Jump to content

деактивировать "флаппающий" канал в схеме с 2 мя провайдерами.

romantix742
 Share

Recommended Posts

romantix742

romantix742

Posted
Posted

Добрый день, форумчане.

Есть фаервол cisco ASA 55 серии.  2 провайдера и 2  ipsec туннеля в центральный офис. Каждый туннель соответственно по отдельной линии провайдера. Переключение через sla track.   Главный провайдер редко, но глючит так, что канал то поднимается, то гасится на определенное время и получается что у  клиентов все время пропадает канал. 

Провайдера менять пока не получается. Как  сделать таймаут  переключения в sla?

1) Планирую заменить sla на маршрутизацию ospf через unicast.  Возможно быстрее будет переключаться,  но все равно проблема с "прыгающим" каналом останется.

2) Есть возможность уговорить начальство поставить роутер . Там (если cisco)  sla имеет больше настроек. 

 2.1 Может быть использовать gre + eigrp.  Не пойму деталей как отрабатывает метрика reliability. Учитывает ли она качество канала.

 2.2 Возможно стоит использовать скрипты  EEM и в момент деградации канала подкручивать метрики ? 

romantix742

romantix742

Posted
  • Author
Posted
4 часа назад, zhenya` сказал:

Если асы не древние, то можно попробовать vti IPSec и поднять динамику. Ну или тоже самое, но на роутерах и ещё поверх bfd.

 

Спасибо за ответ.  

1)  bfd over gre на каких моделях поддерживаются? Это по моему больше операторская функция.

2)  Защитит ли такая схема от постоянных обрывов? 

YuryD

YuryD

Posted
Posted

Про ASA5508 могу заметить следующее, при ip sla переключение происходит через 2-3 выпавших пинга внутри ipsec, при условии что физика не падает, IPSEC  не падает. Это я на столе клиенту демонстрировал(при этом порты на стенде были зафиксены по скорости и дуплексу - так физика очбыстро поднимается) . При падении физики порт с другой стороны в автодетекте может подниматься гораздо дольше. К сожалению, клиент не вынес экономического спада, в бою не проверилось, а на столе - он охудивлялся. хотя хватило обычного ip sla. Конфиги из букварей, иосы и кейгены сами знаете откуда.

romantix742

romantix742

Posted
  • Author
Posted
В 21.09.2020 в 17:50, YuryD сказал:

Про ASA5508 могу заметить следующее, при ip sla переключение происходит через 2-3 выпавших пинга внутри ipsec, при условии что физика не падает, IPSEC  не падает. Это я на столе клиенту демонстрировал(при этом порты на стенде были зафиксены по скорости и дуплексу - так физика очбыстро поднимается) . При падении физики порт с другой стороны в автодетекте может подниматься гораздо дольше. К сожалению, клиент не вынес экономического спада, в бою не проверилось, а на столе - он охудивлялся. хотя хватило обычного ip sla. Конфиги из букварей, иосы и кейгены сами знаете откуда.

То есть переключение было несколько секунд при жесткой настройке порта по дуплексу и скорости ?   Хочется , чтобы еще быстрее , как посоветовали в схеме : динамика+bfd.  

kapydan

kapydan

Posted
Posted

Как помню, на роутерах можно таймаут задавать.

 

http://admindoc.ru/68/ip-sla-cisco-asa/

 

ciscoasa(config)# sla monitor 1

ciscoasa(config-sla-monitor)#type echo protocol ipIcmpEcho xx.xx.xx.xx1 interface outside

ciscoasa(config-sla-monitor-echo)#num-packets 3

ciscoasa(config-sla-monitor-echo)#frequency 10

 

Как в статье, быть может стоить попробовать num-packets 1 указать?

 

Или вот на сайт циски ссылка

 

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118962-configure-asa-00.html#anc10

 

 

vvertexx

vvertexx

Posted
Posted

главный недостаток SLA - второй ВПН не активен и поднимается с нуля, и это занимает время. предподчтительнее

В 26.09.2020 в 18:46, romantix742 сказал:

динамика+bfd.  

 

YuryD

YuryD

Posted
Posted

 Главный вопрос - набуя внутри ipsec поднимать второй туннель ? Безопасность внутри безопасности или кривизна внутри кривизны ? Полагаю что что-то третье....

 

 А насчет всех этих быстых bfd - ну не уверен. по мне так bfd хорош, когда все соседи его поддерживают, но супротив запретинфо они неспособны. Мигание связности лечится административно.

kapydan

kapydan

Posted
Posted
19 часов назад, YuryD сказал:

Главный вопрос - набуя внутри ipsec поднимать второй туннель ?

некоторое время наза делал подобную схему gre+ipsec между двумя роутерами внутри lan-to-lan между двумя асами %)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.