forum.opennet.ru - "cisco ASA VPN (два майн сайта и много отделений)" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"cisco ASA VPN (два майн сайта и много отделений)"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"cisco ASA VPN (два майн сайта и много отделений)"	+/–
Сообщение от Евгений (??) on 31-Июл-12, 11:19
Привет народ. Подскажите, как грамотно реализовать задачу. Есть два головных Офиса (расположены в разных городах) и куча отделений по всей стране. На данный момент в каждом головном офисе есть cisco asa 5520, а на отделениях asa 5505, которые подключаются только к одному офису по Easy VPN. Необходимо организовать резервирование, на случай полного выхода из строя основного офиса. (Чтобы все отделения автоматом перешли на второй офис). Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае дизастера) перенаправить весь трафик отделений через другой регион? В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, к сожалению не поддерживает gre)
Ответить \| Правка \| Cообщить модератору

Оглавление

cisco ASA VPN (два майн сайта и много отделений), Николай, 11:59 , 31-Июл-12, (1)

cisco ASA VPN (два майн сайта и много отделений), Евгений, 12:08 , 31-Июл-12, (2)

cisco ASA VPN (два майн сайта и много отделений), Николай, 16:34 , 31-Июл-12, (3)

cisco ASA VPN (два майн сайта и много отделений), Евгений, 17:00 , 31-Июл-12, (4)

cisco ASA VPN (два майн сайта и много отделений), Николай, 17:21 , 31-Июл-12, (5)

cisco ASA VPN (два майн сайта и много отделений), Евгений, 17:23 , 31-Июл-12, (6)

cisco ASA VPN (два майн сайта и много отделений), m0ps, 11:50 , 21-Авг-12, (7)

cisco ASA VPN (два майн сайта и много отделений), Николай, 13:01 , 21-Авг-12, (8)

cisco ASA VPN (два майн сайта и много отделений), m0ps, 13:23 , 21-Авг-12, (9)

cisco ASA VPN (два майн сайта и много отделений), Николай, 13:30 , 21-Авг-12, (10)

cisco ASA VPN (два майн сайта и много отделений), GolDi, 13:53 , 21-Авг-12, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Николай (??) on 31-Июл-12, 11:59

>[оверквотинг удален]
> На данный момент в каждом головном офисе есть cisco asa 5520, а
> на отделениях asa 5505, которые подключаются только к одному офису по
> Easy VPN.
> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса.
> (Чтобы все отделения автоматом перешли на второй офис).
> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
> дизастера) перенаправить весь трафик отделений через другой регион?
> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
> к сожалению не поддерживает gre)
Аналога с GRE нет и скорее всего в ближайшее время не будет. Динамическую маршрутизацию в отделение вы тоже не дотяните. Единственное что можно сделать это реверс роуты да и то только на центральный АСЕ и их потом анонсить в динамику. Для ВПН наиболее рабочий вариант Eazy VPN (обратите внимание рабочий, а не удачный) в настройках можно прописать основной/бекапный Eazy VPN АСА концентротор. Но все равно все это унылое .... поскольку при попадании канала и перестройке отделения на резерв основная АСА анонсит дохлых маршрут
к отделению через себя а бекап через себя и тут работоспособность зависит от кармы космических лучей и т.д. :)
Почему так скептически пишу - работал в конторе где по такой схеме терминировалось 213 отделений - вспоминаю со слезами на глазах. Технология хороша для мобильных работников и прочих юзерских окончаний но никак не бранчей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Евгений (??) on 31-Июл-12, 12:08

Николай, больше спасибо.
Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования ASA VPN для подключений офисов и использовать решения на основе, например MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Николай (??) on 31-Июл-12, 16:34

> Николай, больше спасибо.
> Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования
> ASA VPN для подключений офисов и использовать решения на основе, например
> MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?
Опять же моё субъективное мнение - мне очень нравиться технология DMVPN в силу того что бранчи могут стоять за НАТ иметь серый динамический ИП плюс динамически простраиваемые тунели между бранчами (опционально, кому надо). Для вашей схемы поднять два независимых DMVPN хаба и с каждого спока построить 2 тунеля. Хабы подружить между собой динамикой, споки застабить и нарисуется отличная схема резервированием. MPLS - я так понял вы говорите о окончании которое подает вам провайдер.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Евгений (??) on 31-Июл-12, 17:00

