Назад | Перейти на главную страницу

Множественный набор одноранговых узлов для аварийного переключения VPN

У меня будет два маршрутизатора Cisco в местоположении A, обслуживающих одни и те же внутренние сети, и один маршрутизатор в местоположении B.

В настоящее время у меня есть по одному маршрутизатору в каждом месте с туннелем IPSec site-to-site, соединяющим их. Это выглядит примерно так:

Расположение А:

crypto map crypto-map-1 1 ipsec-isakmp 
 description Tunnel to Location B
 set peer 12.12.12.12
 set transform-set ESP-3DES-SHA 
 match address internal-ips

Место B:

crypto map crypto-map-1 1 ipsec-isakmp 
 description Tunnel to Location A
 set peer 11.11.11.11
 set transform-set ESP-3DES-SHA 
 match address internal-ips

Могу ли я добиться аварийного переключения, просто добавив еще один установленный одноранговый узел в местоположении B ?:

Местоположение A (новый вторичный маршрутизатор, конфигурация на предыдущем маршрутизаторе остается прежней):

crypto map crypto-map-1 1 ipsec-isakmp 
     description Tunnel to Location B
     set peer 12.12.12.12
     set transform-set ESP-3DES-SHA 
     match address internal-ips

Местоположение B (конфигурация изменена):

crypto map crypto-map-1 1 ipsec-isakmp 
     description Tunnel to Location A
     set peer 11.11.11.11
     ! 11.11.11.100 is the ip of the new second router at location A
     set peer 11.11.11.100
     set transform-set ESP-3DES-SHA 
     match address internal-ips

Cisco говорит:

Для записей криптокарты, созданных с помощью команды crypto map map-name seq-num ipsec-isakmp, вы можете указать несколько одноранговых узлов, повторив эту команду. Одноранговый узел, которому фактически отправляются пакеты, определяется последним одноранговым узлом, от которого маршрутизатор слышал (получил либо трафик, либо запрос согласования) для данного потока данных. Если попытка не удалась с первым одноранговым узлом, Internet Key Exchange (IKE) пробует следующий одноранговый узел в списке криптокарты.

Но я не совсем понимаю это в контексте сценария аварийного переключения (один из маршрутизаторов как Location A взрывается).

Да, это правильный способ сделать это. Вы также можете установить default ключевое слово после set peer ... если вы предпочитаете использовать один из двух маршрутизаторов по умолчанию