Como fazer failover em túneis ipsec vpn estáticos?

8

Eu tenho uma rede com gateways resilientes, em que os sites do Cliente usam um gateway padrão para acessar os roteadores de borda da Internet e a rota principal de tráfego usa uma métrica mais baixa.

Os túneis ipsec são iniciados a partir de concentradores de VPN atrás dos roteadores de borda e são configurados estaticamente para os pontos de extremidade do túnel de destino, que são data centers de terceiros. Não consigo usar um protocolo de roteamento dinâmico com terceiros. Topologia de rede

O problema é que o intervalo de endereços de peering que a terceira parte usa periodicamente muda e desativa o túnel primário e uma troca manual para o túnel secundário está sendo executada com dificuldade.

  1. Como posso fazer o failover com mais eficiência entre os túneis nesse cenário se os IPs de destino não são confiáveis ​​para a configuração IPsec estática?
  2. Como eu iria antecipar o túnel primário assim que o nó de extremidade se tornasse disponível?
cisco vpn ipsec failover MattE
fonte
11
A primeira coisa que me vem à mente é o seguinte: se o seu provedor de DC de terceiros alterar aleatoriamente seu endereço de pares com frequência suficiente para que isso seja um problema, procure outros serviços. Pode não ser fácil / viável mudar, mas se eles não conseguirem fazer isso direito, o que mais na infraestrutura em que você confiou pode ser interrompido a qualquer momento. Além disso, eles devem estar dispostos a ajudá-lo nesse cenário. Eles estão causando a dor, eles devem ajudar a remediar se.
Brett Lykins
Concordo completamente e olhando para isso, mas contratos levar um longo tempo para mudar isso precisa de uma abordagem alternativa, entretanto
Matte
Qual fabricante e modelo são os concentradores de VPN e os roteadores de borda?
Brett Lykins
Perguntas: Você pode configurar os roteadores de gateway para terem dois túneis, um para cada data center? E que marca de roteadores são eles?
Ron Trunk
Para o vpn, os módulos de serviço são usados ​​nos comutadores Cisco 6509 que se conectam aos roteadores Cisco 7600 na borda.
Matte

Respostas:

5

Uma solução é usar o roteamento de desempenho (PfR) nos roteadores de gateway. O PfR pode testar a conectividade com cada data center e, em seguida, direcionar o tráfego para o que estiver respondendo. Portanto, se um túnel cair, o PfR encaminhará automaticamente o tráfego através do outro túnel para o outro datacenter.

O PfR pode fazer isso executando ping (ou usando o IP SLA) em cada um dos data centers. Se o túnel de Londres falhar, o PfR encaminhará o tráfego pelo túnel de Nova York e vice-versa.

Gostaria de lhe dar uma configuração, mas preciso ver mais detalhes sobre sua rede. Enquanto isso, você pode observar algumas coisas:

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

Aqui está um vídeo, se você é um aprendiz visual.

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

Ron Trunk
fonte