[venara]

Здравствуйте уважаемые коллеги,

подскажите пожалуйста как лучше построить следующую схему -

 

Имеются 2 офиса,

Они связаны (через своих провайдеров) по VPN на роутерах cisco 28xx,

при чем построено 2 тонеля:

GRE - для VoIP

IpSec - для данных

Трафик разруливается по тонелям через статический route-map

 

Сейчас в офисах закуплены резервные каналы выхода в интернет

возникла задача автоматического переключения.

Соответственнно при падении первого канала VoIP трафик должен пойти по резервному GRE, а данные по резервному IpSec.

 

 

Технологию SLA использовать не хочу,

хочется более изящное решение,

к тому же в офисах несколько локальных подсетей,

и на подходе 3й офис а в перспективе может быть и 4й,

в связи с чем использование протокола динамической маршрутизации весьма уместно.

 

Пробовал использовать OSPF с развдением VoIP и IpSec тонелей по разным Area - решение не жизнеспособное.

 

Есть вариант создания между офисами L2 тонелей с резервированием по STP, но я сомневаюсь в успехе.

 

Если кто ни будь реализовал подобную схему, возможно с MPLS поделитесь пожалуйста общей методикой.

Edited April 11, 2013 by venara

[hub00]

traffic engineering

[Grid]

Голос принципиально не шифруете? Так было бы намного проще. Можно использовать VTI и резервирование с помощью ospf.

[venara]

Голос шифровать пробовал, причем легко:DES, на роутере 2811 с платой k9 на 1м канале 10 мбит стабильная загрузко 40% с периодическими пиками в 100% и жалобами пользователей на тормоза в сети.

Думаю что это по причине шифрования голосового трафика состоящего из множества мелких пакетов.

Закупленный второй канал 100 мбит (который станет основным), страшно даже подумать...

 

VTI резервирование - Вы видемо имеете в виду QoS резервирование полосы пропускания под голос?

[venara]

traffic engineering

- С MPLS знаком мало но пожалуй это то что нужно,

спасибо большое.

 

Поизучаю вопрос напишу как прошло.

[Grid]

VTI резервирование - Вы видемо имеете в виду QoS резервирование полосы пропускания под голос?

VTI это динамические туннели. Если не шифровать голос, то придётся его отделять от данных, а это лишние телодвижения. Но в любом случае у вас все решается через туннели и ospf. MPLS TE избыточно и вроде как на 2800 серии неосуществимо. И у вас именно 2811 HSEC/K9?

[applx]

какой нафиг TE под такую задачу? OSPF / EIGRP решит ваши проблемы. обьясните что у вас с OSPF не работало?

[venara]

VTI это динамические туннели. Если не шифровать голос, то придётся его отделять от данных, а это лишние телодвижения. Но в любом случае у вас все решается через туннели и ospf. MPLS TE избыточно и вроде как на 2800 серии неосуществимо. И у вас именно 2811 HSEC/K9?

 

С одной стороны 2811 с другой 2821 с

NAME: "Virtual Private Network (VPN) Module on Slot 0", DESCR: "Encryption AIM Element"

PID: AIM-VPN/SSL-2 , VID: V01, SN:

 

При этом на 2821 -

Это на заявленных провайдером 10мбит, реально по тесту iperf менее 5мбит

Edited April 12, 2013 by venara

[venara]

какой нафиг TE под такую задачу? OSPF / EIGRP решит ваши проблемы. обьясните что у вас с OSPF не работало?

 

Теоретически разрулить потоки с помощью OSPF можно только если анонсировать VoIP сети и сети данных по разным area, соответственно приоритет маршрутизации в пределах 1й ареа будет выше трафик пойдет как надо.

 

 

На такой схеме даже работает

Таблица маршрутизации и трасировка пакетов выполняется правильно (если цена всех маршрутов одинаковая иначе пакеты идут по более дешовому пути),

но массово на обоих роутерах сыпятся ошибки

*Mar 1 00:42:13.235: %OSPF-4-ERRRCV: Received invalid packet: mismatch area ID, from backbone area must be virtual-link but not found from 10.10.121.2, Tunnel2

И в принципе эту проблему наверняка удастся пофиксить запретом анонсов.

 

Но меня терзают смутные сомнения что на реальных железках это летать будет плохо, к томуже

у меня в одном из офисов (по веским причинам) предполагается что в интернет будут смотреть 2 роутера а линк между ними не может принадлежать сразу 2м area.

Edited April 12, 2013 by venara

[Grid]

Растащите телефонию и данные по разным ospf-процессам. Схема будет проще.

[Saab95]

Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить.

[dazgluk]

Растащите телефонию и данные по разным ospf-процессам. Схема будет проще.

Поддержу.

 

+ отдельные виртуальные /30 стыки, тогда будет достаточно просто задрать ospf cost на резервных линках

[venara]

Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить.

 

Через все каналы не надо,

Смысл не в том чтобы просто передать пакеты(с этим 0 проблем),

а в том чтобы пакеты данных передать по тонелю IPSec

а голос по тонелю GRE без шифрования

Причем (главное условие) чтобы они ходили именно так и ни как иначе(требование службы безопасности).

[Saab95]

Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить.

 

Через все каналы не надо,

Смысл не в том чтобы просто передать пакеты(с этим 0 проблем),

а в том чтобы пакеты данных передать по тонелю IPSec

а голос по тонелю GRE без шифрования

Причем (главное условие) чтобы они ходили именно так и ни как иначе(требование службы безопасности).

 

А вы добавьте правила change TTL + 1 и все будет ходить так как надо=)