Объединение сетей двумя тоннелями на Cisco 1921

@pervov-maksim · Регистрация: 19.02.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Есть задача объединить две удаленных сети через мобильную и спутниковую связь.
На обеих сторонах присутствует идентичное оборудование:
Канал 1 (основной): Спутниковый модем-маршрутизатор (статический белый IP адрес)
Канал 2 (резервный): GSM модем (статический белый IP адрес)
Маршрутизатор Cisco 1921

Задача: обеспечить резервированный Ipsec-канал связи между сторонами А и В, при этом спутниковый канал связи - основной, GSM – резервный.
Какие технологии оптимально применить в данной задаче?
Есть мысли поднять два GRE тоннеля, применить к ним шифрование Ipsec. Не совсем понятно как обеспечить отказоустойчивость, т.е. переключение на резервный канал в случае сбоя основного.
Заранее благодарю за направление мыслей в нужную сторону.

@MonaxGT · 19.02.2016, 18:06

pervov-maksim, настроить 2 пира в crypto-map, при обрыве одного - второй установится
Настроить ip sla

@sputnik21 · 28.03.2016, 17:47

MonaxGT, IP SLA необходимо настраивать на обоих роутерах?

@Rayrik · 28.03.2016, 18:51

Проще будет поднять 2 GRE, вместо Crypto-map использовать Tunnel protection и настроить Dynamic routing (OSPF,BGP, EIGRP).

@hucker91 · 29.03.2016, 06:49

У меня стоит crypto-map с ip sla....все очень замечательно работает...если хотите могу скинут проект....

@corlovito · 29.03.2016, 08:43

Сообщение от hucker91

если хотите могу скинут проект

хотим

@hucker91 · 29.03.2016, 08:54

Кликните здесь для просмотра всего текста

R1
sdfasdfasdfasf

@hucker91 · 29.03.2016, 09:17

Объединение сетей двумя тоннелями на Cisco 1921

R1:

Objective-C    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp key ciscocisco address 10.10.10.2
crypto isakmp key cisco address 20.20.20.2
!
!
crypto ipsec transform-set CISCO esp-3des esp-sha-hmac
!
crypto map nazemniy 10 ipsec-isakmp
 set peer 10.10.10.2
 set transform-set CISCO
 set pfs group5
 match address acl_sputnik
!
crypto map sputnik 10 ipsec-isakmp
 set peer 20.20.20.2
 set transform-set CISCO
 set pfs group5
 match address acl_sputnik
!
!
!
!
track 1 rtr 1 reachability
 delay down 11
!
!
!
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.252
 duplex auto
 speed auto
 crypto map nazemniy
!
interface FastEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
 
!
interface Serial0/2
 ip address 20.20.20.1 255.255.255.252
 ip route-cache flow
 clock rate 2000000
 crypto map sputnik
!
ip route 192.168.2.0 255.255.255.0 10.10.10.2 2 track 1
ip route 192.168.2.0 255.255.255.0 20.20.20.2 3
!
ip access-list extended acl_sputnik
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 
!
ip sla 1
 icmp-echo 10.10.10.2
 frequency 10

R2:

Objective-C    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp key ciscocisco address 10.10.10.1
crypto isakmp key cisco address 20.20.20.1
!
!
crypto ipsec transform-set CISCO esp-3des esp-sha-hmac
!
crypto map nazemniy 10 ipsec-isakmp
 set peer 10.10.10.1
 set transform-set CISCO
 set pfs group5
 match address acl_sputnik
!
crypto map sputnik 10 ipsec-isakmp
 set peer 20.20.20.1
 set transform-set CISCO
 set pfs group5
 match address acl_sputnik
!
!
interface FastEthernet0/0
 ip address 10.10.10.2 255.255.255.252
 duplex auto
 speed auto
 crypto map nazemniy
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
!
interface Serial0/2
 ip address 20.20.20.2 255.255.255.252
 clock rate 2000000
 crypto map sputnik
!
ip route 192.168.1.0 255.255.255.0 10.10.10.1
ip route 192.168.1.0 255.255.255.0 20.20.20.1
!
!
ip access-list extended acl_sputnik
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

PC1:
Fa0: IP: 192.168.1.10/24
DG: 192.168.1.1
PC2:
Fa0: IP: 192.168.2.10/24
DG: 192.168.2.1

Почему то в качестве основного канала функционирует спутниковый...вроде все правильно прописал...