>[оверквотинг удален]
>> Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования
>> ASA VPN для подключений офисов и использовать решения на основе, например
>> MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?
> Опять же моё субъективное мнение - мне очень нравиться технология DMVPN в
> силу того что бранчи могут стоять за НАТ иметь серый динамический
> ИП плюс динамически простраиваемые тунели между бранчами (опционально, кому надо). Для
> вашей схемы поднять два независимых DMVPN хаба и с каждого спока
> построить 2 тунеля. Хабы подружить между собой динамикой, споки застабить и
> нарисуется отличная схема резервированием. MPLS - я так понял вы говорите
> о окончании которое подает вам провайдер.
DMVPN на сколько я знаю не поддерживается cisco ASA... Хотя могу и ошибаться, нужно почитать документацию. Но сама технология конечно хорошая.
C MPLS все верно. Провайдер подает окончание и отделение включается в общий MPLS Circuit. Но это потребует конечно серьезных затрат на сами каналы.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Николай (??) on 31-Июл-12, 17:21

> DMVPN на сколько я знаю не поддерживается cisco ASA... Хотя могу и
> ошибаться, нужно почитать документацию. Но сама технология конечно хорошая.
> C MPLS все верно. Провайдер подает окончание и отделение включается в общий
> MPLS Circuit. Но это потребует конечно серьезных затрат на сами каналы.
Да вы правы DMVPN это для роутеров.
Как вариант можно рассмотреть Dynamic VPN, но как по мне Eazy VPN более гибкое решение. В общем ничего нового я не расскажу - выбор за вами :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Евгений (??) on 31-Июл-12, 17:23

Будем думать. Большое спасибо :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от m0ps (ok) on 21-Авг-12, 11:50

>[оверквотинг удален]
> На данный момент в каждом головном офисе есть cisco asa 5520, а
> на отделениях asa 5505, которые подключаются только к одному офису по
> Easy VPN.
> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса.
> (Чтобы все отделения автоматом перешли на второй офис).
> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
> дизастера) перенаправить весь трафик отделений через другой регион?
> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
> к сожалению не поддерживает gre)
может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec vpn просто указав в бранчах для криптомапов 2 пира и матчить адреса подсетей обоих головных офисов?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Николай (??) on 21-Авг-12, 13:01

>[оверквотинг удален]
>> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса.
>> (Чтобы все отделения автоматом перешли на второй офис).
>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
>> дизастера) перенаправить весь трафик отделений через другой регион?
>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
>> к сожалению не поддерживает gre)
> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec
> vpn просто указав в бранчах для криптомапов 2 пира и матчить
> адреса подсетей обоих головных офисов?
site-to-site vpn  не поддерживает мультикаст, а динамика строиться на нем, да и некоторые другие полезные фенечки будут при данном варианте отсутствовать.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от m0ps (ok) on 21-Авг-12, 13:23

>[оверквотинг удален]
>>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
>>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
>>> дизастера) перенаправить весь трафик отделений через другой регион?
>>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
>>> к сожалению не поддерживает gre)
>> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec
>> vpn просто указав в бранчах для криптомапов 2 пира и матчить
>> адреса подсетей обоих головных офисов?
> site-to-site vpn  не поддерживает мультикаст, а динамика строиться на нем, да
> и некоторые другие полезные фенечки будут при данном варианте отсутствовать.
а зачем динамика топикстартеру? насколько я понял, он просто как один из вариантов решения задачи упоминал о динамике.
что еще да полезные фенечки, которых L2L не поддерживает (я не в сравнении с DMVPN)?
просто если у ТС уже есть куча ас, то выкидывать их для того что бы строить DMVPN - как-то слишком расточительно (я не отговариваю, и если есть фин возможность - вполне логичный и правильный шаг в плане простоты настройки и масштабируемости распределенной сети, ходя добавится головняка с ACL-ами)
или нужна связанность между бранчами?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от Николай (??) on 21-Авг-12, 13:30

