Администрирование Cisco Автоматическое восстановление ezvpn (EasyVPN) туннеля при сбоях Sat, December 21 2024  

Поделиться

Нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


Автоматическое восстановление ezvpn (EasyVPN) туннеля при сбоях Печать
Добавил(а) microsin   

Всем известно, что VPN-туннели, проложенные через Internet, работают иногда неустойчиво по разным причинам. При сбое туннеля иногда приходится вручную сбрасывать сессии (вводить команду "clear crypto session"), или даже перезапускать роутер. Ниже приводится пример настройки, где используется технология SLA, позволяющий несколько автоматизировать процесс восстановления туннеля.

На примере роутера C871:

1. Указываем цель для посылки тестовых пакетов ping на IP a.b.239.254 (это роутер в другой удаленной точке, который будет доступен, если работает VPN):
ip sla 1
 icmp-echo a.b.239.254 source-interface Vlan1
 timeout 2000
 frequency 20

2. Запускаем SLA-задание:
ip sla schedule 1 life forever start-time now

3. Затрудняюсь сказать, для чего это, но нужно:
track 1 rtr 1
 delay down 10

4. Прописываем список команд, которые будут выполняться, когда ping на адрес a.b.239.254 не проходит:
event manager applet app-sla-1
 event track 1 state down
 action 1.0 cli command "enable"
 action 1.1 cli command "clear crypto isakmp"
 set 2.0 _exit_status 1

Просмотр случившихся событий:
router#show event manager history events
No.  Time of Event             Event Type    Name
1    Mon Jul 7  11:43:00 2008  track         applet: app-sla-1


Полная конфигурация роутера C871:
Using 4490 out of 131072 bytes
!
! Last configuration change at 13:49:39 SPB Fri Jun 27 2008 by admin
! NVRAM config last updated at 13:49:56 SPB Fri Jun 27 2008 by admin
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname C871-a.c.4.254
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 [...]
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone SPB 3
clock summer-time SPB recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip cef
!
!
ip telnet source-interface Vlan1
ip tftp source-interface Vlan1
no ip domain lookup
ip domain name domainnamehere.com
ip name-server x.y.193.80
ip name-server 192.168.10.4
ip name-server m.n.130.6
ip sla 1
 icmp-echo a.b.239.254 source-interface Vlan1
 timeout 2000
ip sla schedule 1 life forever start-time now
!
!
username user privilege 2 secret 5 [...]
username admin privilege 15 secret 5 [...]
!
!
track 1 rtr 1
 delay down 10
!
class-map match-any cm-voice
 match access-group name al-voice
!
!
policy-map pm-FA-4
  class class-default
  set precedence 5
policy-map pm-VLAN-1
  class cm-voice
!
!
crypto isakmp keepalive 20 10 periodic
!
!
crypto ipsec client ezvpn [crypto-ezvpn_name]
 connect auto
 group [easy-vpn_group] key [keyword-here]
 mode network-extension
 peer d.e.151.34
 peer f.g.195.77
 username [vpn-username] password 6 [password]
 xauth userid mode local
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 bandwidth 256
 ip address k.l.195.145 255.255.255.252
 ip access-group al-inet in
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 crypto ipsec client ezvpn [crypto-ezvpn_name]
 service-policy output pm-FA-4
!
interface Vlan1
 ip address a.c.4.254 255.255.255.0
 ip access-group al-vlan1 in
 no ip redirects
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 crypto ipsec client ezvpn [crypto-ezvpn_name] inside
 service-policy input pm-VLAN-1
!
ip classless
ip route 0.0.0.0 0.0.0.0 k.l.195.146
ip flow-export source Vlan1
ip flow-export version 5
ip flow-export destination a.b.225.50 9996
!
no ip http server
no ip http secure-server
ip nat inside source list al-nat interface FastEthernet4 overload
!
ip access-list extended al-inet
 permit tcp any any established
 permit ip i.j.24.0 0.0.0.31 any
 permit ip f.g.195.64 0.0.0.15 any
 permit ip d.e.151.32 0.0.0.15 any
 permit ip host k.l.195.146 any
ip access-list extended al-nat
 deny   ip a.c.4.0 0.0.0.255 a.0.0.0 0.255.255.255
 deny   ip a.c.4.0 0.0.0.255 192.168.0.0 0.0.255.255
 permit ip a.c.4.0 0.0.0.255 any
ip access-list extended al-vlan1
 permit tcp any any established
 permit ip any a.0.0.0 0.255.255.255
 permit ip any 192.168.0.0 0.0.255.255
 permit tcp any host x.y.203.211 eq 99
ip access-list extended al-voice
 remark -----------------------------
 remark ----Nortel_VoIP_traffic------
 permit tcp any any range 1720 1721
 permit udp any any eq 1718
 permit udp any any eq 1719
 permit udp any any eq 4100
 permit udp any any eq 5100
 permit udp any any eq 7300
 permit udp any any eq 5105
 permit udp any any range 5200 5262
 permit udp any any eq 5000
 permit udp any any eq 15000
 permit udp any any range 17300 17363
 permit udp any any range 2001 2002
 permit udp any any range 2300 2363
 permit udp any range 5000 5201 any
 permit udp any any range 16384 32768
 permit udp any any eq 10000
 remark -----------------------------
 remark ----Nortel_VoIP_traffic------
 remark -----------------------------
!
logging a.b.225.60
snmp-server community [read-only-commynity-passw] RO
snmp-server enable traps tty
!
control-plane
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 15 0
!
scheduler max-task-time 5000
ntp clock-period 17207766
ntp server a.b.239.254 source Vlan1
event manager applet app-sla-1
 event track 1 state down
 action 1.0 cli command "enable"
 action 1.1 cli command "clear crypto isakmp"
 set 2.0 _exit_status 1
!
end
 

Комментарии  

 
0 #2 microsin 06.11.2008 12:56
Хорошие вопросы, на которые ответа у меня нет. Наверное, пора завести раздел на сайте раздел "Вопросы без ответа" или "Что бы я хотел узнать".
Цитировать
 
 
0 #1 ComPAS 05.11.2008 20:32
1. Больше интересно, что нужно сделать для того, чтобы такие "подвисания" тоннелей не возникали вообще, т.к. даже при настроенном keepalive пакеты DPD нормально ходят и peer определяется как живой в то время, как роутинг в тоннель отсутствует до тех пор, пока не сделаешь cle cry se. :-?
2. Как настроить шифрованный тоннель так, чтобы при кратковременных перебоях связи тоннель не обрывался и не начинал заново инициализацию канала. Есть большая потребность в оставлении канала живым при таких перебоях, т.к. специализирован ный софт тянет по каналу огромный файл, а функцию докачки не поддерживает в принципе - огромный перерасход трафика и зачастую невозможно скачать вообще, т.к. после обрывов связи файл начинает закачиваться заново.
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Top of Page