タグ付けされた質問 「failover」

最近、国際的なMPLSを新しいASA 5510とサイト間VPNに置き換えました。ただし、これを展開すると、各リモートロケーションに冗長性のために2つのISPがあるという問題が発生しましたが、両方のインターフェイスでVPNを有効にすると、2つの間でフラップし、トンネルが引き裂かれて移動するときにトンネルが上下しますISP。シスコは現在8か月間これに取り組んでおり、複数のISPとの安定したトンネルはまだありません。 リモートオフィス： access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 crypto map RWS_TUNNEL 1 set transform-set IND-RWS tunnel-group 216.xxx.102.2 type ipsec-l2l tunnel-group 216.xxx.102.2 ipsec-attributes pre-shared-key ***** …

21 cisco  cisco-asa  vpn  failover  redundancy 

互いに冗長であると考えられる2つのデータセンターサイトがある場合。ファイアウォール構成をプライマリからバックアップに同期することはできますか？両方のファイアウォールを同時に更新し続けるための最良の方法は何ですか？ もしそうなら、何が必要ですか？ 使用される機器： メインDC 8.2.5を実行する2つのCisco ASA リモートDC 8.6を実行する2つのCisco ASA 2つのDC間のリンクは、両方のDCコアを接続するL2リンクです。ASAは各コアに接続します。

10 cisco-asa  redundancy  failover 

私は本質的に問題のない小さな島の専用ネットワークを継承したので、当然それを改善したいと思います。ネットワーキングの投稿はこちら。わかりやすくするために、図には関連するルーターのみを含めています。 現在、各キャンパスには約6〜8台のCisco 2800および2900があり、専用の自社開発アプリケーション用のボイスカードがあり、静的ルートを使用して2つのキャンパス間でパケットを取得しています。R1とR2でc2801-spservicesk9-mz.124-3gを実行し、R3とR4でc2800nm-adventerprisek9-mz.124-15.t3を実行しています。 これは、この専用アプリケーションのみにサービスを提供する固定された不変のネットワークです。デスクトップもラップトップも出入りせず、各キャンパスのリングトポロジでサードパーティのファイバーマルチプレクサを介して接続されたCiscoルーターのみで、いくつかのサーバーマシンが接続されています（「他のノード」の一部）。 冗長性を確保するために、R2とR3の間に2つ目のT1を設置することをお勧めします。私のテストに基づくと、スタティックルーティングには2番目のT1を使用する方法がありません。新しいT1へのセカンダリルートのAD /メトリックがあっても、T1に障害が発生したルーターだけがこれを認識しますが、そのキャンパスの他のルーターはこれを認識しません。 ここでそのようなソリューションを読んだ後、物事をシンプルに保ち、ネットワークへの混乱を最小限に抑えるために、ipトラッキングオブジェクトの使用を検討していました。次に、EIGRPがこれを処理するための好ましい方法である場所を読みました。 ただし、動的ルーティングが目的の場合は、サービスを中断させない方法で実装する必要があります。これはすべて私にとってリモートであり、再構成中に接続が失われた場合に備えて、ローカルの技術者が待機するように手配する必要があります。うまくいけば、そのような小さくて不変のネットワークがあれば、この混乱を最小限に抑えることができます。 では、このT1フェールオーバールーティングを実現するために、IPトラッキングオブジェクトまたはEIGRPを使用する方法を調査する必要がありますか？ 編集：ここにR4の現在構成されているルートがあります。私はここに残骸があると確信していますが、それを単純化するために1回だけ試行し、小さな間違いを1つ行ってキャンパスBへの接続を失ったときに取り消しました。停電は大きな問題ではありません。私はより良いアプローチを考案するまで一人で十分に残すことにしました。 ip route 10.0.0.0 255.0.0.0 10.1.1.8 ip route 10.1.1.8 255.255.255.252 Serial0/3/0 ip route 192.168.30.0 255.255.255.0 Serial0/3/0 ip route 192.168.6.0 255.255.255.0 Serial0/3/0 ip route 192.168.8.0 255.255.255.0 FastEthernet0/0 ip route 10.0.2.128 255.255.255.192 192.168.31.2 ip route 10.2.160.0 255.255.255.0 192.168.31.2 ip route 192.168.254.0 255.255.255.0 192.168.31.2 …

