Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Добрый день.

Между двумя офисами проложены два канала от двух провайдеров, переход с одного на другой происходит с помощью EIGRP. По каналам траффик необходимо шифровать. С одной стороны 2921 с 151-4.M3 IOS. С другой стороны - ASA 5510 8.2(5) IOS.

Проблема - при падении канала ISP1 (он предпочтительный) происходит переход маршрутов на канал ISP2 (работает EIGRP), поднимается новый IPSec туннель. При восстановлении канала ISP1, происходит переход маршрутов на канал ISP1, но IPSec туннель уже не восстанавливается и заново не создаётся. Ручная чистка не помогает (clear crypto isakmp sa, clear crypto ipsec sa). Помогает только перезагрузка ASA.

Конфиг на 2921:

crypto ipsec transform-set KANALS esp-aes 256 esp-sha-hmac

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

!

crypto isakmp key *** address 192.168.12.249

crypto isakmp key *** address 192.168.12.241

!

crypto map ISP1 10 ipsec-isakmp

set peer 192.168.12.249

set transform-set KANALS

match address CRYPTO-KANALS

!

crypto map ISP2 10 ipsec-isakmp

set peer 192.168.12.241

set transform-set KANALS

match address CRYPTO-KANALS

!

Конфиг на ASA:

crypto ipsec transform-set KANALS esp-aes-256 esp-sha-hmac

crypto ipsec security-association lifetime seconds 3600

crypto ipsec security-association lifetime kilobytes 4608000

crypto map CRYPTO-MAP-ISP1 1 match address CRYPTO-MACOMNET

crypto map CRYPTO-MAP-ISP1 1 set peer 192.168.12.254

crypto map CRYPTO-MAP-ISP1 1 set transform-set KANALS

crypto map CRYPTO-MAP-ISP1 interface ISP1

crypto map CRYPTO-MAP-ISP2 1 match address CRYPTO-MACOMNET

crypto map CRYPTO-MAP-ISP2 1 set peer 192.168.12.246

crypto map CRYPTO-MAP-ISP2 1 set transform-set KANALS

crypto map CRYPTO-MAP-ISP2 interface ISP2

crypto isakmp enable ISP1

crypto isakmp enable ISP2

crypto isakmp policy 10

authentication pre-share

encryption aes-256

hash sha

group 5

lifetime 86400

!

tunnel-group 192.168.12.254 type ipsec-l2l

tunnel-group 192.168.12.254 ipsec-attributes

pre-shared-key *****

tunnel-group 192.168.12.246 type ipsec-l2l

tunnel-group 192.168.12.246 ipsec-attributes

pre-shared-key *****

Теги (4)
8 ОТВЕТ.

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Игорь, я правильно Вас понял что у Вас фактически два L2 канала поверх которых работает EIGRP?

Не могли бы Вы понснить схему подключения этих каналов (физика, логика)?

Есть подозрение, что Вам не требуется использовать два крипто-туннеля и можно попробовать обеспечивать резрвирование только средствами маршрутизации.

Community Member

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Добрый день.

Два L2 канала, от двух независимых провайдеров, поверх обоих работает EIGRP.

2921 смотрит на один канал (ISP1) интерфейсом 192.168.12.254 255.255.255.248, на другой канал (ISP2) - интерфейсом 192.168.12.246 255.255.255.248.

ASA смотрит на канал ISP1 интерфейсом 192.168.12.249 255.255.255.248, на второй канал (ISP2) интерфейсом 192.168.12.241 255.255.255.248.

Настроена одна EIGRP AS. 2921 и ASA сообщают друг другу маршруты, которые находятся за ними. Траффик между 2921 и ASA нужно шифровать.

Буду рад информации, спасибо.

Re: Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Какой-нибудь load-balancing применяется или в один момент времени активен только один канал?

Может быть есть возможность зарезервировать канылы с помощью etherchannel или ещё проще xSTP?

Таким образом у Вас в идеале уменьшится время сходимости, на ASA будет только один интерфейс и соответственно, только одна сессия ipsec.

Также можно в настройках tunnel-group задействовать isakmp keepalive, примерно так:

isakmp keepalive threshold 20 retry 5

На IOS:

crypto isakmp keepalive 20 5 periodic

Community Member

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Спасибо.

load-balancing не применяется, в один момент времени необходима работа одного, предпочтительного канала, каналы разной пропускной способности (20 и 2 Мб), расстояние между офисами большое, насчёт etherchannel или xSTP сильно не уверен.

Keepalive посмотрю.

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Если у Вас конечно каналы с разной пропускной способностью, то etherchannel не пойдет, но никто не мешает задействовать RSTP, например. Т.е. ваши каналы будут подключены в какой-либо коммутатор, однако стоит учесть, что провадер должен обеспечивать bpdu tunnelling (запрашивайте у провадйера L2PT). Простейшей проверкой того, что это сейчас работает будет работа CDP поверх этих L2 каналов.

Пожалуйста, оцените мои ответы, если они были полезны. Спасибо.

Community Member

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Ну CDP точно не работает, всё равно даже на RSTP нет надежды. Второй офис - это датацентр, второй канал - это стык двух провайдеров (провайдер канала от офиса, далее оборудование датацентра, далее наша стойка)

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Ok, попробуйте isakmp keepalive. Отпишитесь, пожалуйста, если поможет.

Community Member

Cisco 2921 l2l-ipsec с ASA 5510 и EIGRP.

Проблема как-то сама рассосалась без изменения keepalive, что меня немного настораживает.

Для security associations время жизни стоит 3600 секунд, это 1 час, на протяжении дня переключался на резервный канал работал на нём на протяжении часа, затем переключался обратно на предпочтительный канал, IPSec без проблем поднимался. Вечером попробовал симетировать скачок туда и обратно - и проблема не воспроизводится, роняю интерфейс предпочтительного канала на 2921, жду 30 секунд до поднятия резервного канала, затем поднимаю основной канал - и IPSec поднимается без проблем (через 10 - 15 пингов). Что было изменено - для каждого туннеля на 2921 был создан отдельный transform-set.

1172
Просмотры
5
Полезный материал
8
Ответы
СоздатьДля создания публикации, пожалуйста в систему