• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Em xin giải pháp từ Project sau ! Mong các thầy , các anh giúp em .

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Em xin giải pháp từ Project sau ! Mong các thầy , các anh giúp em .

    *****Mô hình của em như sauClick image for larger version

Name:	Untitled.jpg
Views:	1
Size:	21.8 KB
ID:	207978
    *****SR vì em ko thể zoom picture để đc xem rõ hơn từ forum nên em có attach file trên đây .Thông cảm cho em nhé :)

    _Hiện tại em đã VPN Ipsec Site to Site ở 2 Nơi . Nhưng nhu cầu high available mà công ty em đăng ký thêm 1 leaseline MPLS . Và vì thế sẽ cần tới load balancing giữa 2 Line (VPN & MPLS ) ,MPLS sẽ chạy line chính . Khi Line chính Fail "tự động forward" qua line VPN .Và khi Line chính sống sẽ quay ngược lại .Hoàn toàn là tự động
    _Em cũng đang là học viên của VNPro ( lớp thầy Trần Cao Phong Thái ) , nay em muốn hỏi làm bằng cách nào mà có thể thực hiện đc mục đích thế .Theo như thầy Thái hướng dẫn thì ở mode config thì ta sẽ trỏ AD IP route cho Line VPN cao hơn Line MPLS . Nhưng em còn rất mơ hồ về cách làm , vậy các thầy và anh chỉ em có thể hiểu rõ hơn về cách làm này nhé ?

    *****Em cám ơn đã đọc bài của em !
    Attached Files
    Last edited by Guest; 16-09-2012, 04:34 PM.

  • #2
    Chẳng nhẽ không ai giúp em sao :(

    Comment


    • #3
      Please kindly feel free to contact me via YM. I will help you to fix it.
      > Ping CCNA
      Sending to CISCO.....Please wait.....

      Cho thuê CCIE LAB RS & SEC online giá rẻ đây (250k/6h for RS & 350k/6h for SEC)

      RS: R2611, R1841, SW3550/3560
      SEC: R2611, R2811, ASA5510 (Sec plus), IPS4235, SW3560

      Timeslots (GMT+7) - Vietnam (8h00 - 7h50+1)
      TS1.VN : 08h00 - 13h50
      TS2.VN : 14h00 - 19h50
      TS3.VN : 20h00 - 01h50
      TS4.VN : 02h00 -07h50

      Mọi chi tiết xin liên hệ vulevy (at) yahoo (dot) fr

      Comment


      • #4
        IP 2 site của line MPLS cùng subnet hay khác subnet vậy bạn?
        Yêu cầu của bạn có thể xài Static route (modified AD) kết hợp với IP SLA sẽ thực hiện được.
        Bạn cho sơ đồ có IP đi, mình sẽ cho bạn file cấu hình mẫu

        Thân.
        Nguyễn Bá Hiển
        Email: nguyenbahien@vnpro.org
        Yahoo: nguyenbahien_vnpro
        ------------------------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #5
        Mình mới support cho một bạn, có vẻ yêu cầu của 2 bạn tương đối giống nhau
        Bạn tham khảo nhé.
        http://vnpro.org/forum/showthread.ph...sco-2801/page2
        Nguyễn Bá Hiển
        Email: nguyenbahien@vnpro.org
        Yahoo: nguyenbahien_vnpro
        ------------------------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #6
          Hiện tại em đã cấu hình đc theo như mô hình Site to Site rồi ( vẫn theo mục đích là MetroWan active , VPN Backup ) và thiết bị của em hoàn toàn trên Cisco . Nhưng hiện tại ở giải pháp mở rộng mô hình thì lại nãy sinh vấn đề ( Site to Multisite ) .

          Comment


          • #7
            Mô tả chi tiết hơn !

