静的IPSec VPNトンネルをフェイルオーバーするにはどうすればよいですか?

8

顧客サイトがデフォルトゲートウェイを使用してインターネットエッジルーターに到達し、トラフィックのプライマリルートがより低いメトリックを使用する、弾力性のあるゲートウェイを備えたネットワークがあります。

ipsecトンネルは、エッジルーターの背後にあるvpnコンセントレーターから開始され、サードパーティのデータセンターである宛先トンネルエンドポイントに静的に構成されます。サードパーティで動的ルーティングプロトコルを使用できません。 ネットワークトポロジー

問題は、サードパーティが定期的に使用しているピアリングアドレス範囲が変更されてプライマリトンネルがダウンし、セカンダリトンネルへの手動切り替えが煩雑に実行されていることです。

  1. 静的IPSec構成で宛先IPが信頼できない場合、このシナリオでトンネル間で最も効率的にフェールオーバーするにはどうすればよいですか?
  2. エンドポイントが使用可能になったときに、プライマリトンネルをプリエンプトするにはどうすればよいですか?
cisco  vpn  ipsec  failover 
MattE
ソース
1
最初に頭に浮かぶのはこれです。サードパーティのDCプロバイダーがピアアドレスをランダムに頻繁に変更し、これが問題になる場合は、他の場所でサービスを探してください。変更するのは簡単ではないかもしれませんが、適切に変更できない場合、信頼できるインフラストラクチャで他の何がいつでも機能しなくなる可能性があります。また、彼らはこのシナリオで喜んであなたを手助けしてくれるはずです。彼らは苦痛を引き起こしています、彼らは是正するのを助けるべきです。
Brett Lykins 2013
完全に同意して検討しますが、契約の変更には長い時間がかかるため、当面は別のアプローチが必要です
MattE
VPNコンセントレーターとエッジルーターはどのメーカーとモデルですか?
Brett Lykins 2013
質問:各データセンターに1つずつ、合計2つのトンネルを持つようにゲートウェイルーターを構成できますか?そして、それらはどのブランドのルーターですか?
Ron Trunk
VPNの場合、サービスモジュールは、エッジでCisco 7600ルータに接続するCisco 6509スイッチで使用されます。
MattE

回答:

5

1つの解決策は、ゲートウェイルーターでパフォーマンスルーティング(PfR)を使用することです。PfRは、各データセンターへの接続をテストし、応答している方にトラフィックをルーティングできます。したがって、トンネルがダウンした場合、PfRはトラフィックを他のトンネルを介して他のデータセンターに自動的にルーティングします。

PfRは、各データセンターにping(またはIP SLAを使用)することでこれを実行できます。ロンドントンネルに障害が発生すると、PfRはニューヨークトンネルを介してトラフィックをルーティングし、その逆も同様です。

設定を提供したいのですが、ネットワークの詳細を確認する必要があります。それまでの間、いくつかのことを確認できます。

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

あなたがより視覚的な学習者であるなら、これはビデオです。

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

ロントランク
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.