У меня есть резервная VPN, настроенная между двумя ASA на случай, если соединение p2p разрывается. Я пытаюсь найти способ проверить это, не отключая p2p.
Есть идеи по этому поводу?
Я не могу генерировать какой-либо интересный трафик, поскольку он просто маршрутизируется по ссылке p2p вместо туннеля vpn.
Мне жаль это говорить, но не надо. Есть известная фраза Терри Пратчетта, в которой кто-то критикует чужие тесты на восстановление после аварии, говоря, что они всегда не учитывают аварийную ситуацию с плотиной.
Тестирование DR похоже на это. Если вы не убьете зверски то, что планировали пережить после неудачи, вы никогда не узнаете, что истинная неудача возможна. Я уверен, что есть команды PIXOS для принудительного переключения при отказе (и мне жаль, что я не эксперт по PIXOS, который их знает), но если вы воспользуетесь ими, а затем объявите, что тест прошел успешно, вы никогда не узнаете, действительно ли PIX правильно обнаружит сбой.
Так что закажите тихий вечер и бросьте p2p. Определите время переключения и восстановления после отказа. Убедившись в этом, протестируйте его в течение дня, чтобы убедиться, что он работает правильно под нагрузкой. Удостоверьтесь, что он продолжает проходить ночной тест каждые месяц или два, а дневной тест один или два раза в год. Если вы не будете так тестировать, у вас действительно нет возможности переключения при отказе.
У меня была неправильная настройка фазы 2 на одном из ASA. Туннель появился сам по себе после того, как я изменил настройки. Я не знал, что они это сделают, это даже показывает, что трафик через него не проходил. Может остаться в живых? В любом случае, достаточно для меня, чтобы перейти к тестированию отработки отказа.
Вы можете выполнить аварийное переключение вручную с помощью команды «no failover active», введенной на активном модуле, или команды «failover active», введенной на резервном модуле.