            Click image for larger version

Name:	Capture.JPG
Views:	1
Size:	51.1 KB
ID:	205841

            Mô hình em là thế Site to Site thành công là ở HQ & Branch , nhưng giờ phát sinh thêm Site Bình Dương ( cũng là MetroWan active & VPN Backup ) thì lại không đc :

            ******HQ#show startup-config
            Using 1277 bytes
            !
            version 12.4
            no service timestamps log datetime msec
            no service timestamps debug datetime msec
            no service password-encryption
            !
            hostname HQ
            !
            !
            !
            !
            !
            !
            !
            !
            crypto isakmp policy 9
            hash md5
            authentication pre-share
            !
            crypto isakmp key 123456 address 115.114.113.1
            !
            crypto ipsec security-association lifetime seconds 86400
            !
            crypto ipsec transform-set muaban esp-3des esp-md5-hmac
            !
            crypto map MB 10 ipsec-isakmp
            set peer 115.114.113.1
            set security-association lifetime seconds 86400
            set transform-set muaban
            match address 100
            !
            !
            !
            !
            !
            !
            !
            !
            !
            interface FastEthernet0/0
            ip address 192.168.1.1 255.255.255.0
            duplex auto
            speed auto
            !
            interface FastEthernet0/1
            ip address 172.16.20.1 255.255.255.0
            duplex auto
            speed auto
            !
            interface Serial0/2/0
            ip address 113.114.115.1 255.255.255.0
            clock rate 64000
            crypto map MB
            !
            interface Serial0/2/1
            ip address 172.16.10.1 255.255.255.0
            clock rate 64000
            !
            interface Vlan1
            no ip address
            shutdown
            !
            ip classless
            ip route 0.0.0.0 0.0.0.0 Serial0/2/1
            ip route 0.0.0.0 0.0.0.0 Serial0/2/0 200
            ip route 116.115.114.0 255.255.255.0 113.114.115.2
            ip route 115.114.113.0 255.255.255.0 113.114.115.2
            !
            !
            access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
            !
            !
            !
            !
            !
            line con 0
            line vty 0 4
            login
            !
            !
            !
            end
            __________________________________________________ ______________________
            ********BinhDuong#show startup-config
            Using 1255 bytes
            !
            version 12.4
            no service timestamps log datetime msec
            no service timestamps debug datetime msec
            no service password-encryption
            !
            hostname BinhDuong
            !
            !
            !
            !
            !
            !
            !
            !
            crypto isakmp policy 9
            hash md5
            authentication pre-share
            !
            crypto isakmp key 99999 address 113.114.115.1
            !
            crypto ipsec security-association lifetime seconds 86400
            !
            crypto ipsec transform-set muaban esp-3des esp-md5-hmac
            !
            crypto map mymap 10 ipsec-isakmp
            set peer 113.114.115.1
            set security-association lifetime seconds 86400
            set transform-set muaban
            match address 101
            !
            !
            !
            !
            !
            !
            !
            !
            !
            interface FastEthernet0/0
            ip address 172.16.20.2 255.255.255.0
            duplex auto
            speed auto
            !
            interface FastEthernet0/1
            ip address 116.115.114.2 255.255.255.0
            duplex auto
            speed auto
            crypto map mymap
            !
            interface FastEthernet1/0
            ip address 192.168.3.1 255.255.255.0
            duplex auto
            speed auto
            !
            interface FastEthernet1/1
            no ip address
            duplex auto
            speed auto
            shutdown
            !
            interface Vlan1
            no ip address
            shutdown
            !
            ip classless
            ip route 115.114.113.0 255.255.255.0 116.115.114.1
            ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 201
            ip route 0.0.0.0 0.0.0.0 116.115.114.1 202
            !
            !
            access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
            !
            !
            !
            !
            !
            line con 0
            line vty 0 4
            login
            !
            !
            !
            end

