Bagaimana cara failover terowongan ipsec vpn statis?

8

Saya memiliki jaringan dengan gateway tangguh di mana situs Pelanggan menggunakan gateway default untuk mencapai router tepi internet dan rute utama untuk lalu lintas menggunakan metrik yang lebih rendah.

terowongan ipsec dimulai dari konsentrator vpn di belakang router tepi dan secara statis dikonfigurasikan ke titik akhir terowongan tujuan yang merupakan pusat data pihak ketiga. Saya tidak dapat menggunakan protokol routing dinamis dengan pihak ke-3. Topologi Jaringan

Masalahnya adalah bahwa kisaran alamat peering yang pihak ke-3 menggunakan perubahan secara berkala dan menurunkan terowongan primer dan beralih manual ke terowongan sekunder sedang dilakukan secara rumit.

  1. Bisakah saya bisa melakukan failover paling efisien di antara terowongan dalam skenario ini jika IP tujuan tidak dapat diandalkan untuk konfigurasi ipsec statis?
  2. Bagaimana cara saya melakukan pre-empt pada tunnel primer begitu endpoint tersedia?
cisco  vpn  ipsec  failover 
MattE
sumber
1
Hal pertama yang terlintas di pikiran saya adalah ini: jika penyedia DC pihak ke-3 Anda secara acak cukup sering mengubah alamat rekan mereka sehingga ini merupakan masalah, cari tempat lain untuk mendapatkan layanan. Mungkin tidak mudah / layak untuk diubah, tetapi jika mereka tidak bisa memperbaikinya, infrastruktur apa yang Anda percayai dapat rusak kapan saja. Juga, mereka harus bersedia membantu Anda dengan skenario ini. Mereka menyebabkan rasa sakit, mereka harus membantu memulihkan jika.
Brett Lykins
Sepenuhnya setuju dan melihat itu tetapi kontrak membutuhkan waktu lama untuk berubah sehingga perlu pendekatan alternatif sementara itu
MattE
Produsen dan model apa yang dimaksud dengan konsentrator VPN dan router Edge?
Brett Lykins
Pertanyaan: Bisakah Anda mengonfigurasi router gateway untuk memiliki dua terowongan, satu untuk setiap pusat data? Dan apa merek router mereka?
Ron Trunk
Untuk vpn maka modul layanan digunakan pada switch Cisco 6509 yang terhubung ke router Cisco 7600.
MattE

Jawaban:

5

Salah satu solusinya adalah dengan menggunakan Performance routing (PfR) pada router gateway. PfR dapat menguji konektivitas ke setiap pusat data dan kemudian merutekan lalu lintas ke mana pun yang ditanggapi. Jadi, jika terowongan turun, PfR akan secara otomatis merutekan lalu lintas melalui terowongan lain ke pusat data lainnya.

PfR dapat melakukan ini dengan melakukan ping (atau menggunakan IP SLA) masing-masing pusat data. Jika terowongan London gagal, PfR akan mengarahkan lalu lintas melalui terowongan New York, dan sebaliknya.

Saya ingin memberi Anda konfigurasi, tetapi saya perlu melihat detail lebih lanjut tentang jaringan Anda. Sementara itu, Anda dapat melihat beberapa hal:

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

Ini sebuah video jika Anda lebih menyukai pelajar visual.

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

Ron Trunk
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.