フローティングスタティックを使用した冗長性の構成

ネットワークレイアウトを投稿したかったのですが、必要な評判がありません。以下のネットワーク図を作成しました：

       ISP
       / \
      /   \
     /     \
    HQ------Branch
    |         |
  HQ-PC      B-PC

私がやろうとしていることは、HQとブランチ間のWANリンクをバックアップリンクとして使用することであり、HQとISPまたはブランチとISP間のリンクがダウンしていない限り、データを伝送してはなりません。つまり、厳密にバックアップリンクとしてのみ使用する必要があります。

私が行ったことは、フローティングスタティックを使用して冗長性を構成することです。しかし、私が思っていたほどうまくいっていません。私がしたことは：

1）本社へのデフォルトルートとISPへのブランチ（0.0.0.0 0.0.0.0 NEXT-HOP-IP）

2）ISPからHQおよびブランチへの静的ルート（HQ / BRANCH-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP）

3）HQの静的（推奨）ルート（BRANCH-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-ISP）

4）ブランチでの静的（推奨）ルート（HQ-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-ISP）

5）HQでのフローティングスタティック（バックアップ）ルート（BRANCH-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-HQ-THROUGH-BACKUP-LINK）

6）ブランチでのフローティングスタティック（バックアップ）ルート（HQ-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-BRANCH-THROUGH-BACKUP-LINK）

しかし、問題があります。たとえば、ISPとHQの間のリンクがダウンしている場合、HQ-PCからB-PCにpingを送信すると、パケットはHQ-PCからB-PCに正常に送信されますが、B-PCから返されるパケットはバックアップリンクではなく、ISPに送信されます。

とても長い投稿をして申し訳ありませんが、私を手伝ってくれる人はいますか？私の説明が不明な場合は、遠慮なく質問してください。前もって感謝します

編集：混乱を招いて申し訳ありませんが、ISPで実行されているルーティングプロトコルはありません

cisco cisco-commands redundancy

— ボブ
ソース

ISPに対してBGPを実行していますか？もしそうなら、これはもっと簡単になります、そうでなければ、まあ...方法はいくつかありますが、それほど楽しくありません。

— Olipro 2013年

要件は、ISPでルーティングプロトコルを実行したくないということです

— bob

@ボブ、あなたの会社がインターネットを介して送信しているオフィス間のトラフィックを暗号化していることを教えてください

— マイクペニントン

何か回答がありましたか？もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。

— Ron Maupin

回答:

先に述べたように、一方のサイトがインターネットへのアップリンクを失ったときに両方のサイトでWANリンクへのフェイルオーバーを強制する既存の方法がないため、静的ルートは壊れます。

この問題の最良の解決策は、インターネットを介して何らかの形のルーティングされたトンネル（図のR1およびR2のISPリンクアドレスから取得）をセットアップし、トンネルとバックアップを通じて動的ルーティングプロトコル（OSPF / EIGRP）を実行することです。 WAN、およびWANリンクのルーティングメトリックをはるかに高く設定します。

HQバックアップトンネル

トンネルのソースは両側のインターネットリンクであるため、いずれかの側でインターネット接続が失われると、トンネルが切断されます（IGPはWANリンクに回復します）。これを行う場合は、トンネルのオーバーヘッドが考慮されるように、PMTUDがトンネルを介して機能することを確認してください。この種のオフィス間暗号化VPNは非常に一般的であるため、将来このネットワークをサポートする必要がある人にとってはおなじみのトポロジです。

既存の設計で直面する問題は、すべての社内トラフィックトラフィックが暗号化されていないように見えることです（少なくとも額面通りに質問を読んだ場合）。インターネット経由の場合は、企業サイト間のすべてのトラフィックを暗号化することを強くお勧めします。

— マイク・ペニントン
ソース

@bob、各サイトにはどのモデルのネットワーク機器がありますか？cisco eqptの場合、お持ちのios機能セットを含めてください

— Mike Pennington

（元のすべてのBGP回答が変更され、OPのISPへの動的ルーティングを行わないという要求に従って）

@Mikeが示唆したように、トンネル+動的ルーティングは、特にINETフェーシングでは確実なソリューションです。ただし、何らかの理由でトンネルが必要ない場合（HWサポートなし、MTUを失いたくない場合、動的ルーティングは内部でも受け入れられない）、他のオプションは「IP SLA」追跡ルートです。

直接リンクを使用する必要がある一方で、ブランチがINETにトラフィックを返し続ける問題について、それがどのように役立つかを説明します。

ブランチには次のものがあります：

ip route HQNet HQMask InetIF InetNH track 1 50
ip route HQNet HQMask DirectIF DirectNH 100
ip route HQStableTestIP 255.255.255.255 InetIF InetNH
!
track 1 ip sla 1
!
ip sla 1
 icmp-echo <HQStableTestIP> source-interface InetIF
ip sla schedule 1 start-time now

これで、HQがINET経由で到達できない場合、追跡が失敗し、INETのより具体的なルートが無効になり、直接リンクを指す次善のルートにフォールバックする必要があります。

— イッティ
ソース

本当にごめんなさい、isp :(

— bob

次にできることは、「IP SLA」を使用して静的ルートを追跡することです。関連する問題の追跡に対して堅牢であるためには、3つのルートが必要です。1）追跡されたプライマリを指します。2）追跡されたセカンダリを指します。3）追跡されていないプライマリを指します（3番目が必要なため、すべての追跡が失敗した場合でも、使用を試みます。あきらめるのではなく、プライマリ接続）。このサイトの他の質問には、IP SLAの例があります。

— ytti 2013年

新しい要件を反映するように元の回答が変更されました

— ytti 2013

OPは本当にインターネットを介してトラフィックを暗号化する必要があります...質問を数回確認した後、彼は現在、内部トラフィックをクリアテキストとして送信していると確信します。

— マイクペニントン2013

歩兵の周りの義務的なドラマが注目されています。スクリプトのすべてのキーを信頼することは、他の人がキーチェックを有効にして同じデバイスに手動でsshを実行する限り、許容できるソリューションです... CLIセッションの自動化に人生を費やしているとき、人間を維持するために決して行うことができない特定の選択があります。スパイラルから低確率ソリューションのネズミ穴への作業。OPの図は、同じISPへのホーミングを反映する場合としない場合があります。これは、アスキーアートの図を、彼が不必要な詳細と見なすもので複雑にしたくないというアーティファクトである可能性があります

— マイクペニントン2013