Краткое описание

Данная работа является продолжением материала
http://ciscomaster.ru/content/mikrotik-cisco-l2tp-ipsec-ospf
Там были обнаружены проблемы с работой OSPF: при использовании point-to-point ospf не отдавал маршруты в mikrotik в таблицу main.
Данная проблема решалась через отказ использования unnumbered на virtual-template, но рождала проблему со связью SPOKE-SPOKE.
Все эти вопросы были решены в данной работе.

Mikrotik - замечательное недорогое оборудование, уже сейчас успешно конкурирующее с Cisco, - пока в сегменте SOHO. Идеально для дома и для малого филиала. Прекрасно работает с центральным более серьёзным оборудованием.

Интеграцию Mikrotik с существующей средой Cisco можно разделить на несколько этапов:

1. Подключение маршрутизаторов в помощью протоколов VPN
2. Подключение маршрутизаторов через динамические протоколы маршрутизации
3. Обеспечение автоматического переключения в случае сбоя провайдеров ISP

Mikrotik и Cisco поддерживают множество протоколов VPN.
Но для соединения шифрованным каналом оборудования разных производителей лучше всего подходят комбинации протоколов:

• GRE + IPSec - надёжный вариант, позволяющий работать как с шифрованием, так и без. Основными минусами GRE является необходимость использования только белых адресов для SPOKE; GRE всегда требует настроек туннеля со стороны как серверной и клиентской, что сильно усложняет конфигурацию центрального узла при большом количестве споков.
• L2TP + IPSec L2TP может работать без IPSec. Также, настройка спока L2TP относительно проще в настройках. Большим плюсом L2TP является возможность работы споков из-под серых адресов. Например в аварийной ситуации резервным каналом может стать обычный мобильный телефон с LTE, - когда Mikrotik выступает клиентом Wifi для этого телефона. По этим причинам данный материал посвящен именно этому варианту VPN

В качестве динамического протокола мы будем использовать OSPF, но, в общем случае, сеть Cisco часто построена на протоколе EIGRP, который не поддерживается оборудованием Mikrotik. Поэтому на одном из хабов будет настроена OSPF - EIGRP redistribution.

Автоматическое переключение будет обеспечено построением нескольких каналов L2TP от одного спока, а также силами OSPF

В схеме ЦО представлен двумя роутерами:
- 4431 - подключен к ISP1 (PRI)
- 891 - подключен к ISP2 (SEC)

Каждый SPOKE-роутер подключен к интернету двумя провайдерами: ISP1 (PRI), ISP2 (SEC)

Именование туннелей выполнено по принципу: (ISP_от_ЦО)-(ISP_от_SPOKE).
Например SEC-PRI означает, что туннель подключен: ЦО ISP2 (SEC) --- SPOKE ISP1 (PRI)
Туннели по приоритетам будут распределены следующим образом:

1. PRI-PRI
2. SEC-PRI
3. PRI-SEC

Как видно из схемы, SPOKE1 имеет лишь один белый статический адрес от ISP1. SPOKE2 к обоим провайдерам подключен через серые адреса, которые он получает по DHCP.

ВНИМАНИЕ
Доступ к статье ограничен, обращайтесь к автору: ciscomaster@mail.ru

Перейти к статье Интеграция маршрутизаторов Mikrotik с существующей средой Cisco (L2TP, IPSec, OSPF)