9 cisco  routing  failover 

環境 私は現在持っています： 1 pfSense 2.0.2ルーター（Firebox X-Peak X5000上） 2 WAN 1 LAN 3サーバー 私のインターフェース WAN1 68.XX.XXX.98から69.XX.XXX.102 WAN2 65.XXX.XXX.58から66.XXX.XXX.62 LAN 192.168.1.XXX DMZ 私のルーターは次のように構成されています： このドキュメントに基づくゲートウェイグループとの負荷分散。 NAT LANサーバーへのルール WAN2とDMZの間のブリッジ（1つのDMZサーバーに外部IPがある場合）-このサーバーとLAN上の他のサーバーとの間で通信できず、外部IPアドレスを渡します。カスタムルート構成では、LANからDMZ上のサーバーへの要求を処理できましたが、このようにするのは好きではありません。 私のサーバーはローカルIPアドレスを使用している192.168.1.XXXため、私のコンピューターでも同じです。 期待している 私は2つのことをしたいと思います： 1 NATの背後にあるDMZとLANで2つのWANをブリッジします 外部IPアドレスをサーバーに割り当てる可能性と、両方のWANから同じサーバーにIPを混在させる可能性が必要です。LANの例からサーバーと通信できるようにもしたいと思います。 192.168.1.100 <--> http://68.XX.XXX.99 サーバーから別のサーバーの例に通信することもできる： 65.XXX.XXX.59 <--> http://68.XX.XXX.99 NATの背後にあるLAN上のコンピューターに1つの外部IPアドレスを割り当てる必要がありますか？ NATで負荷分散を機能させ続けることはできますか？ 注：1対1のNATは避けたいです。サーバーにローカルIPアドレスを設定すると、仮想ホスティング構成が複雑になるため、外部アドレスを使用することをお勧めします。 2ルータハードウェアの冗長性（CARP） 同じFirebox X-Peak X5000がもう1つあり、それをバックアップとして使用したい場合、最初の1つが失敗した場合、2番目はネットワークを失うことなく（またはほとんど）引き継ぐことができます（つまり、外部からサーバーへの要求が機能する必要があります）。 LANやサーバーからインターネットへも）。 私はこのドキュメントを読みましたが、自分の構成（ブリッジ+ NAT +負荷分散）で動作するかどうかはわかりません

9 nat  failover  pfsense  pfsense-2  bridge 

2つのスイッチ間に二重冗長リンクがあるネットワークで、アクティブリンクに障害が発生すると、アクティブリンクからブロックされたリンクへの切り替え中にデータが失われますか？

8 switch  switching  spanning-tree  redundancy  failover 

私の目標は、を実行しているシスコのトラックリストのステータスを取得するサービスチェックを作成することですBoolean OR。現在、スクリーンスクレーパーを配置していますが、このタイプのサービスチェックのスケーリングに関しては、これは理想的ではありません。 トラックオブジェクトは、以下単に場合は、静的ルートを追跡引き出しobject 10及びobject 20BGPはRIB-障害状態にそうでないこと、インストールするデフォルトルートを学習させることは、両方の到達不能です。 構成例： ! track 10 ip sla 1 reachability ! track 20 ip sla 2 reachability ! track 30 list boolean or object 10 object 20 ! ip sla 1 icmp-echo 8.8.8.8 source-ip 10.10.10.10 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo …

8 routing  snmp  management  failover 

顧客サイトがデフォルトゲートウェイを使用してインターネットエッジルーターに到達し、トラフィックのプライマリルートがより低いメトリックを使用する、弾力性のあるゲートウェイを備えたネットワークがあります。 ipsecトンネルは、エッジルーターの背後にあるvpnコンセントレーターから開始され、サードパーティのデータセンターである宛先トンネルエンドポイントに静的に構成されます。サードパーティで動的ルーティングプロトコルを使用できません。 問題は、サードパーティが定期的に使用しているピアリングアドレス範囲が変更されてプライマリトンネルがダウンし、セカンダリトンネルへの手動切り替えが煩雑に実行されていることです。 静的IPSec構成で宛先IPが信頼できない場合、このシナリオでトンネル間で最も効率的にフェールオーバーするにはどうすればよいですか？ エンドポイントが使用可能になったときに、プライマリトンネルをプリエンプトするにはどうすればよいですか？