@hucker91 · 30.03.2016, 07:18

прощу прощение, всё отлично работает...оказывается баги в роутере 3725 на gns3...настроил на 2691, без всяких проблем....жду спасибочки.!!!!!

Добавлено через 19 часов 1 минуту
может у кого есть ещё по другому? в чем недостаток моих настроек? подскажите, пожалуйста...посоветуйте...

@sputnik21 · 30.03.2016, 09:48

hucker91, спасибо за пример.
1) На стороне R2, получается, IP SLA не нужен?
2) Как тогда на стороне R2 определяется маршрут, по которому пойдут пакеты?

@hucker91 · 30.03.2016, 11:03

Между R1 и R2 как бы ещё есть и маршрутизатор провайдера и спутниковая антенна...можно и провайдера симулировать, но я этого не сделал. Если бы между ними ставили маршрутизатор провайдера, то маршрут надо было бы прописать до него. От туда уже тот сам решает что сделать с пакетами.

Добавлено через 22 секунды

Сообщение от sputnik21

На стороне R2, получается, IP SLA не нужен?

Нет

Добавлено через 3 минуты

Сообщение от sputnik21

Как тогда на стороне R2 определяется маршрут, по которому пойдут пакеты?

Это определяется на самом R1, через какую интерфейс он будет отправлять пакеты....
На R1 надо будет только роуты прописать треком с привязкой на SLA и всё...Когда основной маршрут 10.10.10.2 2 track 1 будет недоступен, то связь будет проходить через 2-го маршрута 20.20.20.2 3, если опять же 1-ый маршрут становиться доступным связь будет проходит по нему (он же основной).

@sputnik21 · 30.03.2016, 11:19

Спасибо за пояснение. На стороне R1 разобрался с работой маршрутов.
В приведенной Вами конфигурации на R2 есть 2 статических маршрута без каких либо AD:

Сообщение от hucker91

ip route 192.168.1.0 255.255.255.0 10.10.10.1
ip route 192.168.1.0 255.255.255.0 20.20.20.1

Как на стороне R2 будет идти выбор, по какому маршруту отправить данные обратно на R1?
Или переформулирую вопрос: как R2 осуществит переход на 2-ой маршрут через 20.20.20.1?

@hucker91 · 30.03.2016, 11:27

Сообщение от sputnik21

Как на стороне R2 будет идти выбор, по какому маршруту отправить данные?

На какой интерфейс придёт пакет, с того он и отправляет ответы...А интерфейс будет определятся на R1...

@Rayrik · 30.03.2016, 12:11

R1:

