Можно ли использовать HSRP для настройки VPN типа "сеть-сеть" с высокой доступностью с использованием двух маршрутизаторов от разных интернет-провайдеров? Если подключение одного интернет-провайдера не удается, VPN будет прозрачно переключена на другого провайдера, а когда подключение будет восстановлено, переключится обратно?
....Router1 ----\
VPN HSRP firewall <->CLOUD...../ -> firewall --> LAN
\....Router2 ----/
HSRP сам по себе будет ограничен с точки зрения возможностей. Номинально это просто механизм, позволяющий паре маршрутизаторов совместно использовать виртуальный MAC / IP в активной / пассивной конфигурации. В случае, если активный умирает, пассивный маршрутизатор вступает во владение. По определению он обрабатывает только исходящий трафик.
Можно наложить другие решения на HSRP - так, например, можно использовать отслеживание каналов, чтобы первичный маршрутизатор терял свой приоритет и позволял вторичному маршрутизатору взять на себя управление в случае потери восходящего канала (или маршрута), в то время как оба маршрутизатора все еще живы. Чтобы приблизиться к решению HA, вам потребуется какой-то механизм на обоих маршрутизаторах, который активно проверяет доступность пути между маршрутизаторами. Получение маршрутов BGP от восходящего потока, безусловно, является началом, но в конечном итоге, если вы не можете продемонстрировать, что трафик действительно проходит, вы действительно не знаете, есть ли у вас подключение. Это приведет вас к написанию сценариев на маршрутизаторе, механизмам проверки подключения и т. Д. В IOS / XE есть механизмы для этого (PfR и т. Д.), Позволяющие собрать их вместе. Или, в качестве альтернативы, взгляните на то, что доступно с iWAN, которое объединяет все это (и некоторые другие полезные вещи) для обработки любой комбинации типов ссылок и т. Д.