Konfigurieren der Redundanz mit Floating Static

7

Ich wollte mein Netzwerklayout veröffentlichen, habe aber nicht den erforderlichen Ruf. Also habe ich unten ein Netzwerkdiagramm erstellt:

       ISP
       / \
      /   \
     /     \
    HQ------Branch
    |         |
  HQ-PC      B-PC

Ich versuche, die WAN-Verbindung zwischen HQ und Zweigstelle als Sicherungsverbindung zu verwenden, und es dürfen keine Daten übertragen werden, es sei denn, die Verbindung zwischen HQ zu ISP oder Zweigstelle zu ISP ist unterbrochen. Das heißt, es darf ausschließlich als Backup-Link verwendet werden.

Ich habe Floating Static verwendet, um die Redundanz zu konfigurieren. Es funktioniert jedoch nicht ganz so, wie ich es erwartet habe. Was ich getan habe sind:

1) eine Standardroute im Hauptquartier und Zweigstelle zum ISP (0.0.0.0 0.0.0.0 NEXT-HOP-IP)

2) statische Route beim ISP zu HQ und Branch (HQ / BRANCH-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP)

3) eine statische (bevorzugte) Route im Hauptquartier (BRANCH-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-ISP)

4) eine statische (bevorzugte) Route bei Branch (HQ-NETZWERK-ADRESSE SUBNET-MASKE NÄCHSTER-HOP-IP-TO-ISP)

5) eine schwebende statische (Backup-) Route im Hauptquartier (BRANCH-NETWORK-ADRESSE SUBNET-MASKE NÄCHSTE HOFFNUNG-IP-ZUM-HQ-DURCH-BACKUP-LINK)

6) eine schwebende statische (Backup-) Route bei Branch (HQ-NETZWERK-ADRESSE SUBNET-MASKE NÄCHSTE HOFFNUNG-IP-ZUM ZWEIG-DURCH-BACKUP-LINK)

Es gibt jedoch ein Problem. Wenn beispielsweise die Verbindung zwischen ISP und HQ unterbrochen ist und ich von HQ-PC zu B-PC pingen möchte, wird das Paket erfolgreich von HQ-PC zu B-PC gesendet, das zurückkehrende Paket jedoch von B-PC wird an den ISP und nicht über den Backup-Link gesendet.

Tut mir leid für einen so langen Beitrag, aber gibt es jemanden, der mir helfen kann? Wenn meine Erklärung unklar ist, können Sie gerne nachfragen. Danke im Voraus

EDIT: Entschuldigung für die Verwirrung, es sollten keine Routing-Protokolle mit dem ISP ausgeführt werden

cisco cisco-commands redundancy Bob
quelle
Machst du BGP mit dem ISP? Wenn ja, wird dies einfacher, wenn nicht, dann gibt es Möglichkeiten, aber es wird nicht so lustig.
Olipro
1
Die Voraussetzung ist, dass sie keine Routing-Protokolle mit dem ISP ausführen wollen
Bob
1
@ Bob, bitte sagen Sie mir, dass Ihr Unternehmen den Inter-Office-Verkehr verschlüsselt, den sie über das Internet senden
Mike Pennington
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

9

Wie Sie bereits erwähnt haben, werden Ihre statischen Routen unterbrochen, da es an beiden Standorten keine Möglichkeit gibt, ein Failover auf die WAN-Verbindung zu erzwingen, wenn eine Website den Uplink zum Internet verliert.

Die beste Lösung für dieses Problem besteht darin, eine Art gerouteten Tunnel (bezogen auf die ISP-Verbindungsadressen auf R1 und R2 im Diagramm) über das Internet einzurichten, ein dynamisches Routing-Protokoll (OSPF / EIGRP) über Ihren Tunnel auszuführen und zu sichern WAN, und legen Sie die Routing-Metriken für die WAN-Verbindung viel höher fest.

HQ-Backup-Tunnel

Da Sie den Tunnel von den Internetverbindungen auf beiden Seiten beziehen, bricht der Tunnel, wenn eine Seite die Internetverbindung verliert (und der IGP stellt Ihre WAN-Verbindung wieder her). Stellen Sie in diesem Fall sicher, dass PMTUD durch den Tunnel funktioniert, damit der Tunnel-Overhead berücksichtigt wird. Diese Art von Inter-Office-verschlüsseltem VPN ist weit verbreitet, daher ist es eine vertraute Topologie für alle, die dieses Netzwerk in Zukunft unterstützen müssen.

