如何故障转移静态 ipsec vpn 隧道?

网络工程 思科 虚拟专用网 网络安全 故障转移
2021-07-15 23:11:24

我有一个带有弹性网关的网络,客户站点使用默认网关到达 Internet 边缘路由器,流量的主要路由使用较低的指标。

ipsec 隧道从边缘路由器后面的 vpn 集中器启动,并静态配置到目标隧道端点,即第 3 方数据中心。我无法与第 3 方一起使用动态路由协议。 网络拓扑结构

问题是第 3 方使用的对等地址范围会定期更改并关闭主隧道,并且正在繁琐地执行到辅助隧道的手动切换。

  1. 如果目标 IP 对于静态 ipsec 配置不可靠,如何在这种情况下最有效地在隧道之间进行故障转移?
  2. 一旦端点可用,我将如何抢占主隧道?
1个回答

一种解决方案是在网关路由器上使用性​​能路由 (PfR)。PfR 可以测试与每个数据中心的连接,然后将流量路由到响应的任何一个。因此,如果一条隧道出现故障,PfR 将自动将流量通过另一条隧道路由到另一个数据中心。

PfR 可以通过 ping(或使用 IP SLA)每个数据中心来做到这一点。如果伦敦隧道发生故障,PfR 将路由流量通过纽约隧道,反之亦然。

我想给您一个配置,但我需要查看有关您网络的更多详细信息。同时,您可以查看以下几点:

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

如果您更像是一个视觉学习者,这里有一个视频。

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_configure_video.html

其它你可能感兴趣的问题
上一篇Junos VRF 等价、多下一跳静态路由不平衡 下一篇IPv6 RA SLAAC 前缀生命周期