Code    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
 
interface FastEthernet0/0
 ip address 10.1.1.2 255.255.255.252
 no shut
!
interface FastEthernet1/0
 ip address 10.2.1.2 255.255.255.252
 no shut
!
ip route 10.1.2.2 255.255.255.255 10.1.1.1
ip route 10.2.2.2 255.255.255.255 10.2.1.1
!
crypto keyring SATCOM
  pre-shared-key address 10.1.2.2 key SatkeY1
crypto keyring GSM
  pre-shared-key address 10.2.2.2 key GsmkeY1
crypto isakmp policy 1
 encr aes
 hash sha256
 authentication pre-share
 group 14
crypto isakmp profile SAT-ISAKMP
   keyring SATCOM
   match identity address 10.1.2.2 255.255.255.255
crypto isakmp profile GSM-ISAKMP
   keyring GSM
   match identity address 10.2.2.2 255.255.255.255
crypto ipsec transform-set STRONG esp-aes 256 esp-sha256-hmac
 mode transport
crypto ipsec profile GSM-IPSEC
 set transform-set STRONG
 set pfs group14
 set isakmp-profile GSM-ISAKMP
crypto ipsec profile SATCOM-IPSEC
 set transform-set STRONG
 set pfs group14
 set isakmp-profile SAT-ISAKMP
!
router ospf 100
 router-id 10.10.1.1
 passive-interface default
 no passive-interface Tunnel100
 no passive-interface Tunnel200
!
interface tunn 100
 description R1-R2_SATCOM
 ip address 10.10.1.1 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 ip ospf 100 area 0
 ip ospf cost 100
 tunnel source FastEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.1.2.2
 tunnel protection ipsec profile SATCOM-IPSEC
!
interface tunn 200
 description R1-R2_GSM
 ip address 10.10.2.1 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 ip ospf 100 area 0
 ip ospf cost 200
 tunnel source FastEthernet1/0
 tunnel mode ipsec ipv4
 tunnel destination 10.2.2.2
 tunnel protection ipsec profile GSM-IPSEC

R2:

Code    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
interface FastEthernet0/0
 ip address 10.1.2.2 255.255.255.252
 no shut
!
interface FastEthernet1/0
 ip address 10.2.2.2 255.255.255.252
 no shut
!
ip route 10.1.1.2 255.255.255.255 10.1.2.1
ip route 10.2.1.2 255.255.255.255 10.2.2.1
!
crypto keyring SATCOM
  pre-shared-key address 10.1.1.2 key SatkeY1
crypto keyring GSM
  pre-shared-key address 10.2.1.2 key GsmkeY1
crypto isakmp policy 1
 encr aes
 hash sha256
 authentication pre-share
 group 14
crypto isakmp profile SAT-ISAKMP
   keyring SATCOM
   match identity address 10.1.1.2 255.255.255.255
crypto isakmp profile GSM-ISAKMP
   keyring GSM
   match identity address 10.2.1.2 255.255.255.255
crypto ipsec transform-set STRONG esp-aes 256 esp-sha256-hmac
 mode transport
crypto ipsec profile GSM-IPSEC
 set transform-set STRONG
 set pfs group14
 set isakmp-profile GSM-ISAKMP
crypto ipsec profile SATCOM-IPSEC
 set transform-set STRONG
 set pfs group14
 set isakmp-profile SAT-ISAKMP
!
!
router ospf 100
 router-id 10.10.1.2
 passive-interface default
 no passive-interface Tunnel100
 no passive-interface Tunnel200
!
!
interface tunn 100
 description R2-R1_SATCOM
 ip address 10.10.1.2 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 ip ospf 100 area 0
 ip ospf cost 100
 tunnel source FastEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.1.1.2
 tunnel protection ipsec profile SATCOM-IPSEC
!
interface tunn 200
 description R2-R1_GSM
 ip address 10.10.2.2 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 ip ospf 100 area 0
 ip ospf cost 200
 tunnel source FastEthernet1/0
 tunnel mode ipsec ipv4
 tunnel destination 10.2.1.2
 tunnel protection ipsec profile GSM-IPSEC

@hucker91 · 30.03.2016, 13:45

а где объяснение?

@sputnik21 · 30.03.2016, 14:23

Вот появился вариант и с OSPF. И есть вопрос, уважаемые знатоки:
какой вариант все же правильнее и логичнее использовать в схеме, представленной hucker91: статическая маршрутизация с IP SLA или динамическая с OSPF?

@hucker91 · 30.03.2016, 15:10

я бы тоже хотел что то нового...если бы немножко с пояснениями..Rayrik

@Rayrik · 30.03.2016, 21:59

По поводу мною предложенной схемы, тут всё просто! 2 независимых туннеля, через которые бегает OSPF.
Tun100 - OSPF cost 100, примарный.
Tun200 - OSPF cost 200, секундарный.
При падении одного туннеля, OSPF переключит трафик на другой.
Tunnel mode IPsec IPv4, на 4 байта меньше overhead, по сравнению с GRE.