            __________________________________________________ ________________________________________________
            **********Branch#show startup-config
            Using 1262 bytes
            !
            version 12.4
            no service timestamps log datetime msec
            no service timestamps debug datetime msec
            no service password-encryption
            !
            hostname Branch
            !
            !
            !
            !
            !
            !
            !
            !
            crypto isakmp policy 9
            hash md5
            authentication pre-share
            !
            crypto isakmp key 123456 address 113.114.115.1
            !
            crypto ipsec security-association lifetime seconds 86400
            !
            crypto ipsec transform-set muaban esp-3des esp-md5-hmac
            !
            crypto map MB 10 ipsec-isakmp
            set peer 113.114.115.1
            set security-association lifetime seconds 86400
            set transform-set muaban
            match address 100
            !
            !
            !
            !
            !
            !
            !
            !
            !
            interface FastEthernet0/0
            ip address 192.168.2.1 255.255.255.0
            duplex auto
            speed auto
            !
            interface FastEthernet0/1
            no ip address
            duplex auto
            speed auto
            shutdown
            !
            interface Serial0/2/0
            ip address 115.114.113.1 255.255.255.0
            crypto map MB
            !
            interface Serial0/2/1
            ip address 172.16.10.2 255.255.255.0
            !
            interface Vlan1
            no ip address
            shutdown
            !
            router rip
            version 2
            network 172.16.0.0
            network 192.168.2.0
            no auto-summary
            !
            ip classless
            ip route 0.0.0.0 0.0.0.0 Serial0/2/0 200
            ip route 0.0.0.0 0.0.0.0 Serial0/2/1
            ip route 116.115.114.0 255.255.255.0 115.114.113.2
            !
            !
            access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
            !
            !
            !
            !
            !
            line con 0
            line vty 0 4
            login
            !
            !
            !
            end
            __________________________________________________ __________________________________________________ _______
            Nếu theo cấu hình sau , thì khi Router Branch bật lên thì Site HQ sẽ không có tín hiệu đi về site Router BinhDuong , nếu Site Router Branch tắt đi thì lại có tín hiệu Site Router SG về Site Router BìnhDương . Nhưng mục đích thực sự là 2 Site Branch và BinhDuong sẽ kết nối MetroWan về Site SG và tương ứng như thế thì 2 Site Branch và BìnhDương sẽ có 2 đường VPN riêng biệt về Site SG làm backup.


            _____Xin các thầy và các bạn giúp em !

            Comment


            • #8
              Bạn quăng nguyên file cấu hình, đọc đuối quá.
              Nhưng sơ lược khá nhiều cái không hay.
              Thứ 1 là chưa cấu hình SLA để đạt được mục đích Primary và backup
              Thứ 2 là trên Site BD và SG vẫn chưa tạo được VPN (SG chưa cấu hình VPN về site BD). Trên site BD thì 2 câu lệnh static route đều đang sử dụng đường VPN. Đường MPLS không được route.

              Rồi việc route static, bạn cũng nên cố gắng sử dụng next-hop thay vì xài outgoing interface
              Đây có lẽ bạn triển khai dự án cho khách hàng của bạn. Mình chỉ có thể support từng phần, chứ khó có thể troubleshoot nguyên cái project cho bạn được (đặc biệt là chỉ qua việc đọc file config như thế này). Mình Chỉ có thể cố gắng giúp bạn về giải pháp thôi.
              Nguyễn Bá Hiển
              Email: nguyenbahien@vnpro.org
              Yahoo: nguyenbahien_vnpro
              ------------------------------------------------------------------------------------------------------------
              Trung Tâm Tin Học VnPro
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel : (08) 35124257 (5 lines)
              Fax: (08) 35124314

              Home page: http://www.vnpro.vn
              Support Forum: http://www.vnpro.org
              - Chuyên đào tạo quản trị mạng và hạ tầng Internet
              - Phát hành sách chuyên môn
              - Tư vấn và tuyển dụng nhân sự IT
              - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

              Network channel: http://www.dancisco.com
              Blog: http://www.vnpro.org/blog

              Comment


              • #9
                Em xin gửi lại File mà em đã làm Lab trên phần mềm packet tracer !

                Em có đính kèm file . Gửi cho những ai quan tâm và muốn giúp em . Tks mọi người !
                Attached Files

                Comment


                • #10
                  Originally posted by hcm.tung.tran View Post
                  Em có đính kèm file . Gửi cho những ai quan tâm và muốn giúp em . Tks mọi người !
                  Như hiển đã nói thì mình chỉ góp ý thôi không cấu hình sẵn cho bạn. với mô hình này để đạt mục đích mà bạn mong muốn thì có 2 cách:
                  1. bạn ruote bình thường cả 2 site và dùng sla để track đường route để backup.
                  2. bạn dùng tunnel để route và track để backup.(công ty đang chạy, nhưng mình không thích cách này ^^, tốn performance)
                  3. ai có thì góp ý.

                  Comment

                  • Working...
                    X