Перейти к содержимому
Калькуляторы

Динамический резервный канал Как создать динамическое резервирование канала между 2мя офисами.

Здравствуйте уважаемые коллеги,

подскажите пожалуйста как лучше построить следующую схему -

 

Имеются 2 офиса,

Они связаны (через своих провайдеров) по VPN на роутерах cisco 28xx,

при чем построено 2 тонеля:

GRE - для VoIP

IpSec - для данных

Трафик разруливается по тонелям через статический route-map

 

Сейчас в офисах закуплены резервные каналы выхода в интернет

возникла задача автоматического переключения.

Соответственнно при падении первого канала VoIP трафик должен пойти по резервному GRE, а данные по резервному IpSec.

 

post-112759-097806100 1365684111_thumb.jpg

 

Технологию SLA использовать не хочу,

хочется более изящное решение,

к тому же в офисах несколько локальных подсетей,

и на подходе 3й офис а в перспективе может быть и 4й,

в связи с чем использование протокола динамической маршрутизации весьма уместно.

 

Пробовал использовать OSPF с развдением VoIP и IpSec тонелей по разным Area - решение не жизнеспособное.

 

Есть вариант создания между офисами L2 тонелей с резервированием по STP, но я сомневаюсь в успехе.

 

Если кто ни будь реализовал подобную схему, возможно с MPLS поделитесь пожалуйста общей методикой.

Изменено пользователем venara

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Голос принципиально не шифруете? Так было бы намного проще. Можно использовать VTI и резервирование с помощью ospf.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Голос шифровать пробовал, причем легко:DES, на роутере 2811 с платой k9 на 1м канале 10 мбит стабильная загрузко 40% с периодическими пиками в 100% и жалобами пользователей на тормоза в сети.

Думаю что это по причине шифрования голосового трафика состоящего из множества мелких пакетов.

Закупленный второй канал 100 мбит (который станет основным), страшно даже подумать...

 

VTI резервирование - Вы видемо имеете в виду QoS резервирование полосы пропускания под голос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

traffic engineering

- С MPLS знаком мало но пожалуй это то что нужно,

спасибо большое.

 

Поизучаю вопрос напишу как прошло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VTI резервирование - Вы видемо имеете в виду QoS резервирование полосы пропускания под голос?

VTI это динамические туннели. Если не шифровать голос, то придётся его отделять от данных, а это лишние телодвижения. Но в любом случае у вас все решается через туннели и ospf. MPLS TE избыточно и вроде как на 2800 серии неосуществимо. И у вас именно 2811 HSEC/K9?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

какой нафиг TE под такую задачу? OSPF / EIGRP решит ваши проблемы. обьясните что у вас с OSPF не работало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VTI это динамические туннели. Если не шифровать голос, то придётся его отделять от данных, а это лишние телодвижения. Но в любом случае у вас все решается через туннели и ospf. MPLS TE избыточно и вроде как на 2800 серии неосуществимо. И у вас именно 2811 HSEC/K9?

 

С одной стороны 2811 с другой 2821 с

NAME: "Virtual Private Network (VPN) Module on Slot 0", DESCR: "Encryption AIM Element"

PID: AIM-VPN/SSL-2 , VID: V01, SN:

 

При этом на 2821 -

post-112759-062802200 1365752250_thumb.jpg

Это на заявленных провайдером 10мбит, реально по тесту iperf менее 5мбит

Изменено пользователем venara

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

какой нафиг TE под такую задачу? OSPF / EIGRP решит ваши проблемы. обьясните что у вас с OSPF не работало?

 

Теоретически разрулить потоки с помощью OSPF можно только если анонсировать VoIP сети и сети данных по разным area, соответственно приоритет маршрутизации в пределах 1й ареа будет выше трафик пойдет как надо.

 

post-112759-055233200 1365758090_thumb.jpg

 

На такой схеме даже работает

Таблица маршрутизации и трасировка пакетов выполняется правильно (если цена всех маршрутов одинаковая иначе пакеты идут по более дешовому пути),

но массово на обоих роутерах сыпятся ошибки

*Mar 1 00:42:13.235: %OSPF-4-ERRRCV: Received invalid packet: mismatch area ID, from backbone area must be virtual-link but not found from 10.10.121.2, Tunnel2

И в принципе эту проблему наверняка удастся пофиксить запретом анонсов.

 

Но меня терзают смутные сомнения что на реальных железках это летать будет плохо, к томуже

у меня в одном из офисов (по веским причинам) предполагается что в интернет будут смотреть 2 роутера а линк между ними не может принадлежать сразу 2м area.

Изменено пользователем venara

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Растащите телефонию и данные по разным ospf-процессам. Схема будет проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Растащите телефонию и данные по разным ospf-процессам. Схема будет проще.

Поддержу.

 

+ отдельные виртуальные /30 стыки, тогда будет достаточно просто задрать ospf cost на резервных линках

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить.

 

Через все каналы не надо,

Смысл не в том чтобы просто передать пакеты(с этим 0 проблем),

а в том чтобы пакеты данных передать по тонелю IPSec

а голос по тонелю GRE без шифрования

Причем (главное условие) чтобы они ходили именно так и ни как иначе(требование службы безопасности).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить.

 

Через все каналы не надо,

Смысл не в том чтобы просто передать пакеты(с этим 0 проблем),

а в том чтобы пакеты данных передать по тонелю IPSec

а голос по тонелю GRE без шифрования

Причем (главное условие) чтобы они ходили именно так и ни как иначе(требование службы безопасности).

 

А вы добавьте правила change TTL + 1 и все будет ходить так как надо=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.