Comment basculer des tunnels VPN IPSec statiques?

8

J'ai un réseau avec des passerelles résilientes par lequel les sites clients utilisent une passerelle par défaut pour atteindre les routeurs de périphérie Internet et l'itinéraire principal pour le trafic utilise une métrique inférieure.

Les tunnels IPSec sont lancés à partir de concentrateurs VPN derrière les routeurs périphériques et sont configurés de manière statique vers les points de terminaison du tunnel de destination qui sont des centres de données tiers. Je ne suis pas en mesure d'utiliser un protocole de routage dynamique avec le tiers. Topologie du réseau

Le problème est que la plage d'adresses d'appairage que le tiers utilise change périodiquement et fait descendre le tunnel principal et qu'un basculement manuel vers le tunnel secondaire est lourdement effectué.

  1. Comment puis-je basculer plus efficacement entre les tunnels dans ce scénario si les adresses IP de destination ne sont pas fiables pour la configuration ipsec statique?
  2. Comment devrais-je préempter le tunnel principal une fois le noeud final disponible?
cisco vpn ipsec failover Mat
la source
1
La première chose qui me vient à l'esprit est la suivante: si votre fournisseur DC tiers change aléatoirement son adresse de pair assez souvent pour que ce soit un problème, cherchez ailleurs des services. Il peut ne pas être facile / faisable de changer, mais s'ils ne parviennent pas à faire les choses correctement, quoi d'autre dans l'infrastructure avec laquelle vous leur avez fait confiance pourrait casser à tout moment. De plus, ils devraient être prêts à vous aider avec ce scénario. Ils causent la douleur, ils devraient aider à y remédier.
Brett Lykins
Entièrement d'accord et en regardant cela, mais les contrats prennent beaucoup de temps à changer, alors besoin d'une approche alternative dans l'intervalle
MattE
Quels sont les fabricants et les modèles des concentrateurs VPN et des routeurs Edge?
Brett Lykins
Questions: Pouvez-vous configurer les routeurs de passerelle pour avoir deux tunnels, un pour chaque centre de données? Et quelle marque de routeurs sont-ils?
Ron Trunk
Pour le vpn, des modules de service sont utilisés sur les commutateurs Cisco 6509 qui se connectent aux routeurs Cisco 7600 en périphérie.
MattE

Réponses:

5

Une solution consiste à utiliser le routage de performance (PfR) sur les routeurs de passerelle. PfR peut tester la connectivité à chaque centre de données, puis acheminer le trafic vers celui qui répond. Donc, si un tunnel tombe en panne, PfR acheminera automatiquement le trafic à travers l'autre tunnel vers l'autre centre de données.

PfR peut le faire en envoyant une requête ping (ou en utilisant IP SLA) à chacun des centres de données. Si le tunnel de Londres tombe en panne, PfR acheminera le trafic à travers le tunnel de New York et vice versa.

Je voudrais vous donner une configuration, mais j'ai besoin de voir plus de détails sur votre réseau. En attendant, vous pouvez regarder deux ou trois choses:

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

Voici une vidéo si vous êtes plutôt un apprenant visuel.

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

Ron Trunk
la source