Eu tenho uma rede com gateways resilientes, em que os sites do Cliente usam um gateway padrão para acessar os roteadores de borda da Internet e a rota principal de tráfego usa uma métrica mais baixa.
Os túneis ipsec são iniciados a partir de concentradores de VPN atrás dos roteadores de borda e são configurados estaticamente para os pontos de extremidade do túnel de destino, que são data centers de terceiros. Não consigo usar um protocolo de roteamento dinâmico com terceiros.
O problema é que o intervalo de endereços de peering que a terceira parte usa periodicamente muda e desativa o túnel primário e uma troca manual para o túnel secundário está sendo executada com dificuldade.
- Como posso fazer o failover com mais eficiência entre os túneis nesse cenário se os IPs de destino não são confiáveis para a configuração IPsec estática?
- Como eu iria antecipar o túnel primário assim que o nó de extremidade se tornasse disponível?
11
A primeira coisa que me vem à mente é o seguinte: se o seu provedor de DC de terceiros alterar aleatoriamente seu endereço de pares com frequência suficiente para que isso seja um problema, procure outros serviços. Pode não ser fácil / viável mudar, mas se eles não conseguirem fazer isso direito, o que mais na infraestrutura em que você confiou pode ser interrompido a qualquer momento. Além disso, eles devem estar dispostos a ajudá-lo nesse cenário. Eles estão causando a dor, eles devem ajudar a remediar se.
—
Brett Lykins
Concordo completamente e olhando para isso, mas contratos levar um longo tempo para mudar isso precisa de uma abordagem alternativa, entretanto
—
Matte
Qual fabricante e modelo são os concentradores de VPN e os roteadores de borda?
—
Brett Lykins
Perguntas: Você pode configurar os roteadores de gateway para terem dois túneis, um para cada data center? E que marca de roteadores são eles?
—
Ron Trunk
Para o vpn, os módulos de serviço são usados nos comutadores Cisco 6509 que se conectam aos roteadores Cisco 7600 na borda.
—
Matte