2012/1/13 Dan <[email protected]>: > Acuma..ca am rezolvat problema cu tunelele ipsec prin 2 provideri(vezi > mai jos) deschid un nou fir de discutie oarecum legat de prima problema: > > Acum am tunelele ridicate prin provider1 cu route explicite spre > capetele tunelelor prin provider1. Adun idei pentru o trecere "cat mai" > automata la tunele prin provider2 (si routele aferente capetelor mutate > prin provider2) in cazul in care...ninge masiv doar pe antena primului > provider:).... > > In principiu mutarea routelor explicite de pe provider1 pe provider2 o > pot face din /etc/conf.d/net la rubricile postup/postdown ..zic eu... > Ipsec-ul il restartez manual in fiecare locatie dupa ce modific ip-urile > pentru capatul "nins"...si nu prea stiu alta varianta... >
exista doua variante: 1. faci IPSec doar intre IP-urile dintre capete pe fiecare provider (cu rute specifice puse cum trebuie), dupa care faci tunele GRE peste IPSec, iar peste GRE rulezi OSPF. asta te ajuta o data da ai failover automat si sa imparti traficul relativ egal peste cei doi provideri. 2. iti definesti care e primary provider si care e secondary, faci IPSec intre primary providers si IPSec intre secondary providers, iar cu un script care da ping peste tunel sa vada daca e conectivitate foloseste iproute2 sa faca source routing pentru subneturile din spate (protected networks) cand pe unul sau pe altul. scriptul bineinteles il rulezi pe ambele gateway-uri astfel incat cand se strica un provider sa se "sincronizeze" si celalalt capat cu noua topologie. daca ai mai multe filiale (cum zici) replici setupul de X ori :) _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
