Wie kann ich ein statisches IPsec-VPN-Tunnel-Failover durchführen?

8

Ich habe ein Netzwerk mit ausfallsicheren Gateways, wobei Kundenstandorte ein Standardgateway verwenden, um die Internet-Edge-Router zu erreichen, und die primäre Route für den Datenverkehr eine niedrigere Metrik verwendet.

IPSec-Tunnel werden von VPN-Konzentratoren hinter den Edge-Routern initiiert und statisch für die Zieltunnel-Endpunkte konfiguriert, bei denen es sich um Rechenzentren von Drittanbietern handelt. Ich kann mit dem Drittanbieter kein dynamisches Routing-Protokoll verwenden. Netzwerktopologie

Das Problem besteht darin, dass sich der Peering-Adressbereich, den der Dritte verwendet, regelmäßig ändert und den Primärtunnel herunterfährt und ein manueller Wechsel zum Sekundärtunnel umständlich durchgeführt wird.

  1. Wie kann ich in diesem Szenario am effizientesten ein Failover zwischen Tunneln durchführen, wenn die Ziel-IPs für die statische IPSec-Konfiguration nicht zuverlässig sind?
  2. Wie würde ich den Primärtunnel vorwegnehmen, sobald der Endpunkt verfügbar ist?
cisco vpn ipsec failover MattE
quelle
1
Das erste, was mir in den Sinn kommt, ist Folgendes: Wenn Ihr DC-Anbieter eines Drittanbieters seine Peer-Adresse häufig genug zufällig ändert, dass dies ein Problem darstellt, suchen Sie an anderer Stelle nach Diensten. Es mag nicht einfach / machbar sein, Änderungen vorzunehmen, aber wenn sie dies nicht richtig machen können, kann das, was sonst in der Infrastruktur, der Sie ihnen anvertraut haben, jederzeit kaputt gehen. Sie sollten auch bereit sein, Ihnen bei diesem Szenario zu helfen. Sie verursachen die Schmerzen, sie sollten helfen, wenn zu beheben.
Brett Lykins
Stimmen Sie dem
Welcher Hersteller und welches Modell sind die VPN-Konzentratoren und Edge-Router?
Brett Lykins
Fragen: Können Sie die Gateway-Router so konfigurieren, dass sie zwei Tunnel haben, einen für jedes Rechenzentrum? Und welche Marke von Routern sind das?
Ron Trunk
Für den VPN werden dann Servicemodule auf Cisco 6509-Switches verwendet, die am Rand eine Verbindung zu Cisco 7600-Routern herstellen.
MattE

Antworten:

5

Eine Lösung besteht darin, Performance Routing (PfR) auf den Gateway-Routern zu verwenden. PfR kann die Konnektivität zu jedem Rechenzentrum testen und dann den Verkehr zu demjenigen weiterleiten, der darauf reagiert. Wenn also ein Tunnel ausfällt, leitet PfR den Verkehr automatisch durch den anderen Tunnel zum anderen Rechenzentrum.

PfR kann dies tun, indem es jedes Rechenzentrum anpingt (oder IP SLA verwendet). Wenn der Londoner Tunnel ausfällt, leitet PfR den Verkehr durch den New Yorker Tunnel und umgekehrt.

Ich möchte Ihnen eine Konfiguration geben, aber ich muss mehr Details über Ihr Netzwerk sehen. In der Zwischenzeit können Sie sich einige Dinge ansehen:

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

Hier ist ein Video, wenn Sie eher visuell lernen.

http://www.cisco.com/de/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

Ron Trunk
quelle