no ip proxy-arp
ip tcp adjust-mss 1436
tunnel source [ip физ маршрутизатора 2 офиса 2]

tunnel mode ipsec ipv4
tunnel destination 20.20.20.1
tunnel protection ipsec profile Test

tunnel keepalive

 

И физичсеские интерфейсы маршрутизатора 1 и 2 офиса 2 в HSRP.

На вид похоже. У вас еще

На вид похоже.

 

У вас еще конфигурация MTU/adjust-MSS несколько странная. Лучше сделайте на туннелях ip mtu 1380 и ip tcp adjust-mss 1340, чтобы с гарантией. "MTU=MSS" - заведомая ошибка.

150
Просмотры
10
Полезный материал
5
Ответы