Имеем вырожденный случай предыдущей задачи: центральный офис (CO) и набор дополнительных офисов (DO). Каждый из них подключен к Internet, в каждом DO есть основной канал Internet и резервный. В качестве пограничных маршрутизаторов и со стороны CO (CO-ASA) и со стороны DO (DO-ASA) выступают Cisco ASA v8.4.
Необходимо обеспечить маршрутизацию трафика между офисными сетями CO (192.168.2.0/24, 192.168.7.0/24) и DO (192.168.1.0/24) посредством IPSec VPN с обеспечением резервирования. Т.е. в случае отказа основного канал Internet в одном из DO должно происходить автоматическое переключение на резервный.
По сравнению с предыдущим случаем, данная схема реализуется намного проще. Начнем с настроек IPSec VPN.
CO-ASA:
!
object network obj-do-lan
subnet 192.168.1.0 255.255.255.0
object-group network obj-local-lan
network-object 192.168.2.0 255.255.255.0
network-object 192.168.7.0 255.255.255.0
!
access-list vpn_access extended permit ip object-group obj-local-lan object obj-do-lan
!
crypto ipsec ikev1 transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address vpn_access
crypto map co-vpn 1 set pfs
crypto map co-vpn 1 set peer 172.16.1.1 172.17.1.1
crypto map co-vpn 1 set ikev1 transform-set vpn-set
crypto map co-vpn interface wan
crypto ikev1 enable wan
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
tunnel-group 172.16.1.1 type ipsec-l2l
tunnel-group 172.16.1.1 ipsec-attributes
ikev1 pre-shared-key INo8YKu4xrYDwk1TWpKuHBiB023PC1LP
tunnel-group 172.17.1.1 type ipsec-l2l
tunnel-group 172.17.1.1 ipsec-attributes
ikev1 pre-shared-key INo8YKu4xrYDwk1TWpKuHBiB023PC1LP
!
DO-ASA:
!
object network obj-local-lan
subnet 192.168.1.0 255.255.255.0
object-group network obj-co-lan
network-object 192.168.2.0 255.255.255.0
network-object 192.168.7.0 255.255.255.0
!
access-list vpn_access extended permit ip object obj-local-lan object-group obj-co-lan
!
nat (lan,wan1) source static obj-local-lan obj-local-lan destination static obj-co-lan obj-co-lan
nat (lan,wan2) source static obj-local-lan obj-local-lan destination static obj-co-lan obj-co-lan
!
crypto ipsec ikev1 transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address vpn_access
crypto map co-vpn 1 set pfs
crypto map co-vpn 1 set peer 198.18.131.2
crypto map co-vpn 1 set ikev1 transform-set vpn-set
crypto map co-vpn interface wan1
crypto map co-vpn interface wan2
crypto ikev1 enable wan1
crypto ikev1 enable wan2
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
tunnel-group 198.18.131.2 type ipsec-l2l
tunnel-group 198.18.131.2 ipsec-attributes
ikev1 pre-shared-key INo8YKu4xrYDwk1TWpKuHBiB023PC1LP
!
В этот раз два peer’а для IPSec VPN прописывается на CO-ASA: «crypto map co-vpn 1 set peer 172.16.1.1 172.17.1.1». На плечи же DO-ASA ложится задача по мониторингу работоспособности каналов Internet и переключению с одного на другой. Для этих целей используется функционал «sla monitor»:
!
route wan1 0.0.0.0 0.0.0.0 172.16.1.2 1 track 1
route wan2 0.0.0.0 0.0.0.0 172.17.1.2 2
!
sla monitor 1
type echo protocol ipIcmpEcho 198.18.131.2 interface wan1
num-packets 3
request-data-size 100
threshold 2500
sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!
Таким образом, обеспечивается автоматическое переключение IPSec VPN с основного канала на резервный и обратно.
Архив с полными конфигами оборудования.
0 Комментарии。