romantix742 Опубликовано 18 сентября, 2020 · Жалоба Добрый день, форумчане. Есть фаервол cisco ASA 55 серии. 2 провайдера и 2 ipsec туннеля в центральный офис. Каждый туннель соответственно по отдельной линии провайдера. Переключение через sla track. Главный провайдер редко, но глючит так, что канал то поднимается, то гасится на определенное время и получается что у клиентов все время пропадает канал. Провайдера менять пока не получается. Как сделать таймаут переключения в sla? 1) Планирую заменить sla на маршрутизацию ospf через unicast. Возможно быстрее будет переключаться, но все равно проблема с "прыгающим" каналом останется. 2) Есть возможность уговорить начальство поставить роутер . Там (если cisco) sla имеет больше настроек. 2.1 Может быть использовать gre + eigrp. Не пойму деталей как отрабатывает метрика reliability. Учитывает ли она качество канала. 2.2 Возможно стоит использовать скрипты EEM и в момент деградации канала подкручивать метрики ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 18 сентября, 2020 · Жалоба Если асы не древние, то можно попробовать vti IPSec и поднять динамику. Ну или тоже самое, но на роутерах и ещё поверх bfd. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romantix742 Опубликовано 18 сентября, 2020 · Жалоба 4 часа назад, zhenya` сказал: Если асы не древние, то можно попробовать vti IPSec и поднять динамику. Ну или тоже самое, но на роутерах и ещё поверх bfd. Спасибо за ответ. 1) bfd over gre на каких моделях поддерживаются? Это по моему больше операторская функция. 2) Защитит ли такая схема от постоянных обрывов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 21 сентября, 2020 · Жалоба Про ASA5508 могу заметить следующее, при ip sla переключение происходит через 2-3 выпавших пинга внутри ipsec, при условии что физика не падает, IPSEC не падает. Это я на столе клиенту демонстрировал(при этом порты на стенде были зафиксены по скорости и дуплексу - так физика очбыстро поднимается) . При падении физики порт с другой стороны в автодетекте может подниматься гораздо дольше. К сожалению, клиент не вынес экономического спада, в бою не проверилось, а на столе - он охудивлялся. хотя хватило обычного ip sla. Конфиги из букварей, иосы и кейгены сами знаете откуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romantix742 Опубликовано 26 сентября, 2020 · Жалоба В 21.09.2020 в 17:50, YuryD сказал: Про ASA5508 могу заметить следующее, при ip sla переключение происходит через 2-3 выпавших пинга внутри ipsec, при условии что физика не падает, IPSEC не падает. Это я на столе клиенту демонстрировал(при этом порты на стенде были зафиксены по скорости и дуплексу - так физика очбыстро поднимается) . При падении физики порт с другой стороны в автодетекте может подниматься гораздо дольше. К сожалению, клиент не вынес экономического спада, в бою не проверилось, а на столе - он охудивлялся. хотя хватило обычного ip sla. Конфиги из букварей, иосы и кейгены сами знаете откуда. То есть переключение было несколько секунд при жесткой настройке порта по дуплексу и скорости ? Хочется , чтобы еще быстрее , как посоветовали в схеме : динамика+bfd. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 28 сентября, 2020 · Жалоба Как помню, на роутерах можно таймаут задавать. http://admindoc.ru/68/ip-sla-cisco-asa/ ciscoasa(config)# sla monitor 1 ciscoasa(config-sla-monitor)#type echo protocol ipIcmpEcho xx.xx.xx.xx1 interface outside ciscoasa(config-sla-monitor-echo)#num-packets 3 ciscoasa(config-sla-monitor-echo)#frequency 10 Как в статье, быть может стоить попробовать num-packets 1 указать? Или вот на сайт циски ссылка https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118962-configure-asa-00.html#anc10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 28 сентября, 2020 · Жалоба главный недостаток SLA - второй ВПН не активен и поднимается с нуля, и это занимает время. предподчтительнее В 26.09.2020 в 18:46, romantix742 сказал: динамика+bfd. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 сентября, 2020 · Жалоба Главный вопрос - набуя внутри ipsec поднимать второй туннель ? Безопасность внутри безопасности или кривизна внутри кривизны ? Полагаю что что-то третье.... А насчет всех этих быстых bfd - ну не уверен. по мне так bfd хорош, когда все соседи его поддерживают, но супротив запретинфо они неспособны. Мигание связности лечится административно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 29 сентября, 2020 · Жалоба 19 часов назад, YuryD сказал: Главный вопрос - набуя внутри ipsec поднимать второй туннель ? некоторое время наза делал подобную схему gre+ipsec между двумя роутерами внутри lan-to-lan между двумя асами %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...