У меня есть несколько удаленных сайтов, подключающихся к головному офису через Cisco ASA 5505 и Cisco PIX 506. В головном офисе у нас есть старый концентратор Cisco 3000 VPN и новый Cisco ASA 5510.
Удаленные сайты используют Easy VPN для подключения (поэтому они отображаются как сеансы удаленного доступа, а не как Lan2Lan).
Я нахожусь в процессе миграции удаленных устройств для подключения к новому 5510. Я могу иметь несколько серверов VPN в конфигурации для аварийного переключения, поэтому я добавляю туда концентратор VPN. Однако в конце головного офиса у нас в настоящее время есть статические маршруты, настроенные для направления трафика из наших удаленных подсетей в либо 5510 или концентратор VPN. Это означает, что в случае аварийного переключения потребуется ручное вмешательство для обновления маршрутов в головном офисе.
У нас есть Dell PowerConnect 6248 в качестве основных коммутаторов в головном офисе - в настоящее время там настроена вся маршрутизация. Я бы хотел установить какую-то маршрутизацию при отказе, чтобы, если я отключу ASA 5510 по какой-либо причине, соединения все равно будут работать. Конечные точки могут обрабатывать эту отработку отказа, но в настоящее время маршрутизация является статической. Как я могу этого добиться?
По возможности переходите на динамическую маршрутизацию. При правильной физической настройке использование статических маршрутов с разными показателями даст вам достойное поведение при отказе.
Маршрутизатор обычно не отслеживает достижимость для следующих переходов, он отслеживает «интерфейс активирован» или «интерфейс не работает», и если хотя бы один интерфейс, который является подходящим выходом для данного следующего прыжка, находится «в рабочем состоянии», следующий прыжок считается достижимым. . В этот момент единственное, что могло вызвать пакеты не быть отправленным на следующий переход, вверх или вниз, заключается в том, что нет разрешения ARP, и поскольку запросы ARP обычно кэшируются в течение длительного времени (по умолчанию Cisco, я полагаю, 4 часа), вам может потребоваться долгое ожидание.
В «Cisco-land» использование статических маршрутов с разными (административными) расстояниями называется «плавающей статикой» и обычно используется для переключения с последовательного канала на другой канал, поскольку последовательный канал (обычно) является двухточечным. точка (может быть не так, если вы используете FR или другие протоколы последовательной связи, способные обеспечить многоточечный) и имеет достаточно сигналов, чтобы иметь возможность отмечать "другой конец недоступен (в отличие, скажем, от большинства" городских сетей Ethernet " , где обычно существует несколько переходов L2 между двумя конечными точками L3, поэтому разрыв где-то на пути передачи обычно не виден как сбойный интерфейс).
Итак, короче говоря, если вы можете организовать, чтобы ваш 5510 был подключен к выделенному порту коммутатора, с сетью / 30, на одноядерном коммутаторе, и 5510 НЕ будет вызывать сигнал порта коммутатора на базовом коммутаторе когда 5510 выключен (или вы готовы к тому, чтобы кто-нибудь изменил трассу или отключил кабель), плавающая статика может быть именно тем, что вам нужно. Стоит исследовать, но я, вероятно, посмотрю на настройку динамической маршрутизации, по крайней мере, для маршрутов VPN.
Если ваши коммутаторы PowerConnect поддерживают это, они должны отображать «метрический» номер в таблицах маршрутизации. Иногда это также называют «удаленностью» или «административной удаленностью». Как бы то ни было, эта цифра является индикатором для маршрутизатора, насколько близок или прямолинейен этот маршрут. Чем выше число, тем длиннее маршрут.
Если вы хотите настроить маршруты переключения при отказе, вам необходимо добавить маршруты для целевой подсети, которые проходят через другой шлюз (в вашем случае «резервный» VPN-сервер) с более высокой метрикой. Эти резервные маршруты будут использоваться, когда другие маршруты с более низкими показателями недоступны (например, когда соответствующий шлюз недоступен).