Configurando redundância usando estática flutuante

Eu queria publicar meu layout de rede, mas não tenho a reputação necessária. Então, eu criei um diagrama de rede abaixo:

       ISP
       / \
      /   \
     /     \
    HQ------Branch
    |         |
  HQ-PC      B-PC

O que estou tentando fazer é usar o link WAN entre o HQ e a filial como o link de backup e ele não deve transportar nenhum dado, a menos que o link entre o HQ para o ISP ou a filial para o ISP esteja inoperante. Isso significa que ele deve ser estritamente usado apenas como um link de backup.

O que eu fiz foi usar a estática flutuante para configurar a redundância. No entanto, não está funcionando exatamente como eu esperava. O que eu fiz são:

1) uma rota padrão no QG e ramificação para o ISP (0.0.0.0 0.0.0.0 NEXT-HOP-IP)

2) rota estática no ISP para HQ e Filial (HQ / FILIAL-REDE-ENDEREÇO ​​SUBNET-MÁSCARA NEXT-HOP-IP)

3) uma rota estática (preferida) no HQ

4) uma rota estática (preferida) na Filial (HQ-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-ISP)

5) uma rota estática flutuante (de backup) no HQ (MÁSCARA DE SUB-REDE DE ENDEREÇO ​​DE REDE DE FILIAL, PRÓXIMA-HOP-IP-PARA-HQ-ATRAVÉS DE LINK DE BACKUP)

6) uma rota estática flutuante (de backup) na Filial (HQ-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-FILIAL-ATRAVÉS-BACKUP-LINK)

No entanto, há um problema. Por exemplo, se o link entre o ISP e o HQ estiver desativado, quando eu desejar efetuar o ping do HQ-PC para o B-PC, o pacote será enviado com êxito do HQ-PC para o B-PC, mas o pacote retornado do B-PC será enviado ao ISP e não pelo link de backup.

Sinto muito por um post tão longo, mas há alguém que possa me ajudar? Se minha explicação não estiver clara, não hesite em perguntar. desde já, obrigado

EDIT: Desculpe pela confusão, não deve haver nenhum protocolo de roteamento em execução com o ISP

Como você mencionou, suas rotas estáticas quebram, porque não existe uma maneira existente de forçar o failover no link WAN nos dois sites quando um site perde o uplink para a Internet.

A melhor solução para esse problema é configurar alguma forma de túnel roteado (proveniente dos endereços de link do ISP em R1 e R2 no diagrama) através da Internet, executar um protocolo de roteamento dinâmico (OSPF / EIGRP) através do seu túnel e backup WAN e defina as métricas de roteamento para o link WAN muito mais altas.

Como você obtém o túnel dos links da Internet de ambos os lados, se um dos lados perde a conectividade com a Internet, o túnel quebra (e o IGP se recupera no seu link WAN). Se você fizer isso, verifique se o PMTUD funciona através do túnel para que a sobrecarga do túnel seja contabilizada. Esse tipo de VPN criptografada entre escritórios é bastante comum, por isso é uma topologia familiar para quem precisa oferecer suporte a essa rede no futuro.

O problema que você enfrenta com o design existente é que todo o tráfego de tráfego entre escritórios parece não estar criptografado (pelo menos se eu ler sua pergunta pelo valor de face). Se você ainda não o fez, recomendo fortemente que você criptografe todo o tráfego entre os sites corporativos, se estiver passando pela Internet .

(A resposta original de todos os BGP foi alterada, conforme a solicitação do OP de nenhum roteamento dinâmico para o ISP)

Como o @Mike sugeriu, o túnel + o roteamento dinâmico, especialmente na face do INET, é uma solução sólida. Mas se, por algum motivo, você não desejar um túnel (sem suporte a HW, não desejar perder MTU, o roteamento dinâmico não é aceitável nem internamente), sua outra opção são as rotas rastreadas 'IP SLA'.

Vou explicar como isso ajuda no problema exato que você descreve, onde o ramo continua retornando tráfego ao INET, enquanto deve usar o link direto.

Na filial você teria:

ip route HQNet HQMask InetIF InetNH track 1 50
ip route HQNet HQMask DirectIF DirectNH 100
ip route HQStableTestIP 255.255.255.255 InetIF InetNH
!
track 1 ip sla 1
!
ip sla 1
 icmp-echo <HQStableTestIP> source-interface InetIF
ip sla schedule 1 start-time now

Agora, se o HQ não estiver acessível via INET, o rastreamento falhará e a rota mais específica do INET deverá ser invalidada e você deverá retornar à próxima melhor rota apontando para o link direto.