Добрый день люди добрые. Может кто подскажет.Есть Cisco 2801 (revision 7.0) with 235520K/26624K bytes of memory.
C2801-ADVSECURITYK9-M, Version 12.4(15)T9
Configuration register is 0x2102
У нее два было интерфейса (fa 0/0 - смотрит в локальную сеть, fa 0/1 - в интернет:
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ETH-LAN$$FW_INSIDE$
ip address 192.168.1.254 255.255.255.0
ip access-group sdm_fastethernet0/0_in in
no ip proxy-arp
ip nbar protocol-discovery
ip nat inside
ip virtual-reassembly
ip policy route-map route-select
duplex auto
speed auto
snmp ifindex persist
interface FastEthernet0/1
description Prov1$ETH-WAN$$FW_OUTSIDE$
ip address 88.188.8.188 255.255.255.252
ip access-group 101 in
no ip proxy-arp
ip inspect Prov1 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
snmp ifindex persist
Она является Dynamic Multipoint VPN Hub:
interface Tunnel0
bandwidth 8000
ip address 192.168.100.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1360
no ip split-horizon
delay 1000
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile SDM_Profile5
В филиалах тоже циски, которые являются DMVPN клиентами и имеют адреса из сети 192.168.100.0/24
К филиалам прописаны статические маршруты:
S 192.168.2.0/24 [1/0] via 192.168.100.7
S 192.168.3.0/24 [1/0] via 192.168.100.6
S 192.168.4.0/24 [1/0] via 192.168.100.5
и т.д.
Интернет от "первого" провайдера качественный (скорость и стабильность на высоком уровне), но лимитированный и откровенно говоря "недешёвый".
В связи с переходом на новую почтовую систему (а это подтягивание из филиалов серьёзных баз с письмами) и большими объемами "неприоритетного" Web трафика было решено подключиться ко "второму" провайдеру который дает безлимит по разумной цене.
Был куплен модуль HWIC.
interface FastEthernet0/3/0
description Prov2$FW_OUTSIDE$
ip address 99.199.99.198 255.255.255.252
ip access-group 112 in
no ip proxy-arp
ip inspect Prov2 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
Зарулить Web трафик на второго провайдера не составило труда. Сделано это было через route-map на внутреннем интерфейсе + нат на обоих интерфейсах.
Распишу как делал:
1) Вешаем NAT на оба интерфейса
route-map Prov1_NAT permit 10
match interface fa 0/1riute-map Prov2_NAT permit 10
match interface fa 0/3/0
ip nat inside source route-map Prov1_NAT interface fa 0/1 overload
ip nat inside source route-map Prov2_NAT interface fa 0/3/0 overload
2) Пишем ACL-ы которые "выцепляют" нужный трафик
Таких видов трафика два - первое: весь трафик на VPN сеть предприятия
access-list 104 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
Второе: Web трафик, который надо завернуть на второго провайдера, а также трафик до DNS серверов второго провайдера
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any 80
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any 443
access-list 102 permit ip 192.168.1.0 0.0.0.255 99.199.99.1
access-list 102 permit ip 192.168.1.0 0.0.0.255 99.199.190.1
3) Пишем route-map для "раскидывания трафика по интерфейсам"
route-map route-select permit 10
match ip address 104
set interface Tunnel0
!
route-map route-select permit 20
match ip address 102
set ip next-hop 85.234.23.145
4) Вешаю route-map на внутренний интерфейс
interface fa 0/0
ip policy route-map route-select
Важный момент! В таблице маршрутизации маршрут по умолчанию один - к маршрутизатору первого провайдера.
S* 0.0.0.0/0 [1/0] via 88.188.8.187
То есть все что не раскидано с помощью route-map route-select уходит через первого провайдера.
Первую часть задачи мы решили - web трафик завернули. http://myip.ru показывает ip-шник второго провайдера. Все ок.
Но осталась вторая часть задания - выкачать с филиалов много гигов файлов + подключить outlook-и к Exchange серверу так, чтобы трафик шел также через нового провайдера.
Тут напрашиваются варианты: поднять новые тунели, site-to-site VPN-ны либо что-то еще. НО!!!!!!
Все эти VPN-ы cisc-а устанавливает сама. А для того, чтобы достучаться до филиала у нее есть один маршрут - через первого провайдера.
Если я пишу ей второй маршрут по умолчанию (через второго провайдера) с той же административной дистанцией
ip route 0.0.0.0 0.0.0.0 88.188.8.187
то у меня отваливается вся Dynamic Multipoint VPN сеть.
Если я пишу маршрут по умолчанию с большей административной дистанцией
ip route 0.0.0.0 0.0.0.0 88.188.8.187 5
то в действующую таблицу маршрутизации он даже не попадает.
Отсюда дилема. Как через двух разных провайдеров интернет установить 2 разных VPN (здесь я подразумеваю некий защищенный канад передачи данных) до одного и того же филиала?
Ну а трафик раскинуть между двумя VPN думаю будет не проблемой (думаю здесь не смотря на то что сеть назначения одна опять придет на помощь route-map с избирательной политикой чего-куда).
Скажу сразу вариант "А повесь VPN hub на нового провайдера и не парься" не прокатит, так как между филиалами бегает ip-голос и решено, что он должен ходить через надежного провайдера, то бишь через первого.