спросите у топикстартера :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "cisco ASA VPN (два майн сайта и много отделений)" +/–

Сообщение от GolDi (??) on 21-Авг-12, 13:53

>[оверквотинг удален]
>>> (Чтобы все отделения автоматом перешли на второй офис).
>>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой
>>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае
>>> дизастера) перенаправить весь трафик отделений через другой регион?
>>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA,
>>> к сожалению не поддерживает gre)
>> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec
>> vpn просто указав в бранчах для криптомапов 2 пира и матчить
>> адреса подсетей обоих головных офисов?
> site-to-site vpn  не поддерживает мультикаст, а динамика строиться на нем,
   eigrp может и на unicaste работать
> и некоторые другие полезные фенечки будут при данном варианте отсутствовать.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
Сообщение от Николай (??) on 31-Июл-12, 11:59
>[оверквотинг удален] > На данный момент в каждом головном офисе есть cisco asa 5520, а > на отделениях asa 5505, которые подключаются только к одному офису по > Easy VPN. > Необходимо организовать резервирование, на случай полного выхода из строя основного офиса. > (Чтобы все отделения автоматом перешли на второй офис). > Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой > задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае > дизастера) перенаправить весь трафик отделений через другой регион? > В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, > к сожалению не поддерживает gre) Аналога с GRE нет и скорее всего в ближайшее время не будет. Динамическую маршрутизацию в отделение вы тоже не дотяните. Единственное что можно сделать это реверс роуты да и то только на центральный АСЕ и их потом анонсить в динамику. Для ВПН наиболее рабочий вариант Eazy VPN (обратите внимание рабочий, а не удачный) в настройках можно прописать основной/бекапный Eazy VPN АСА концентротор. Но все равно все это унылое .... поскольку при попадании канала и перестройке отделения на резерв основная АСА анонсит дохлых маршрут к отделению через себя а бекап через себя и тут работоспособность зависит от кармы космических лучей и т.д. :) Почему так скептически пишу - работал в конторе где по такой схеме терминировалось 213 отделений - вспоминаю со слезами на глазах. Технология хороша для мобильных работников и прочих юзерских окончаний но никак не бранчей.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Евгений (??) on 31-Июл-12, 12:08
	Николай, больше спасибо. Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования ASA VPN для подключений офисов и использовать решения на основе, например MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Николай (??) on 31-Июл-12, 16:34
	> Николай, больше спасибо. > Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования > ASA VPN для подключений офисов и использовать решения на основе, например > MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)? Опять же моё субъективное мнение - мне очень нравиться технология DMVPN в силу того что бранчи могут стоять за НАТ иметь серый динамический ИП плюс динамически простраиваемые тунели между бранчами (опционально, кому надо). Для вашей схемы поднять два независимых DMVPN хаба и с каждого спока построить 2 тунеля. Хабы подружить между собой динамикой, споки застабить и нарисуется отличная схема резервированием. MPLS - я так понял вы говорите о окончании которое подает вам провайдер.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Евгений (??) on 31-Июл-12, 17:00
	>[оверквотинг удален] >> Т.е. на ваш взгляд имеет смысл (в глобальном масштабе) отойти от использования >> ASA VPN для подключений офисов и использовать решения на основе, например >> MPLS (ессно при возможности подключения отделений напрямую в облако провайдера VPN)? > Опять же моё субъективное мнение - мне очень нравиться технология DMVPN в > силу того что бранчи могут стоять за НАТ иметь серый динамический > ИП плюс динамически простраиваемые тунели между бранчами (опционально, кому надо). Для > вашей схемы поднять два независимых DMVPN хаба и с каждого спока > построить 2 тунеля. Хабы подружить между собой динамикой, споки застабить и > нарисуется отличная схема резервированием. MPLS - я так понял вы говорите > о окончании которое подает вам провайдер. DMVPN на сколько я знаю не поддерживается cisco ASA... Хотя могу и ошибаться, нужно почитать документацию. Но сама технология конечно хорошая. C MPLS все верно. Провайдер подает окончание и отделение включается в общий MPLS Circuit. Но это потребует конечно серьезных затрат на сами каналы.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Николай (??) on 31-Июл-12, 17:21
