¿Cómo conmutar por error los túneles estáticos ipsec vpn?

8

Tengo una red con puertas de enlace resistentes mediante las cuales los sitios del Cliente usan una puerta de enlace predeterminada para llegar a los enrutadores de borde de Internet y la ruta principal para el tráfico usa una métrica más baja.

Los túneles ipsec se inician desde los concentradores vpn detrás de los enrutadores de borde y se configuran estáticamente en los puntos finales del túnel de destino, que son centros de datos de terceros. No puedo usar un protocolo de enrutamiento dinámico con un tercero. Topología de la red

El problema es que el rango de direcciones de interconexión que la tercera parte está usando periódicamente cambia y baja el túnel primario y se está llevando a cabo engorrosamente un cambio manual al túnel secundario.

  1. ¿Cómo puedo hacer una conmutación por error más eficiente entre túneles en este escenario si las IP de destino no son confiables para la configuración de ipsec estática?
  2. ¿Cómo adelantaría el túnel primario una vez que el punto final esté disponible?
cisco vpn ipsec failover MattE
fuente
1
Lo primero que me viene a la mente es esto: si su proveedor de DC de terceros está cambiando aleatoriamente su dirección de pares con la frecuencia suficiente como para que esto sea un problema, busque servicios en otro lugar. Puede que no sea fácil / factible cambiar, pero si no pueden hacerlo bien, qué otra cosa en la infraestructura en la que confió puede romperse en cualquier momento. Además, deberían estar dispuestos a ayudarlo con este escenario. Están causando el dolor, deberían ayudar a remediarlo si.
Brett Lykins
Totalmente de acuerdo y mirando eso, pero los contratos tardan mucho en cambiar, por lo que es necesario un enfoque alternativo mientras tanto
MattE
¿Qué fabricante y modelo son los concentradores VPN y los enrutadores Edge?
Brett Lykins
Preguntas: ¿Puede configurar los enrutadores de puerta de enlace para que tengan dos túneles, uno para cada centro de datos? ¿Y qué marca de enrutadores son?
Ron Trunk
Para la VPN, los módulos de servicio se utilizan en los conmutadores Cisco 6509 que se conectan a los enrutadores Cisco 7600 en el borde.
MattE

Respuestas:

5

Una solución es utilizar el enrutamiento de rendimiento (PfR) en los enrutadores de la puerta de enlace. PfR puede probar la conectividad a cada centro de datos y luego enrutar el tráfico al que responda. Entonces, si un túnel se cae, PfR enrutará automáticamente el tráfico a través del otro túnel hacia el otro centro de datos.

PfR puede hacer esto haciendo ping (o usando IP SLA) en cada uno de los centros de datos. Si el túnel de Londres falla, PfR enrutará el tráfico a través del túnel de Nueva York, y viceversa.

Me gustaría darle una configuración, pero necesito ver más detalles sobre su red. Mientras tanto, puedes ver un par de cosas:

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

Aquí hay un video si eres más un aprendiz visual.

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

Ron Trunk
fuente