当分支机构通过 Internet 上的 IPSec LAN 到 LAN VPN 隧道连接时,运行IGP以从分支机构学习总部网络的最佳实践是什么? 分支机构终止于正在被 Cisco ASA-X 取代的 Cisco VPN 集中器。
让动态路由协议 (IGP)——在这种情况下是OSPF——直接穿过或到达防火墙(并穿过隧道)还是 OSPF over GRE(通过防火墙,但不到达防火墙)更好吗?要走的路还是其他选择?我们有太多需要消除的静态路由。IPSec VPN 分支机构很小,目前除了静态之外不运行 IGP,因此将其视为处理分支机构路由的白板。路由器存在于防火墙之外,可在需要时用于隧道。
*答案应该集中在 Cisco ASA-X 与它们后面的 L3 交换机混合在一起,以便在必要时运行任何 GRE 隧道。
动态协议只有在您的站点有多个出口点时才真正有意义,或者每个站点有许多路由无法很好地聚合到单个静态路由中。
我会坚持使用 OSPF,只是为了能够使用其他供应商。我知道 EIGRP 已经“发布”了,但是直到您看到其他供应商使用它并且您不想被锁定在一个供应商上之前,这还需要几年时间
由于您使用的是所有 ASA-X 防火墙,我建议您使用 EIGRP 并删除 GRE 部分 - 在 ASA 上配置 IPSEC VPN。
我有大约 80 多个分支机构通过 IPSEC VPN 连接到主站点(尽管隧道在路由器上而不是在防火墙上)EIGRP 发挥得非常好。EIGRP 的计算量要轻得多,并且比 OSPF 具有更好的性能。此外,EIGRP 的故障排除和配置要容易得多。
至于 GRE,你没有那个选项(因为你有 ASA 防火墙而不是路由器),如果你问我 GRE 无论如何都不是 IPSEC VPN 的方法。
只要有可能,我就会在隧道上使用 EIGRP(更快的收敛和故障转移),然后优先使用 OSPF。
据我所知,ASA 不支持 GRE。