|
|
 |
MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP |
 |
Cisco Forum — Allgemein
Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls |
 |
30.08.2006, 13:56
|
#1
|
|
Newbie
Offline
Registriert seit: 08-2006
Beiträge: 3
|
2 Standleitungen
Hallo,
ich habe folgendes Problem:
Im Moment haben wir ne Pix an der am Outside Interface ein Cisco Router mit ner 2MBit/s Leitung hängt. Auf dem Router kann ich nicht zugreifen. Wir wollen aus Kostengründen uns jetzt noch eine DSL Leitung dazu holen. Das klingt bis jetzt noch garnicht so kompliziert, aber die PIX hält VPN´s zu Zweigstellen. Ich wollte jetzt einen Router in das gleiche Netzthängen, der dann quasie entscheidet, ob das über die DSL Leitung oder die Standleitung geht. Einen 2621 habe ich noch übrig. Schön wäre es, wenn das ganze auch noch dynamisch ginge. Hat jemand eine Idee??? Ich hätte auch noch ein Interface an der PIX frei, doch so habe ich garkeine Idee.....
Danke !!!!!
|
|
|
|
|
30.08.2006, 14:41
|
#2
|
|
Board Veteran
Offline
Registriert seit: 12-2004
Ort: Munich
Beiträge: 595
|
Hola,
hat der Router ein oder zwei Interfaces ins WAN? Wie soll das physikalisch aussehen.
Denke mit Routetracks sollte das gehen.
Ciao
|
|
|
|
|
30.08.2006, 17:41
|
#3
|
|
Newbie
Offline
Registriert seit: 08-2006
Beiträge: 3
|
Also ich hätte an der Pix auch noch ein Freies Interface. An dem 2621 Habe ich 2 FE Ports. Aber ich kann mir zur noct auch noch ein FE Port kaufen kein Problem. Wenn Du einen Vorschlag hast, wie das ohne zusätzlichen Router geht, kann ich auch gerne auf den verzichten. Routetracks ??? Ich glaube ich habe schon zu lange nichts mehr mit Routern gemacht....
|
|
|
|
|
30.08.2006, 19:13
|
#4
|
|
Member
Offline
Registriert seit: 01-2004
Beiträge: 294
|
..
Hi,
das ist nicht ganz einfach dynamisch zu machen..
Folgende Sachen musst du beacheten:
- Was passiert mit den VPNs, wenn ein Link down geht? Die PIX muss mit IPs vom ADSL Anschluss ins Internet, also werden die VPN Tunnel ein Problem haben. Du solltest auf der PIX immer diesselbe offizielle IP haben, das wird schwer, da die andere IPs am ADSL Anschluss hast..
- Ein weiteres Prob. ist, dass auch wenn du den 2600er zw. PIX und Provider CPEs hängst, die PIX dann nicht weiss, welcher Link up/down ist..
Mir würde folgendes einfallen:
Du hast 2 Anschlüssen ins Internet. Dahinter 2600er (mit IOS welches OSPF od. EIGRP kann) mit 3 Fastethernet ports (Also wirst du ein NM-Modul benötigen..).
Ein port zu Router 2 Mbit Leitung in dessen IP Subnet (Bsp: 100.100.100.0 / 29)
Den 2ten Port zu ADSL Router in dessen Subnet (Bsp: 200.200.200.0 / 29)
3 Port zu PIX in privatem Netz (Bsp: 172.16.0.0 / 30)
Du machst nun von den Aussenstellen einen 2 GRE Tunnel.
1 Tunnel zu 2600er-IP von ProviderA und
1 Tunnel zu 2600er-IP von ProviderB.
Darüber nun EIGRP/OSPF (ich empfehle dir OSPF). An den Interfaces den OSPF cost erhöhn (im FAlle von eigrp die bandwidth setzen).
über das Routingprotokoll das Netz 172.16.0.0 / 30 ankündigen.
Fällt der erste GRE Tunnel, so wird über den 2ten geroutet.
Die Aussenstellen müssen als peer die private IP haben ( 172.16.0.x). Der Router in der Aussenstelle kennt die Route ja über den Tunnel...der Rest wird ins Inet geroutet.
Zum Internet in der HAuptstelle:
Entweder du machst kein NAT und lässt dies direkt von Router machen,
oder du nattest alles auf die 172.16.0.x und der Router nattet alles nochmals..
Das Problem ist das Backup fürs Internet. der Router hat zwar die GRE Tunnels und erkennt wenn einer down geht (also für die VPN), aber er erkettn nicht, wenn "Internet nicht funktioniert).
Um dies zu lösen könntest du am 2600er ein sog. object tracking machen. Mit diesem Feature kannst du z.B. eine IP anpingen, sobald diese nict antwortet, wird auf den anderen Link umgeschaltet.
..ich denke das war zuviel gelabere, aber theoretisch sollte es so klappen..
Grüsse
Thomas
|
|
|
|
|
|
31.08.2006, 09:13
|
#5
|
|
Newbie
Offline
Registriert seit: 08-2006
Beiträge: 3
|
Hallo Thomas,
vielen vielen Dank für Deine Antwort... Aber ich glaube das wird mir so zu aufwendig...
Gehe mal davon aus, dass das VPN erstmal permanent über die Standleitung gehen soll, nur bestimmter Traffic wie www, Mail, etc. Über das DSL. Gibts da nicht eine Möglichkeit das nach Ports oder so zu routen ??? Desweiteren hätte ich in der PIX auch noch weitere Interfaces frei (ist eine 515U mit 6 Interfaces, davon 4 belegt). Ich gehe zwar im November auf 2 Cisco Seminare deswegen, aber ich würde gerne vorher schonmal ein bisl. probieren....
Vielen Dank !!!
Martin
|
|
|
|
|
31.08.2006, 19:12
|
#6
|
|
Board Veteran
Offline
Registriert seit: 12-2004
Ort: Munich
Beiträge: 595
|
Hallo,
viel zu stressig...
auf den Router machst du ein track auf die IP der Gegenseite, d.h. die wird die ganze Zeit gepingt. Falls die Gegenstelle nicht mehr antwortet wird das DSL INterface (zweites Ethernet Interface) verwendet.
Falls du nur bestimmte Dienste übers DSL routen willst geht das mit policy-based routing.
P.S.
Denke die Konstallation sollte auch über OER gehen, dann hast du auch Load Sharing.
Ciao
|
|
|
|
|
|
|