Das Problem, mit dem Sie bei Ihrem vorhandenen Design konfrontiert sind, ist, dass der gesamte Datenverkehr zwischen den Büros unverschlüsselt zu sein scheint (zumindest, wenn ich Ihre Frage zum Nennwert lese). Wenn Sie dies noch nicht tun, würde ich Ihnen dringend empfehlen, den gesamten Datenverkehr zwischen Ihren Unternehmensseiten zu verschlüsseln, wenn dieser über das Internet erfolgt .

Mike Pennington
quelle
@bob, welches Modell von Netzwerkgeräten haben Sie an jedem Standort? Wenn Cisco EQPT, geben Sie bitte an, welche iOS-Funktionen Sie haben
Mike Pennington
5

(Die ursprüngliche All-BGP-Antwort wurde gemäß der Anforderung des OP geändert, kein dynamisches Routing an den ISP durchzuführen.)

Wie von @Mike vorgeschlagen, ist Tunnel + dynamisches Routing, insbesondere in der INET-Ausrichtung, eine solide Lösung. Wenn Sie jedoch aus irgendeinem Grund keinen Tunnel möchten (keine HW-Unterstützung, keine MTU verlieren möchten, dynamisches Routing auch intern nicht akzeptabel), ist Ihre andere Option die Verfolgung von IP SLA-Routen.

Ich werde erklären, wie es bei dem genau beschriebenen Problem hilft, bei dem der Zweig weiterhin Datenverkehr an INET zurückgibt, während er den direkten Link verwenden sollte.

In der Filiale hätten Sie:

ip route HQNet HQMask InetIF InetNH track 1 50
ip route HQNet HQMask DirectIF DirectNH 100
ip route HQStableTestIP 255.255.255.255 InetIF InetNH
!
track 1 ip sla 1
!
ip sla 1
 icmp-echo <HQStableTestIP> source-interface InetIF
ip sla schedule 1 start-time now

Wenn das Hauptquartier nicht über INET erreichbar ist, sollte die Verfolgung fehlschlagen und die INET-spezifischere Route sollte ungültig werden, und Sie sollten auf die nächstbeste Route zurückgreifen, die auf die direkte Verbindung verweist.

ytti
quelle
Es tut mir wirklich leid für den Ärger, es war mein Fehler, nicht zu sagen, dass es keine Routing-Protokolle geben sollte, die mit dem ISP ausgeführt werden :(
Bob
Dann können Sie am besten 'IP SLA' verwenden, um die statischen Routen zu verfolgen. Um robust gegenüber Tracking-Problemen zu sein, benötigen Sie drei Routen: 1) Zeigen auf primäre, verfolgte 2) Zeigen auf sekundäre, verfolgte 3) Zeigen auf primäre, nicht verfolgte Routen (3. wird benötigt, wenn die gesamte Verfolgung fehlschlägt, versuchen Sie dennoch, sie zu verwenden die primäre Verbindung, anstatt aufzugeben). Andere Fragen auf dieser Site enthalten IP SLA-Beispiele.
Ytti
Die ursprüngliche Antwort wurde geändert, um die neue Anforderung
widerzuspiegeln
1
Das OP muss seinen Datenverkehr wirklich über das Internet verschlüsseln. Nach mehrmaliger Prüfung der Frage bin ich zunehmend davon überzeugt, dass er derzeit seinen internen Datenverkehr als Klartext sendet.
Mike Pennington
1
Das obligatorische Drama um Pedanterie wird zur Kenntnis genommen. Das Vertrauen in jeden Schlüssel in Skripten ist eine akzeptable Lösung, solange andere Personen manuell auf denselben Geräten mit aktivierter Schlüsselprüfung ssh ... Wenn Sie Ihr Leben damit verbringen, CLI-Sitzungen zu automatisieren, gibt es bestimmte Entscheidungen, die Sie als Mensch niemals treffen würden, um Ihre zu behalten Arbeiten Sie von der Spirale in die Löcher der Lösungen mit geringer Wahrscheinlichkeit. Das OP-Diagramm kann die Referenzierung zum gleichen ISP widerspiegeln oder auch nicht ... das könnte einfach ein Artefakt sein, wenn man ein ASCII-Art-Diagramm nicht mit unnötigen Details komplizieren möchte
Mike Pennington