venara Опубликовано 11 апреля, 2013 (изменено) · Жалоба Здравствуйте уважаемые коллеги, подскажите пожалуйста как лучше построить следующую схему - Имеются 2 офиса, Они связаны (через своих провайдеров) по VPN на роутерах cisco 28xx, при чем построено 2 тонеля: GRE - для VoIP IpSec - для данных Трафик разруливается по тонелям через статический route-map Сейчас в офисах закуплены резервные каналы выхода в интернет возникла задача автоматического переключения. Соответственнно при падении первого канала VoIP трафик должен пойти по резервному GRE, а данные по резервному IpSec. Технологию SLA использовать не хочу, хочется более изящное решение, к тому же в офисах несколько локальных подсетей, и на подходе 3й офис а в перспективе может быть и 4й, в связи с чем использование протокола динамической маршрутизации весьма уместно. Пробовал использовать OSPF с развдением VoIP и IpSec тонелей по разным Area - решение не жизнеспособное. Есть вариант создания между офисами L2 тонелей с резервированием по STP, но я сомневаюсь в успехе. Если кто ни будь реализовал подобную схему, возможно с MPLS поделитесь пожалуйста общей методикой. Изменено 11 апреля, 2013 пользователем venara Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 11 апреля, 2013 · Жалоба traffic engineering Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grid Опубликовано 11 апреля, 2013 · Жалоба Голос принципиально не шифруете? Так было бы намного проще. Можно использовать VTI и резервирование с помощью ospf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
venara Опубликовано 11 апреля, 2013 · Жалоба Голос шифровать пробовал, причем легко:DES, на роутере 2811 с платой k9 на 1м канале 10 мбит стабильная загрузко 40% с периодическими пиками в 100% и жалобами пользователей на тормоза в сети. Думаю что это по причине шифрования голосового трафика состоящего из множества мелких пакетов. Закупленный второй канал 100 мбит (который станет основным), страшно даже подумать... VTI резервирование - Вы видемо имеете в виду QoS резервирование полосы пропускания под голос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
venara Опубликовано 11 апреля, 2013 · Жалоба traffic engineering - С MPLS знаком мало но пожалуй это то что нужно, спасибо большое. Поизучаю вопрос напишу как прошло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grid Опубликовано 11 апреля, 2013 · Жалоба VTI резервирование - Вы видемо имеете в виду QoS резервирование полосы пропускания под голос? VTI это динамические туннели. Если не шифровать голос, то придётся его отделять от данных, а это лишние телодвижения. Но в любом случае у вас все решается через туннели и ospf. MPLS TE избыточно и вроде как на 2800 серии неосуществимо. И у вас именно 2811 HSEC/K9? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 11 апреля, 2013 · Жалоба какой нафиг TE под такую задачу? OSPF / EIGRP решит ваши проблемы. обьясните что у вас с OSPF не работало? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
venara Опубликовано 12 апреля, 2013 (изменено) · Жалоба VTI это динамические туннели. Если не шифровать голос, то придётся его отделять от данных, а это лишние телодвижения. Но в любом случае у вас все решается через туннели и ospf. MPLS TE избыточно и вроде как на 2800 серии неосуществимо. И у вас именно 2811 HSEC/K9? С одной стороны 2811 с другой 2821 с NAME: "Virtual Private Network (VPN) Module on Slot 0", DESCR: "Encryption AIM Element" PID: AIM-VPN/SSL-2 , VID: V01, SN: При этом на 2821 - Это на заявленных провайдером 10мбит, реально по тесту iperf менее 5мбит Изменено 12 апреля, 2013 пользователем venara Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
venara Опубликовано 12 апреля, 2013 (изменено) · Жалоба какой нафиг TE под такую задачу? OSPF / EIGRP решит ваши проблемы. обьясните что у вас с OSPF не работало? Теоретически разрулить потоки с помощью OSPF можно только если анонсировать VoIP сети и сети данных по разным area, соответственно приоритет маршрутизации в пределах 1й ареа будет выше трафик пойдет как надо. На такой схеме даже работает Таблица маршрутизации и трасировка пакетов выполняется правильно (если цена всех маршрутов одинаковая иначе пакеты идут по более дешовому пути), но массово на обоих роутерах сыпятся ошибки *Mar 1 00:42:13.235: %OSPF-4-ERRRCV: Received invalid packet: mismatch area ID, from backbone area must be virtual-link but not found from 10.10.121.2, Tunnel2 И в принципе эту проблему наверняка удастся пофиксить запретом анонсов. Но меня терзают смутные сомнения что на реальных железках это летать будет плохо, к томуже у меня в одном из офисов (по веским причинам) предполагается что в интернет будут смотреть 2 роутера а линк между ними не может принадлежать сразу 2м area. Изменено 12 апреля, 2013 пользователем venara Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grid Опубликовано 12 апреля, 2013 · Жалоба Растащите телефонию и данные по разным ospf-процессам. Схема будет проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 апреля, 2013 · Жалоба Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 12 апреля, 2013 · Жалоба Растащите телефонию и данные по разным ospf-процессам. Схема будет проще. Поддержу. + отдельные виртуальные /30 стыки, тогда будет достаточно просто задрать ospf cost на резервных линках Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
venara Опубликовано 12 апреля, 2013 · Жалоба Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить. Через все каналы не надо, Смысл не в том чтобы просто передать пакеты(с этим 0 проблем), а в том чтобы пакеты данных передать по тонелю IPSec а голос по тонелю GRE без шифрования Причем (главное условие) чтобы они ходили именно так и ни как иначе(требование службы безопасности). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 апреля, 2013 · Жалоба Сделайте одну area и создайте на каждом роутере отдельные подсети для телефонии. Тогда трафик сразу через все каналы пойдет и можете пропускную способность удвоить. Через все каналы не надо, Смысл не в том чтобы просто передать пакеты(с этим 0 проблем), а в том чтобы пакеты данных передать по тонелю IPSec а голос по тонелю GRE без шифрования Причем (главное условие) чтобы они ходили именно так и ни как иначе(требование службы безопасности). А вы добавьте правила change TTL + 1 и все будет ходить так как надо=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...