Про IPsec, данный вариант упрощает жизнь, ибо не нужны crypto ACL. Трафик который попадает в туннель, автоматом шифруется. А также улучшает масштабируемость при появлению множественных туннелей в разных VRF. В ситуациях когда туннель нужно поднять не через Global а через другой VRF (tunnel vrf XXX), ISAKMP profile позволяет применять keyring (preshared key) к конкретному туннелю и возможно указать VRF через который поднимается Phase 1 туннель (Front dor VRF).

Crypto-map, технология прошлого и маршрутизация только статическая, пора о ней забыть!
Делая сразу с Tunnel protection и с ISAKMP profile, вы себя авансом обезопасите от возможных проблем в будущем.

VRF-Aware IPsec

Добавлено через 4 часа 20 минут
vrf-aware-ipsec-cheat-sheet

@sputnik21 · 12.04.2016, 13:39

Спасибо за пояснение. На стороне R1 разобрался с работой маршрутов.
В приведенной Вами конфигурации на R2 есть 2 статических маршрута без каких либо AD:
Цитата Сообщение от hucker91 Посмотреть сообщение
ip route 192.168.1.0 255.255.255.0 10.10.10.1
ip route 192.168.1.0 255.255.255.0 20.20.20.1
Как на стороне R2 будет идти выбор, по какому маршруту отправить данные обратно на R1?
Или переформулирую вопрос: как R2 осуществит переход на 2-ой маршрут через 20.20.20.1?

Code    
        
    Скопировано
1
2
3
Цитата Сообщение от sputnik21 Посмотреть сообщение
Как на стороне R2 будет идти выбор, по какому маршруту отправить данные?
На какой интерфейс придёт пакет, с того он и отправляет ответы...А интерфейс будет определятся на R1...

Что будет если R2 выступит инициатором связи и начнет отправлять пакеты на R1. На какой интерфейс он будет их слать? На тот, который указан в первом маршруте по умолчанию?

Новые блоги и статьи Все статьи Все блоги /
Как использовать Behavior Graph в Unity при создании игрового AI GameUnited 14.04.2025 Искусственный интеллект в играх прошел долгий путь эволюции. От простейших алгоритмов, движущих призраками в Pac-Man, до сложных систем, управляющих поведением персонажей в современных AAA-проектах. . . .	Создание и стилизация списков в SwiftUI mobDevWorks 14.04.2025 Списки — фундаментальный элемент мобильных интерфейсов. От списка контактов до ленты новостей, от настроек до каталога товаров — трудно представить приложение, которое не использовало бы этот. . .	Паттерн SAGA и распределённые транзакции в микросервисной архитектуре stackOverflow 14.04.2025 Переход от монолитной архитектуры к микросервисам принес множество преимуществ: гибкость разработки, независимость развертывания и масштабирования отдельных компонентов. Однако этот переход создал и. . .	Кастомные аллокаторы в C++ и оптимизация управления памятью bytestream 14.04.2025 Работа с памятью в С++ всегда была и остаётся одной из самых увлекательных и сложных задач для программиста. Любой опытный C++ разработчик подтвердит: стандартные механизмы аллокации памяти – штука. . .	Организация сетей в Kubernetes и эффективное развертывание Mr. Docker 14.04.2025 Сетевая инфраструктура Kubernetes представляет собой сложную, но хорошо спроектированную систему, которая позволяет контейнерам взаимодействовать между собой и с внешним миром. За кажущейся простотой. . .
Многопоточность в Rust: Fearless concurrency и практические примеры golander 14.04.2025 Многопоточное программирование связано с рядом известных проблем. Наиболее распространенные из них — гонки данных (data races), взаимные блокировки (deadlocks) и условия гонки (race conditions). Эти. . .	Списки и кортежи в Python: различия, особенности, применение py-thonny 13.04.2025 Python славится своей гибкостью при работе с данными. В арсенале языка есть две основные последовательные структуры данных, которые программисты используют ежедневно — списки и кортежи. Эти структуры. . .	Middleware в ASP.NET Core UnmanagedCoder 13.04.2025 В ASP. NET Core термин "middleware" занимает особое место. Что же это такое? Middleware представляет собой программные компоненты, которые формируют конвейер обработки HTTP-запросов в приложении. . . .	Таблицы лута в Unity с MinMaxCurve и AnimationCurve GameUnited 12.04.2025 Создание сбалансированного лута в играх — задача не из простых. Разработчики постоянно ищут способы настройки систем выпадения предметов, которые будут одновременно справедливыми для игроков и. . .	std::expected в C++: Управление ошибками bytestream 12.04.2025 Обработка ошибок всегда была важной и одновременно сложной задачей в программировании на C++. На протяжении долгого времени разработчики использовали различные подходы: возвращаемые коды ошибок,. . .

@pervov-maksim 0 / 0 / 0 Регистрация: 19.02.2016 Сообщений: 1

	Объединение сетей двумя тоннелями на Cisco 1921 19.02.2016, 11:30. Показов 4197. Ответов 18 Метки нет (Все метки) Здравствуйте! Есть задача объединить две удаленных сети через мобильную и спутниковую связь. На обеих сторонах присутствует идентичное оборудование: Канал 1 (основной): Спутниковый модем-маршрутизатор (статический белый IP адрес) Канал 2 (резервный): GSM модем (статический белый IP адрес) Маршрутизатор Cisco 1921 Задача: обеспечить резервированный Ipsec-канал связи между сторонами А и В, при этом спутниковый канал связи - основной, GSM – резервный. Какие технологии оптимально применить в данной задаче? Есть мысли поднять два GRE тоннеля, применить к ним шифрование Ipsec. Не совсем понятно как обеспечить отказоустойчивость, т.е. переключение на резервный канал в случае сбоя основного. Заранее благодарю за направление мыслей в нужную сторону. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	19.02.2016, 18:06
	pervov-maksim, настроить 2 пира в crypto-map, при обрыве одного - второй установится Настроить ip sla 0

@sputnik21 0 / 0 / 0 Регистрация: 28.03.2016 Сообщений: 5
	28.03.2016, 17:47
	MonaxGT, IP SLA необходимо настраивать на обоих роутерах? 0

@Rayrik 0 / 0 / 0 Регистрация: 02.02.2013 Сообщений: 8
	28.03.2016, 18:51
	Проще будет поднять 2 GRE, вместо Crypto-map использовать Tunnel protection и настроить Dynamic routing (OSPF,BGP, EIGRP). 0

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	29.03.2016, 06:49
	У меня стоит crypto-map с ip sla....все очень замечательно работает...если хотите могу скинут проект.... 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	29.03.2016, 08:43
	Сообщение от hucker91 если хотите могу скинут проект хотим 0

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	29.03.2016, 08:54
	Кликните здесь для просмотра всего текста R1 sdfasdfasdfasf 0

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	30.03.2016, 07:18
	прощу прощение, всё отлично работает...оказывается баги в роутере 3725 на gns3...настроил на 2691, без всяких проблем....жду спасибочки.!!!!! Добавлено через 19 часов 1 минуту может у кого есть ещё по другому? в чем недостаток моих настроек? подскажите, пожалуйста...посоветуйте... 0

@sputnik21 0 / 0 / 0 Регистрация: 28.03.2016 Сообщений: 5
	30.03.2016, 09:48
	hucker91, спасибо за пример. 1) На стороне R2, получается, IP SLA не нужен? 2) Как тогда на стороне R2 определяется маршрут, по которому пойдут пакеты? 0