	> DMVPN на сколько я знаю не поддерживается cisco ASA... Хотя могу и > ошибаться, нужно почитать документацию. Но сама технология конечно хорошая. > C MPLS все верно. Провайдер подает окончание и отделение включается в общий > MPLS Circuit. Но это потребует конечно серьезных затрат на сами каналы. Да вы правы DMVPN это для роутеров. Как вариант можно рассмотреть Dynamic VPN, но как по мне Eazy VPN более гибкое решение. В общем ничего нового я не расскажу - выбор за вами :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Евгений (??) on 31-Июл-12, 17:23
	Будем думать. Большое спасибо :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
Сообщение от m0ps (ok) on 21-Авг-12, 11:50
>[оверквотинг удален] > На данный момент в каждом головном офисе есть cisco asa 5520, а > на отделениях asa 5505, которые подключаются только к одному офису по > Easy VPN. > Необходимо организовать резервирование, на случай полного выхода из строя основного офиса. > (Чтобы все отделения автоматом перешли на второй офис). > Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой > задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае > дизастера) перенаправить весь трафик отделений через другой регион? > В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, > к сожалению не поддерживает gre) может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec vpn просто указав в бранчах для криптомапов 2 пира и матчить адреса подсетей обоих головных офисов?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Николай (??) on 21-Авг-12, 13:01
	>[оверквотинг удален] >> Необходимо организовать резервирование, на случай полного выхода из строя основного офиса. >> (Чтобы все отделения автоматом перешли на второй офис). >> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой >> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае >> дизастера) перенаправить весь трафик отделений через другой регион? >> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, >> к сожалению не поддерживает gre) > может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec > vpn просто указав в бранчах для криптомапов 2 пира и матчить > адреса подсетей обоих головных офисов? site-to-site vpn не поддерживает мультикаст, а динамика строиться на нем, да и некоторые другие полезные фенечки будут при данном варианте отсутствовать.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от m0ps (ok) on 21-Авг-12, 13:23
	>[оверквотинг удален] >>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой >>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае >>> дизастера) перенаправить весь трафик отделений через другой регион? >>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, >>> к сожалению не поддерживает gre) >> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec >> vpn просто указав в бранчах для криптомапов 2 пира и матчить >> адреса подсетей обоих головных офисов? > site-to-site vpn не поддерживает мультикаст, а динамика строиться на нем, да > и некоторые другие полезные фенечки будут при данном варианте отсутствовать. а зачем динамика топикстартеру? насколько я понял, он просто как один из вариантов решения задачи упоминал о динамике. что еще да полезные фенечки, которых L2L не поддерживает (я не в сравнении с DMVPN)? просто если у ТС уже есть куча ас, то выкидывать их для того что бы строить DMVPN - как-то слишком расточительно (я не отговариваю, и если есть фин возможность - вполне логичный и правильный шаг в плане простоты настройки и масштабируемости распределенной сети, ходя добавится головняка с ACL-ами) или нужна связанность между бранчами?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от Николай (??) on 21-Авг-12, 13:30
	спросите у топикстартера :)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "cisco ASA VPN (два майн сайта и много отделений)"	+/–
	Сообщение от GolDi (??) on 21-Авг-12, 13:53
	>[оверквотинг удален] >>> (Чтобы все отделения автоматом перешли на второй офис). >>> Ну и собственно вопрос, какой тип VPNа подойдет лучше всего для этой >>> задачи и как организовать динамическую маршрутизацию, чтобы внутри сети (в случае >>> дизастера) перенаправить весь трафик отделений через другой регион? >>> В идеале хотелось бы получить аналог gre туннелей с eigrp внутри. (ASA, >>> к сожалению не поддерживает gre) >> может я в чем-то ошибаюсь, но разве нельзя построить обыкновенный L2L ipsec >> vpn просто указав в бранчах для криптомапов 2 пира и матчить >> адреса подсетей обоих головных офисов? > site-to-site vpn не поддерживает мультикаст, а динамика строиться на нем, eigrp может и на unicaste работать > и некоторые другие полезные фенечки будут при данном варианте отсутствовать.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору