среда, 30 июля 2014 г.
воскресенье, 27 июля 2014 г.
SLA 24/7/365 with BGP dual way
Недавно разработывал комплексное решение в том числе с BGP, и вспомнил, что упоминался способ организации 24/7/365 доступности сервисов с помощью BGP. Особых пояснений тут не требуется.
P.S. IOS 15.1(4) M2 имеет проблемы в работе с BGP.
Как всегда кусок топологии от другого проекта на скорую руку :)
Никаких излишеств, только демонстрация принципа.
Дано:
Искомая AS1. Border routers CE1 CE2. Внешний IP их совпадает. BGP настроен тривиально просто без излишеств.
Решение:
Если CE1 анносировался первым, то таблица маршрутизации P роутера:
При падении линка или маршрутизации до CE1 зоны 10001, таблица маршрутизации перестроится на СЕ2. Правда это потребует "значительного" времени согласно таймерам BGP. Таблица маршрутизации роутера Р после перестройки маршрутизации станет такой.P.S. IOS 15.1(4) M2 имеет проблемы в работе с BGP.
Как всегда кусок топологии от другого проекта на скорую руку :)
Никаких излишеств, только демонстрация принципа.
Дано:
Искомая AS1. Border routers CE1 CE2. Внешний IP их совпадает. BGP настроен тривиально просто без излишеств.
Решение:
Если CE1 анносировался первым, то таблица маршрутизации P роутера:
100.0.0.0/30 is subnetted, 3 subnets B 100.1.1.0 [20/0] via 201.0.0.2, 00:07:03 B 100.1.1.4 [20/0] via 201.0.0.2, 00:10:10 B 100.1.1.8 [20/0] via 202.0.0.2, 00:01:19 201.0.0.0/24 is variably subnetted, 2 subnets, 2 masks C 201.0.0.0/30 is directly connected, FastEthernet1/0 L 201.0.0.1/32 is directly connected, FastEthernet1/0 202.0.0.0/24 is variably subnetted, 2 subnets, 2 masks C 202.0.0.0/30 is directly connected, FastEthernet1/1 L 202.0.0.1/32 is directly connected, FastEthernet1/1 R2#
Это простое, с виду, решение на самом деле открывает приличный простор для комбинирования решений.100.0.0.0/30 is subnetted, 3 subnets B 100.1.1.0 [20/0] via 202.0.0.2, 00:01:16 B 100.1.1.4 [20/0] via 201.0.0.2, 00:19:18 B 100.1.1.8 [20/0] via 202.0.0.2, 00:01:16 201.0.0.0/24 is variably subnetted, 2 subnets, 2 masks C 201.0.0.0/30 is directly connected, FastEthernet1/0 L 201.0.0.1/32 is directly connected, FastEthernet1/0 202.0.0.0/24 is variably subnetted, 2 subnets, 2 masks C 202.0.0.0/30 is directly connected, FastEthernet1/1 L 202.0.0.1/32 is directly connected, FastEthernet1/1
среда, 16 июля 2014 г.
Cisco syslog и syslog-ng под Debian
Итак, перейдём к одной из самых важных компонент мониторинга и поддержки сетевого периметра вместе с модулями сети. Это логирование сообщений на удалённый хост с cisco с помощью syslog-сервера.
В качестве simple примера который не претендует на оперативность и вообще ответа, т.е. является только частью M от MARC ( не путайте с цисковским MARS)-- решение syslog-ng поднятое под дебиан, 100% дёшево и сердито, а главное работает, но как в тайге.1) Установка и настройка SYSLOG-NG
Как обычно ставим из менеджера пакетов, ибо он входит в стандартный набор.
Вкатываем в конфиг файл по адресу:
/etс/syslog-ng/syslog-ng.conf
Следующую начинку:
Файл для хранения логов
destination d_cisco { file("/var/log/cisco.log"); };Фильтры по критериям
filter f_cisco_info { level(info); };В куда класть
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };
log { source(net); filter(f_cisco_info); destination(d_cisco); };Источник приёма данных
log { source(net); filter(f_cisco_notice); destination(d_cisco); };
log { source(net); filter(f_cisco_warn); destination(d_cisco); };
log { source(net); filter(f_cisco_crit); destination(d_cisco); };
log { source(net); filter(f_cisco_err); destination(d_cisco); };
source net { udp(ip(0.0.0.0) port(514)); };2) Настройка cisco
Указываем хост логирования, уровень логирования и сервис нумерации сообщений ( на всякий случай)
logging 13.18.10.4 logging trap informational service sequence-numbers
3) Результат
В файле по адресу /var/log/cisco.log благополучно находите свои syslog сообщения свитча/роутера. Всё вроде бы хорошо, но есть одна проблема, сообщения от роутеров будут валиться в одну и ту же малину, что создаст, в конечном итоге, невероятный бардак в этом файле. Как вариант решения можно использовать для каждого роутера разные порты, например, и раскладывать их в разные файлы, с совпадающими номерами портов и номеров файлов в названии, оно опробовано и работает.
Однако, если хочется внедрить хорошее комлексное продакшн решение в плане мониторинга, то у меня осталось очень положительное мнение о PRTG. Установка из коробки, куча разноообразных сенсоров, интуитивно сразу понятный интерфейс, всё необходимое сразу под рукой, графики и сводки выдаёт не запинаясь, единственное -- он платный больше чем за 10 сенсоров. Очень платный. Судя по свежему прайсу просто ахрененно платный.Но, как говорится, кому и буханка хлеба дорого, кому-то и яхта на сдачу. Однако хорошие вещи дешёво не стоят -- тоже факт.
понедельник, 14 июля 2014 г.
Гипотеза чёрной королевы
— У нас, — сказала Алиса, с трудом переводя дух, — когда долго бежишь со всех ног, непременно попадёшь в другое место.
— Какая медлительная страна! — вскричала Королева. — Ну а здесь,
знаешь ли, приходится бежать со всех ног, чтобы только остаться на том
же месте, а чтобы попасть в другое место нужно бежать
вдвое быстрее.
Л. Кэррол.
Увидел сегодня старую побитую проржавевшую тачку, и мне вспомнился один разговор в июне.
Стоят трое человек перед старой, разбитой машиной и думают:
1) Какая рухлядь, фу, ни за что на ней не поеду
2) Пофиг, если едет значит едет, буду ездить
3) Видит перед собой произведение искусства, филигранные формы, отточенные боковые линии спойлеров, логотипы огня по бокам, мощные воздухозаборники, слышит наяву рёв двигателя и затем воплощает это в жизнь.
Сдаётся мне, админы деляться по классам точно так же. Спасибо Тимофей, ты стал моим человеком июня.
Cisco SNMP в связке с Zabbix
Всё руки не доходили сразу затолкать пост после оформления brief. Решил сегодня добить чтобы не глаза не мозолил, а то валяется который год в черновиках. Поднял чистый Zabbix для скриншотов и собрал к нему топологию
Итак Cisco и Zabbix. Без долгих вступлений.
Крайне рекомендую к полному прочтению сначала RFC по SNMP.
Затем вот это
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/12-4t/snmp-12-4t-book.pdf
чтобы понимать общие принципы, кто про что и зачем вообще встал с дивана.
1) Включаем snmp для снятия данных с агента на cisco (stimcom это своеобразный ключ аутентификации, может быть любым, но должен совпадать на zabbix и cisco )
2) Нужно получить OID нужного компонента для снятия данных Zabbix'ом. Поскольку с актуализацией данных по cisco -- это НЕВЕРОЯТНЫЙ бардак, зная первоосновы можно пойти деревянным путём.
Чавкаем запрос с Zabbix тачки в сторону роутера, заодно проверяя, что есть контакт и вторая версия snmp на ней поддерживается корректно.
если лог полетел значит всё хорошо
ждём нужного куска и находим нужный нам элемент
Например ifInOctets.4 на моей циске для снятия скорости передачи данных
или загрузку ЦПУ например можно подставить
.1.3.6.1.4.1.9.2.1.56.0 - загрузка CPU в среднем за за 5 секунд.
.1.3.6.1.4.1.9.2.1.57.0 - загрузка CPU в среднем за за 60 секунд.
.1.3.6.1.4.1.9.2.1.58.0 - загрузка CPU в среднем за 5 минут.
на одних роутерах данные будут верны, на других неверны, копается в этой помойке каждый сам, и ни одна организация порядок навести не хочет, так что хаос торжествует во всей красе.
3) Дальше нам нужно в zabbix , в свойствах hosts составить Item
Затем там же Graphs
И насладиться мега графиком в Monitorings --> Graphs
Итак Cisco и Zabbix. Без долгих вступлений.
Крайне рекомендую к полному прочтению сначала RFC по SNMP.
Затем вот это
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/12-4t/snmp-12-4t-book.pdf
чтобы понимать общие принципы, кто про что и зачем вообще встал с дивана.
1) Включаем snmp для снятия данных с агента на cisco (stimcom это своеобразный ключ аутентификации, может быть любым, но должен совпадать на zabbix и cisco )
Опционально можно сразу включить трапы ( если нужно конечно )snmp-server community stimcom RO
snmp-server enable traps snmp-server host 10.0.2.100 version 2c stimcom
2) Нужно получить OID нужного компонента для снятия данных Zabbix'ом. Поскольку с актуализацией данных по cisco -- это НЕВЕРОЯТНЫЙ бардак, зная первоосновы можно пойти деревянным путём.
Чавкаем запрос с Zabbix тачки в сторону роутера, заодно проверяя, что есть контакт и вторая версия snmp на ней поддерживается корректно.
snmpwalk -v2c -c stimcom 10.0.1.1
если лог полетел значит всё хорошо
ждём нужного куска и находим нужный нам элемент
Например ifInOctets.4 на моей циске для снятия скорости передачи данных
Вторая строчка в ответ на запрос покажет нам искомый OID.zabbix# snmpget -v 2c -On -c stimcom 10.0.2.1 ifInOctets.4 .1.3.6.1.2.1.2.2.1.10.4 = Counter32: 88920305 zabbix#
или загрузку ЦПУ например можно подставить
.1.3.6.1.4.1.9.2.1.56.0 - загрузка CPU в среднем за за 5 секунд.
.1.3.6.1.4.1.9.2.1.57.0 - загрузка CPU в среднем за за 60 секунд.
.1.3.6.1.4.1.9.2.1.58.0 - загрузка CPU в среднем за 5 минут.
на одних роутерах данные будут верны, на других неверны, копается в этой помойке каждый сам, и ни одна организация порядок навести не хочет, так что хаос торжествует во всей красе.
3) Дальше нам нужно в zabbix , в свойствах hosts составить Item
Затем там же Graphs
И насладиться мега графиком в Monitorings --> Graphs
воскресенье, 13 июля 2014 г.
DMVPN DualHUB(Dual_ISP) Spoke1(Dual_ISP)
Данное продакш решение демонстрирует возможности построения логических модулей и является одним из фундаментальных блоков для решения множества задач. Написано уже давно лично мной без чьей-либо помощи, и является моей привычной средой уровня работы.
Все элементарные-базовые концептуальные решения заимствованы из гугла, и цисковких манов. Спасибо так же более "старшим" неизвестным мне коллегам, у которых можно было увидеть базовые применения по EEM в пределах одного оператора.
Надеюсь, что и мои записи так же помогут неизвестным мне начинающим коллегам.
В данном рассмотрении уделено особое внимание связке HUB1-Spoke1, как выделения его в модуль решения. Всё остальные связки делают по аналогии пользуясь этим же решением или комплектом более простых.
1) Задаём IP адреса на интерфейсы(пропущено) и прописываем маршрутизацию
ПоказатьСкрыть
HUB1
Spoke1
Снимем маршрутизацию с физических интерфейсов в VRF-ы ( в моём концептном решении это было необходимо в силу глобальной задачи, но рассмотрению самой изюминки это не мешает )
ip route 0.0.0.0 0.0.0.0 100.1.1.1 ip route 0.0.0.0 0.0.0.0 100.1.2.1
Spoke1
Снимем маршрутизацию с физических интерфейсов в VRF-ы ( в моём концептном решении это было необходимо в силу глобальной задачи, но рассмотрению самой изюминки это не мешает )
ip vrf R1C1 rd 101:11 ip vrf R2C1 rd 101:12 ip route vrf R1C1 0.0.0.0 0.0.0.0 200.1.1.1 ip route vrf R2C1 0.0.0.0 0.0.0.0 200.1.2.1
2) Настраиваем mGRE и маршрутизацию
ПоказатьСкрыть
HUB1
Spoke1
уже прописано на туннельных интерфейсах
и поднимаем eigrp на HUB и Spoke роутерах
interface Tunnel1 ip address 192.168.101.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 77 ip nhrp authentication cisco711 ip nhrp map multicast dynamic ip nhrp network-id 1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 77 tunnel source FastEthernet2/1 tunnel mode gre multipoint tunnel key 2011 tunnel route-via FastEthernet2/1 mandatory tunnel path-mtu-discovery interface Tunnel2 ip address 192.168.102.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 77 ip nhrp authentication cisco712 ip nhrp map multicast dynamic ip nhrp network-id 2 ip tcp adjust-mss 1360 no ip split-horizon eigrp 77 tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel key 2012 tunnel route-via FastEthernet1/0 mandatory tunnel path-mtu-discovery
Spoke1
interface Tunnel111 ip address 192.168.101.101 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 77 ip nhrp authentication cisco711 ip nhrp map 192.168.101.1 100.1.1.2 ip nhrp map multicast 100.1.1.2 ip nhrp network-id 1 ip nhrp holdtime 1800 ip nhrp nhs 192.168.101.1 ip nhrp registration no-unique no ip split-horizon eigrp 77 tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel key 2011 tunnel route-via FastEthernet1/0 mandatory tunnel path-mtu-discovery tunnel vrf R1C1 ! interface Tunnel112 ip address 192.168.101.101 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 77 ip nhrp authentication cisco711 ip nhrp map 192.168.101.1 100.1.1.2 ip nhrp map multicast 100.1.1.2 ip nhrp network-id 1 ip nhrp holdtime 1800 ip nhrp nhs 192.168.101.1 ip nhrp registration no-unique no ip split-horizon eigrp 77 shutdown tunnel source FastEthernet2/1 tunnel mode gre multipoint tunnel key 2011 tunnel route-via FastEthernet2/1 mandatory tunnel path-mtu-discovery tunnel vrf R2C1 ! interface Tunnel121 ip address 192.168.102.101 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 77 ip nhrp authentication cisco712 ip nhrp map multicast 100.1.2.2 ip nhrp map 192.168.102.1 100.1.2.2 ip nhrp network-id 2 ip nhrp holdtime 1800 ip nhrp nhs 192.168.102.1 ip nhrp registration no-unique no ip split-horizon eigrp 77 shutdown tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel key 2012 tunnel route-via FastEthernet1/0 mandatory tunnel path-mtu-discovery tunnel vrf R1C1 ! interface Tunnel122 ip address 192.168.102.101 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 77 ip nhrp authentication cisco712 ip nhrp map multicast 100.1.2.2 ip nhrp map 192.168.102.1 100.1.2.2 ip nhrp network-id 2 ip nhrp holdtime 1800 ip nhrp nhs 192.168.102.1 ip nhrp registration no-unique no ip split-horizon eigrp 77 shutdown tunnel source FastEthernet2/1 tunnel mode gre multipoint tunnel key 2012 tunnel route-via FastEthernet2/1 mandatory tunnel path-mtu-discovery tunnel vrf R2C1
уже прописано на туннельных интерфейсах
no ip next-hop-self eigrp 77 no ip split-horizon eigrp 77
и поднимаем eigrp на HUB и Spoke роутерах
router eigrp 77 network 10.0.0.0 network 192.168.0.0 0.0.255.255
3) На данном этапе надо решить задачку по экономии трафика подключив логический модуль
ПоказатьСкрыть
Условия и ситуации данной задачи сводятся к решению простого концепта указанного на картинке которую я сделал.
Приоритет использования туннелей в порядке убывания в данных условиях будет такой: Tunnel 111, Tunnel 112, Tunnel 121, Tunnel 122
А так же приведена блок-схема логического модуля.
Приступим к анализу ситуаций и выработке стратегии
Spoke1
а) Задаём SLA и треки следящие за SLA
б) Задаём stub-треки для снятия информации о текущем состоянии SLA
в) Задаём stub-треки для снятия информации о текущем состоянии Tunnel интерфейсов
г) Прописываем обработку срабатываний SLA-Track в STUB-Track и старт основного логического блока
д) Создаём основной логический блок (Central Office 1 Service Logic Tunnels)
Срабатывает на изменение STUB-Track'ов принудительно через run
action 110-141 -- считываем данные с STUB-Track'ов из SLA в переменные $_track_state_1ХХ
action 150-181 -- считываем данные с STUB-Track'ов из Tunnel в переменные $_track_state_1ХХ
action 201-215 -- Вывод данных в лог для визуализации
action 301-399 -- Логический блок
Приоритет использования туннелей в порядке убывания в данных условиях будет такой: Tunnel 111, Tunnel 112, Tunnel 121, Tunnel 122
А так же приведена блок-схема логического модуля.
Приступим к анализу ситуаций и выработке стратегии
Spoke1
а) Задаём SLA и треки следящие за SLA
ip sla 111 icmp-echo 100.1.1.2 source-interface FastEthernet1/0 vrf R1C1 threshold 3 timeout 2000 frequency 5 ip sla schedule 111 life forever start-time now track 111 ip sla 111 reachability delay down 10 up 20 ip sla 112 icmp-echo 100.1.1.2 source-interface FastEthernet2/1 vrf R2C1 threshold 3 timeout 2000 frequency 5 ip sla schedule 112 life forever start-time now track 112 ip sla 112 reachability delay down 15 up 25 ip sla 121 icmp-echo 100.1.2.2 source-interface FastEthernet1/0 vrf R1C1 threshold 3 timeout 2000 frequency 5 ip sla schedule 121 life forever start-time now track 121 ip sla 121 reachability delay down 20 up 30 ip sla 122 icmp-echo 100.1.2.2 source-interface FastEthernet2/1 vrf R2C1 threshold 3 timeout 2000 frequency 5 ip sla schedule 122 life forever start-time now track 122 ip sla 122 reachability delay down 25 up 35
б) Задаём stub-треки для снятия информации о текущем состоянии SLA
track 911 stub-object default-state down track 912 stub-object default-state down track 921 stub-object default-state down track 922 stub-object default-state down
в) Задаём stub-треки для снятия информации о текущем состоянии Tunnel интерфейсов
track 811 stub-object default-state down track 812 stub-object default-state down track 821 stub-object default-state down track 822 stub-object default-state down
г) Прописываем обработку срабатываний SLA-Track в STUB-Track и старт основного логического блока
event manager applet TRACK111UP event track 111 state up action 100 track set 911 state up action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK111DOWN event track 111 state down action 100 track set 911 state down action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK112UP event track 112 state up action 100 track set 912 state up action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK112DOWN event track 112 state down action 100 track set 912 state down action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK121UP event track 121 state up action 100 track set 921 state up action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK121DOWN event track 121 state down action 100 track set 921 state down action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK122UP event track 122 state up action 100 track set 922 state up action 101 cli command "enable" action 102 cli command "event manager run CO1SLT" event manager applet TRACK122DOWN event track 122 state down action 100 track set 922 state down action 101 cli command "enable" action 102 cli command "event manager run CO1SLT"
д) Создаём основной логический блок (Central Office 1 Service Logic Tunnels)
Срабатывает на изменение STUB-Track'ов принудительно через run
action 110-141 -- считываем данные с STUB-Track'ов из SLA в переменные $_track_state_1ХХ
action 150-181 -- считываем данные с STUB-Track'ов из Tunnel в переменные $_track_state_1ХХ
action 201-215 -- Вывод данных в лог для визуализации
action 301-399 -- Логический блок
event manager applet CO1SLT event none action 110 track read 911 action 111 set track_state_911 "$_track_state" action 120 track read 912 action 121 set track_state_912 "$_track_state" action 130 track read 921 action 131 set track_state_921 "$_track_state" action 140 track read 922 action 141 set track_state_922 "$_track_state" action 150 track read 811 action 151 set track_state_811 "$_track_state" action 160 track read 812 action 161 set track_state_812 "$_track_state" action 170 track read 821 action 171 set track_state_821 "$_track_state" action 180 track read 822 action 181 set track_state_822 "$_track_state" action 201 syslog msg "======================================================" action 202 syslog msg "--- Central Office 1 Service Logic Tunnels started ---" action 203 set eq_up "up" action 204 set eq_down "down" action 207 syslog msg "Status track911 is $track_state_911" action 208 syslog msg "Status track912 is $track_state_912" action 209 syslog msg "Status track921 is $track_state_921" action 210 syslog msg "Status track922 is $track_state_922" action 211 syslog msg "Status track811 is $track_state_811" action 212 syslog msg "Status track812 is $track_state_812" action 213 syslog msg "Status track821 is $track_state_821" action 214 syslog msg "Status track822 is $track_state_822" action 215 syslog msg "------------------------------------------------------" action 301 if $track_state_911 eq $eq_up action 301.0 syslog msg "Logical module CO1SLT: Track911-UP-confirmed" action 301.1 if $track_state_911 ne $track_state_811 action 301.1.0 syslog msg "Logical module CO1SLT: Track911 ne Track811 confirmed. Tunnel 111 must be UPPED" action 301.1.11 cli command "enable" action 301.1.12 cli command "configure terminal" action 301.1.13 cli command "interface range tunnel 111-112, tunnel 121-122" action 301.1.14 cli command "shutdown" action 301.1.15 track set 811 state down action 301.1.16 track set 812 state down action 301.1.17 track set 821 state down action 301.1.18 track set 822 state down action 301.1.21 cli command "do clear crypto isa" action 301.1.22 cli command "do clear crypto sa" action 301.1.23 wait 1 action 301.1.31 cli command "interface tunnel 111" action 301.1.31a cli command "no ip add" action 301.1.31b cli command "ip add 192.168.101.101 255.255.255.0" action 301.1.32 cli command "no shutdown" action 301.1.41 track set 811 state up action 301.1.98 syslog msg "Logical module CO1SLT: Operation to UP the Tunnel 111 completed. Track811 --> UP. Exit 301.1.99" action 301.1.98a syslog msg "======================================================" action 301.1.99 exit 301.1.99_Normal_Exit action 301.2 else action 301.2.1 syslog msg "Logical module CO1SLT: Current optimal Tunnel 111. And he already UP. Exit 301.2.2" action 301.2.1a syslog msg "======================================================" action 301.2.2 exit 301.2.2_Normal_Exit action 301.3 end action 302 else action 303 if $track_state_912 eq $eq_up action 303.0 syslog msg "Logical module CO1SLT: Track912-UP-confirmed" action 303.1 if $track_state_912 ne $track_state_812 action 303.1.0 syslog msg "Logical module CO1SLT: Track912 ne Track812 confirmed. Tunnel 112 must be UPPED" action 303.1.11 cli command "enable" action 303.1.12 cli command "configure terminal" action 303.1.13 cli command "interface range tunnel 111-112, tunnel 121-122" action 303.1.14 cli command "shutdown" action 303.1.15 track set 811 state down action 303.1.16 track set 812 state down action 303.1.17 track set 821 state down action 303.1.18 track set 822 state down action 303.1.21 cli command "do clear crypto isa" action 303.1.22 cli command "do clear crypto sa" action 303.1.23 wait 1 action 303.1.31 cli command "interface tunnel 112" action 303.1.31a cli command "no ip add" action 303.1.31b cli command "ip add 192.168.101.101 255.255.255.0" action 303.1.32 cli command "no shutdown" action 303.1.41 track set 812 state up action 303.1.98 syslog msg "Logical module CO1SLT: Operation to UP the Tunnel 112 completed. Track812 --> UP. Exit 303.1.99" action 303.1.98a syslog msg "======================================================" action 303.1.99 exit 303.1.99_Normal_Exit action 303.2 else action 303.2.1 syslog msg "Logical module CO1SLT: Current optimal Tunnel 112. And he already UP. Exit 303.2.2" action 303.2.1a syslog msg "======================================================" action 303.2.2 exit 303.2.2_Normal_Exit action 303.3 end action 304 else action 305 if $track_state_921 eq $eq_up action 305.0 syslog msg "Logical module CO1SLT: Track921-UP-confirmed" action 305.1 if $track_state_921 ne $track_state_821 action 305.1.0 syslog msg "Logical module CO1SLT: Track921 ne Track821 confirmed. Tunnel 121 must be UPPED" action 305.1.11 cli command "enable" action 305.1.12 cli command "configure terminal" action 305.1.13 cli command "interface range tunnel 111-112, tunnel 121-122" action 305.1.14 cli command "shutdown" action 305.1.15 track set 811 state down action 305.1.16 track set 812 state down action 305.1.17 track set 821 state down action 305.1.18 track set 822 state down action 305.1.21 cli command "do clear crypto isa" action 305.1.22 cli command "do clear crypto sa" action 305.1.23 wait 1 action 305.1.31 cli command "interface tunnel 121" action 305.1.31a cli command "no ip add" action 305.1.31b cli command "ip add 192.168.102.101 255.255.255.0" action 305.1.32 cli command "no shutdown" action 305.1.41 track set 821 state up action 305.1.98 syslog msg "Logical module CO1SLT: Operation to UP the Tunnel 121 completed. Track821 --> UP. Exit 305.1.99" action 305.1.98a syslog msg "======================================================" action 305.1.99 exit 305.1.99_Normal_Exit action 305.2 else action 305.2.1 syslog msg "Logical module CO1SLT: Current optimal Tunnel 121. And he already UP. Exit 305.2.2" action 305.2.1a syslog msg "======================================================" action 305.2.2 exit 305.2.2_Normal_Exit action 305.3 end action 306 else action 307 if $track_state_922 eq $eq_up action 307.0 syslog msg "Logical module CO1SLT: Track922-UP-confirmed" action 307.1 if $track_state_922 ne $track_state_822 action 307.1.0 syslog msg "Logical module CO1SLT: Track922 ne Track822 confirmed. Tunnel 122 must be UPPED" action 307.1.11 cli command "enable" action 307.1.12 cli command "configure terminal" action 307.1.13 cli command "interface range tunnel 111-112, tunnel 121-122" action 307.1.14 cli command "shutdown" action 307.1.15 track set 811 state down action 307.1.16 track set 812 state down action 307.1.17 track set 821 state down action 307.1.18 track set 822 state down action 307.1.21 cli command "do clear crypto isa" action 307.1.22 cli command "do clear crypto sa" action 307.1.23 wait 1 action 307.1.31 cli command "interface tunnel 122" action 307.1.31a cli command "no ip add" action 307.1.31b cli command "ip add 192.168.102.101 255.255.255.0" action 307.1.32 cli command "no shutdown" action 307.1.41 track set 822 state up action 307.1.98 syslog msg "Logical module CO1SLT: Operation to UP the Tunnel 122 completed. Track822 --> UP. Exit 307.1.99" action 307.1.98a syslog msg "======================================================" action 307.1.99 exit 307.1.99_Normal_Exit action 307.2 else action 307.2.1 syslog msg "Logical module CO1SLT: Current optimal Tunnel 122. And he already UP. Exit 307.2.2" action 307.2.1a syslog msg "======================================================" action 307.2.2 exit 307.2.2_Normal_Exit action 307.3 end action 308 else action 309.10 syslog msg "Logical module CO1SLT: WARNING ALL PROVIDERS ARE DOWN. Administrator has been notified. Type of communication: SMS." action 301.10.a syslog msg "======================================================" action 309.11 cli command "enable" action 309.12 cli command "configure terminal" action 309.13 cli command "interface range tunnel 111-112, tunnel 121-122" action 309.14 cli command "shutdown" action 309.15 track set 811 state down action 309.16 track set 812 state down action 309.17 track set 821 state down action 309.18 track set 822 state down action 309.19 cli command "do clear crypto isa" action 309.20 cli command "do clear crypto sa" action 396 end action 397 end action 398 end action 399 end
4) И дошлифуем шифрованием
ПоказатьСкрыть
HUB1
а) Создаём две ключницы -- по одной на каждое облако и строго определяем интерфейс использования
б) Создаём политику служебного туннеля ( можно создать и два, если это требует регламент безопасности )
в) Создаём профиль isakmp для создания служебного тоннеля, по одному на каждое облако
г) Задаём трансформу-шифрование основного туннеля
д) Создаём профили ipsec на каждое облако
е) И променяем профили к тоннелям
------------------------------------------- Spoke1
а) Создаём две ключницы -- по одной на каждое облако и строго определяем интерфейс использования
б) Создаём политику служебного туннеля ( можно создать и два, если это требует регламент безопасности )
в) Создаём профиль isakmp для создания служебного тоннеля, по одному на каждый туннель
г) Задаём трансформу-шифрование основного туннеля
д) Создаём профили ipsec на каждый туннель
е) И променяем профили к тоннелям
а) Создаём две ключницы -- по одной на каждое облако и строго определяем интерфейс использования
crypto keyring DMVPN-CLOUD1 local-address fa 2/1 pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 crypto keyring DMVPN-CLOUD2 local-address fa 1/0 pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
б) Создаём политику служебного туннеля ( можно создать и два, если это требует регламент безопасности )
crypto isakmp policy 10 encryption 3des authentication pre-share group 2
в) Создаём профиль isakmp для создания служебного тоннеля, по одному на каждое облако
crypto isakmp profile DMVPN-CLOUD1 keyring DMVPN-CLOUD1 match identity address 0.0.0.0 local-address fa 2/1 crypto isakmp profile DMVPN-CLOUD2 keyring DMVPN-CLOUD2 match identity address 0.0.0.0 local-address fa 1/0
г) Задаём трансформу-шифрование основного туннеля
crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac
д) Создаём профили ipsec на каждое облако
crypto ipsec profile DMVPN-CLOUD1 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-CLOUD1 crypto ipsec profile DMVPN-CLOUD2 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-CLOUD2
е) И променяем профили к тоннелям
interface Tunnel 1 tunnel protection ipsec profile DMVPN-CLOUD1 interface Tunnel 2 tunnel protection ipsec profile DMVPN-CLOUD2
------------------------------------------- Spoke1
а) Создаём две ключницы -- по одной на каждое облако и строго определяем интерфейс использования
crypto keyring D-CLOUD1 vrf R1C1 pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 crypto keyring D-CLOUD2 vrf R2C1 pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
б) Создаём политику служебного туннеля ( можно создать и два, если это требует регламент безопасности )
crypto isakmp policy 10 encryption 3des authentication pre-share group 2
в) Создаём профиль isakmp для создания служебного тоннеля, по одному на каждый туннель
crypto isakmp profile D-CLOUD11 vrf R1C1 keyring D-CLOUD1 match identity address 0.0.0.0 R1C1 local-address fa 1/0 crypto isakmp profile D-CLOUD12 vrf R2C1 keyring D-CLOUD2 match identity address 0.0.0.0 R2C1 local-address fa 2/1 crypto isakmp profile D-CLOUD21 vrf R1C1 keyring D-CLOUD1 match identity address 0.0.0.0 R1C1 local-address fa 1/0 crypto isakmp profile D-CLOUD22 vrf R2C1 keyring D-CLOUD2 match identity address 0.0.0.0 R2C1 local-address fa 2/1
г) Задаём трансформу-шифрование основного туннеля
crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac
д) Создаём профили ipsec на каждый туннель
crypto ipsec profile D-CLOUD11 set transform-set ESP-DES-MD5-HMAC set isakmp-profile D-CLOUD11 crypto ipsec profile D-CLOUD12 set transform-set ESP-DES-MD5-HMAC set isakmp-profile D-CLOUD12 crypto ipsec profile D-CLOUD21 set transform-set ESP-DES-MD5-HMAC set isakmp-profile D-CLOUD21 crypto ipsec profile D-CLOUD22 set transform-set ESP-DES-MD5-HMAC set isakmp-profile D-CLOUD22
е) И променяем профили к тоннелям
interface Tunnel 111 tunnel protection ipsec profile D-CLOUD11 interface Tunnel 112 tunnel protection ipsec profile D-CLOUD12 interface Tunnel 121 tunnel protection ipsec profile D-CLOUD21 interface Tunnel 122 tunnel protection ipsec profile D-CLOUD22
5) "Пилите, Шура, пилите! Они золотые!"
ПоказатьСкрыть
В продакшне при внедрении выловлено немало косяков, главная трудность в том что железка имеет свойство:
а) Перезагружаться при потере питания, значит внедрённое решение должно быть саморегулирущимся.
б) Поскольку конфиги меняются и сохраняются в процессе работы, то могут сохраниться и поднятые туннели и прочее атрибуты решения
Значит внедрённое решение должно быть саморегулирущимся из любой точки и из любого состояния
Пункты 1 и 2 в сумме налагают приличное количество ограничений на конструирование. Рабочее решение я подобрал только на 8-мом варианте переписывания, меняя как идеи с концептами, так и общесистемную логику.
Например был выловлен такой косяк на поднятых туннелях при загрузке циски, крайне неприятное сообщение:
% 192.168.101.0 overlaps with Tunnel111 % 192.168.102.0 overlaps with Tunnel121
после чего ip адреса пропадут с опущенных туннелей в избежании Overlaps.
action 30Х.1.31a,b решают эту проблему.
Так же это решение не будет работать, если не решить вопрос маршрутизации на HUB1 потому что, sla 22 будет всегда проседать из-за роутинга, решается простым применнием концептного модуля ip sla (искать по метке).
Кстати ip sla модуль был описан как раз составляющий элемент данного решения.
И конечно в каждом внедрении нужно чётко шлифовать таймеры в зависимости от нагрузки на железку. Словом масса нюансов в каждом конкретном случае будет иметь место быть. Но все они решаемы.
Подписаться на:
Сообщения (Atom)