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	30.03.2016, 11:03
	Между R1 и R2 как бы ещё есть и маршрутизатор провайдера и спутниковая антенна...можно и провайдера симулировать, но я этого не сделал. Если бы между ними ставили маршрутизатор провайдера, то маршрут надо было бы прописать до него. От туда уже тот сам решает что сделать с пакетами. Добавлено через 22 секунды Сообщение от sputnik21 На стороне R2, получается, IP SLA не нужен? Нет Добавлено через 3 минуты Сообщение от sputnik21 Как тогда на стороне R2 определяется маршрут, по которому пойдут пакеты? Это определяется на самом R1, через какую интерфейс он будет отправлять пакеты.... На R1 надо будет только роуты прописать треком с привязкой на SLA и всё...Когда основной маршрут 10.10.10.2 2 track 1 будет недоступен, то связь будет проходить через 2-го маршрута 20.20.20.2 3, если опять же 1-ый маршрут становиться доступным связь будет проходит по нему (он же основной). 0

@sputnik21 0 / 0 / 0 Регистрация: 28.03.2016 Сообщений: 5
	30.03.2016, 11:19
	Спасибо за пояснение. На стороне R1 разобрался с работой маршрутов. В приведенной Вами конфигурации на R2 есть 2 статических маршрута без каких либо AD: Сообщение от hucker91 ip route 192.168.1.0 255.255.255.0 10.10.10.1 ip route 192.168.1.0 255.255.255.0 20.20.20.1 Как на стороне R2 будет идти выбор, по какому маршруту отправить данные обратно на R1? Или переформулирую вопрос: как R2 осуществит переход на 2-ой маршрут через 20.20.20.1? 0

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	30.03.2016, 11:27
	Сообщение от sputnik21 Как на стороне R2 будет идти выбор, по какому маршруту отправить данные? На какой интерфейс придёт пакет, с того он и отправляет ответы...А интерфейс будет определятся на R1... 1

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	30.03.2016, 13:45
	а где объяснение? 0

@sputnik21 0 / 0 / 0 Регистрация: 28.03.2016 Сообщений: 5
	30.03.2016, 14:23
	Вот появился вариант и с OSPF. И есть вопрос, уважаемые знатоки: какой вариант все же правильнее и логичнее использовать в схеме, представленной hucker91: статическая маршрутизация с IP SLA или динамическая с OSPF? 0

@hucker91 9 / 9 / 1 Регистрация: 04.03.2010 Сообщений: 183
	30.03.2016, 15:10
	я бы тоже хотел что то нового...если бы немножко с пояснениями..Rayrik 0

@Rayrik 0 / 0 / 0 Регистрация: 02.02.2013 Сообщений: 8
	30.03.2016, 21:59
	По поводу мною предложенной схемы, тут всё просто! 2 независимых туннеля, через которые бегает OSPF. Tun100 - OSPF cost 100, примарный. Tun200 - OSPF cost 200, секундарный. При падении одного туннеля, OSPF переключит трафик на другой. Tunnel mode IPsec IPv4, на 4 байта меньше overhead, по сравнению с GRE. Про IPsec, данный вариант упрощает жизнь, ибо не нужны crypto ACL. Трафик который попадает в туннель, автоматом шифруется. А также улучшает масштабируемость при появлению множественных туннелей в разных VRF. В ситуациях когда туннель нужно поднять не через Global а через другой VRF (tunnel vrf XXX), ISAKMP profile позволяет применять keyring (preshared key) к конкретному туннелю и возможно указать VRF через который поднимается Phase 1 туннель (Front dor VRF). Crypto-map, технология прошлого и маршрутизация только статическая, пора о ней забыть! Делая сразу с Tunnel protection и с ISAKMP profile, вы себя авансом обезопасите от возможных проблем в будущем. VRF-Aware IPsec Добавлено через 4 часа 20 минут vrf-aware-ipsec-cheat-sheet 0