Всем известно, что VPN-туннели, проложенные через Internet, работают иногда неустойчиво по разным причинам. При сбое туннеля иногда приходится вручную сбрасывать сессии (вводить команду "clear crypto session"), или даже перезапускать роутер. Ниже приводится пример настройки, где используется технология SLA, позволяющий несколько автоматизировать процесс восстановления туннеля.
На примере роутера C871:
1. Указываем цель для посылки тестовых пакетов ping на IP a.b.239.254 (это роутер в другой удаленной точке, который будет доступен, если работает VPN):
ip sla 1
icmp-echo a.b.239.254 source-interface Vlan1
timeout 2000
frequency 20
2. Запускаем SLA-задание:
ip sla schedule 1 life forever start-time now
3. Затрудняюсь сказать, для чего это, но нужно:
track 1 rtr 1
delay down 10
4. Прописываем список команд, которые будут выполняться, когда ping на адрес a.b.239.254 не проходит:
event manager applet app-sla-1
event track 1 state down
action 1.0 cli command "enable"
action 1.1 cli command "clear crypto isakmp"
set 2.0 _exit_status 1
Просмотр случившихся событий:
router#show event manager history events
No. Time of Event Event Type Name
1 Mon Jul 7 11:43:00 2008 track applet: app-sla-1
Полная конфигурация роутера C871:
Using 4490 out of 131072 bytes
!
! Last configuration change at 13:49:39 SPB Fri Jun 27 2008 by admin
! NVRAM config last updated at 13:49:56 SPB Fri Jun 27 2008 by admin
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname C871-a.c.4.254
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 [...]
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone SPB 3
clock summer-time SPB recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip cef
!
!
ip telnet source-interface Vlan1
ip tftp source-interface Vlan1
no ip domain lookup
ip domain name domainnamehere.com
ip name-server x.y.193.80
ip name-server 192.168.10.4
ip name-server m.n.130.6
ip sla 1
icmp-echo a.b.239.254 source-interface Vlan1
timeout 2000
ip sla schedule 1 life forever start-time now
!
!
username user privilege 2 secret 5 [...]
username admin privilege 15 secret 5 [...]
!
!
track 1 rtr 1
delay down 10
!
class-map match-any cm-voice
match access-group name al-voice
!
!
policy-map pm-FA-4
class class-default
set precedence 5
policy-map pm-VLAN-1
class cm-voice
!
!
crypto isakmp keepalive 20 10 periodic
!
!
crypto ipsec client ezvpn [crypto-ezvpn_name]
connect auto
group [easy-vpn_group] key [keyword-here]
mode network-extension
peer d.e.151.34
peer f.g.195.77
username [vpn-username] password 6 [password]
xauth userid mode local
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
bandwidth 256
ip address k.l.195.145 255.255.255.252
ip access-group al-inet in
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto ipsec client ezvpn [crypto-ezvpn_name]
service-policy output pm-FA-4
!
interface Vlan1
ip address a.c.4.254 255.255.255.0
ip access-group al-vlan1 in
no ip redirects
ip nat inside
ip virtual-reassembly
ip route-cache flow
crypto ipsec client ezvpn [crypto-ezvpn_name] inside
service-policy input pm-VLAN-1
!
ip classless
ip route 0.0.0.0 0.0.0.0 k.l.195.146
ip flow-export source Vlan1
ip flow-export version 5
ip flow-export destination a.b.225.50 9996
!
no ip http server
no ip http secure-server
ip nat inside source list al-nat interface FastEthernet4 overload
!
ip access-list extended al-inet
permit tcp any any established
permit ip i.j.24.0 0.0.0.31 any
permit ip f.g.195.64 0.0.0.15 any
permit ip d.e.151.32 0.0.0.15 any
permit ip host k.l.195.146 any
ip access-list extended al-nat
deny ip a.c.4.0 0.0.0.255 a.0.0.0 0.255.255.255
deny ip a.c.4.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip a.c.4.0 0.0.0.255 any
ip access-list extended al-vlan1
permit tcp any any established
permit ip any a.0.0.0 0.255.255.255
permit ip any 192.168.0.0 0.0.255.255
permit tcp any host x.y.203.211 eq 99
ip access-list extended al-voice
remark -----------------------------
remark ----Nortel_VoIP_traffic------
permit tcp any any range 1720 1721
permit udp any any eq 1718
permit udp any any eq 1719
permit udp any any eq 4100
permit udp any any eq 5100
permit udp any any eq 7300
permit udp any any eq 5105
permit udp any any range 5200 5262
permit udp any any eq 5000
permit udp any any eq 15000
permit udp any any range 17300 17363
permit udp any any range 2001 2002
permit udp any any range 2300 2363
permit udp any range 5000 5201 any
permit udp any any range 16384 32768
permit udp any any eq 10000
remark -----------------------------
remark ----Nortel_VoIP_traffic------
remark -----------------------------
!
logging a.b.225.60
snmp-server community [read-only-commynity-passw] RO
snmp-server enable traps tty
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 15 0
!
scheduler max-task-time 5000
ntp clock-period 17207766
ntp server a.b.239.254 source Vlan1
event manager applet app-sla-1
event track 1 state down
action 1.0 cli command "enable"
action 1.1 cli command "clear crypto isakmp"
set 2.0 _exit_status 1
!
end |
Комментарии
2. Как настроить шифрованный тоннель так, чтобы при кратковременных перебоях связи тоннель не обрывался и не начинал заново инициализацию канала. Есть большая потребность в оставлении канала живым при таких перебоях, т.к. специализирован ный софт тянет по каналу огромный файл, а функцию докачки не поддерживает в принципе - огромный перерасход трафика и зачастую невозможно скачать вообще, т.к. после обрывов связи файл начинает закачиваться заново.
RSS лента комментариев этой записи