8 cisco  vpn  ipsec  failover 

プライマリおよびセカンダリWAN接続を使用してインターネットに接続するCisco 1900ルータを持っています。プライマリ接続が確立すると、すべてのトラフィックがこのリンクを使用します。プライマリ接続がダウンしているときに、セカンダリ接続を使用してルーターに接続し、プライマリリンクがダウンしている理由をトラブルシューティングします。 2つの接続を同時に稼働させたい場合もあります。次に、どちらかのパブリックIPアドレスでSSHを使用してルーターにアクセスできるようにしたいと思います。 これらの両方のインターフェイスに同時にアクセスできるようにする（簡単な）方法はありますか？

7 cisco  cisco-ios  failover  wan  oob 

ホスト間の2つのリンクの助けを借りて、ルート障害検出のための時間遅延なしに、TCP接続のフォールトトレランスを実現するテクノロジーを探しています。このようなもの： link1 packet1copy1-> -------------------------- packet1-> / \ packet1copy1/packet1copy2-> host1--------router1 router2 ------------------------host2 \ link2 packet1copy2-> / -------------------------- host1とhost2を介して接続されているrouter1とrouter2、それらの間に2つのリンクで。各ルーターは、ホストからのすべてのパケットを複製してから、両方のリンクに同時に転送します。次に、ピアルーターまたは宛先ホストIPスタックのいずれかが、冗長パケットの除去を処理します。 編集： これは実際には、TCP（IP）トランスポート用のレプリケーションによる汎用のフォールトトレランスソリューションの検索です。ソリューションは、BGP / OSPF / Cisco IP SLAなどの適度に高速なリカバリアプローチとは対照的に、リカバリが不要なタイプである必要があります。一部の独自仕様のパケット冗長ソリューションは、あまり知られていませんが、すでに知られています。特に、Engage CommunicationはVoIP用のIP Tube Protectorを提供しています。残念ながら、このソリューションは、1）標準テクノロジーよりも多くの機器であり、2）VoIPドメインのみに限定されています。ジュニパーパケット冗長テクノロジーも注目に値するかもしれませんが、冗長リンクではなく単一リンクのみに限定されているように見えます。 なぜCiscoから同様のものが見つからないのでしょうか...標準または少なくとも汎用のテクノロジーはこれに対処しますか？

7 tcp  redundancy  failover  architecture  packet-loss 

データセンターVPNピア用に2つのIPアドレスを使用してリモートサイトを構成しました-1つのプライマリ（1.1.1.1）、1つのバックアップ（2.2.2.2）。プライマリピアに障害が発生すると、リモートサイトはDPDを使用して障害を検出します（約15秒後）。それはSAを破棄し、次にプライマリピアへの再接続を試みます！約30秒間応答がないと、最終的にバックアップピアが試行され、すぐに接続されます。他の誰かがこれを見たことがありますか？この不要な30秒の待機を回避する方法はありますか？ （コードバージョンは8.2（5）、以下の構成） リモートサイトのファイアウォール： crypto ipsec transform-set L2L-VPN-TRANSFORM esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 ! tunnel-group 1.1.1.1 type ipsec-l2l tunnel-group 1.1.1.1 general-attributes default-group-policy L2L-VPN-POLICY tunnel-group 1.1.1.1 ipsec-attributes pre-shared-key ***** tunnel-group 2.2.2.2 type ipsec-l2l tunnel-group 2.2.2.2 general-attributes default-group-policy L2L-VPN-POLICY tunnel-group 2.2.2.2 ipsec-attributes pre-shared-key ***** …

7 vpn  ipsec  failover  cisco-asa