Самый простой способ выполнить аварийную маршрутизацию с помощью основного коммутатора Dell PowerConnect
У меня есть несколько удаленных сайтов, подключающихся к головному офису через Cisco ASA 5505s и Cisco PIX 506es. В головном офисе у нас есть старый Cisco 3000 VPN Concentrator и новый Cisco ASA 5510.
Удаленные сайты используют Easy VPN для подключения (поэтому они отображаются как сеансы удаленного доступа, а не Lan2Lan).
Я нахожусь в процессе миграции удаленных устройств для подключения к новому 5510. У меня может быть несколько VPN-серверов в конфигурации для отработки отказа, поэтому я добавляю VPN Concentrator там. Однако в головном офисе в настоящее время у нас есть статические маршруты, настроенные для направления трафика для наших удаленных подсетей на 5510 или концентратор VPN. Это означает, что в случае сбоя потребуется ручное вмешательство для обновления маршрутов в головном офисе.
Dell PowerConnect 6248s используется в качестве основных коммутаторов в головном офисе - в настоящее время там настроена вся маршрутизация. Я хотел бы получить некоторую маршрутизацию отработки отказа на месте, поэтому, если я по какой-либо причине отключаю ASA 5510, соединения все еще работают. Конечные точки могут обрабатывать это переключение при сбое, но маршрутизация в настоящее время является статической. Как мне этого добиться?
2 ответа
Если возможно, перейдите к динамической маршрутизации. При правильной физической настройке использование статических маршрутов с различными метриками даст вам достойное поведение при сбое.
Маршрутизатор обычно не отслеживает достижимость для следующих переходов, он отслеживает "интерфейс вверх" или "интерфейс вниз", и если хотя бы один интерфейс, который является подходящим выходом для данного следующего перехода, "вверх", следующий переход считается достижимым, В этот момент единственное, что может привести к тому, что пакеты не будут отправлены на следующий переход, вверх или вниз, это отсутствие разрешения ARP и поскольку запросы ARP обычно кэшируются в течение достаточно долгого времени (я полагаю, по умолчанию Cisco 4 часов), вы можете долго ждать.
В "Cisco-land" использование статических маршрутов с разными (административными) расстояниями называется "плавающей статикой" и обычно используется для переключения при отказе от последовательной линии связи на другую линию связи, поскольку последовательная линия связи (как правило) является (обычно) двухточечной. точка (может не иметь место, если вы используете FR или другие протоколы последовательной связи, способные обеспечить многоточечную связь) и имеет достаточно сигнализации, чтобы иметь возможность пометить "другой конец недоступен (в отличие, скажем, от большинства"metro Ethernet") где между двумя конечными точками L3 обычно есть несколько переходов L2, поэтому разрыв где-то на пути передачи обычно не виден как сбитый интерфейс).
Итак, короче говоря, если вы можете договориться, что ваш 5510 подключен к выделенному порту коммутатора, с сетью /30, к одноядерному коммутатору, а 5510 НЕ заставит порт коммутатора на основном коммутаторе сигнализировать как вверх когда 5510 выключен (или вы готовы потратить время на то, чтобы кто-то изменил маршрутизацию или отключил кабель), плавающая статика может быть именно тем, что вам нужно. Стоит изучить, но я бы, вероятно, посмотрел на настройку динамической маршрутизации, по крайней мере для VPN-маршрутов.
Если ваши коммутаторы PowerConnect поддерживают это, то они должны показывать "метрический" номер в таблицах маршрутизации. Иногда это также называют "расстоянием" или "административным расстоянием". Каким бы ни было его название, этот показатель является для маршрутизатора тем, насколько близок или прямой этот маршрут. Чем выше число, тем длиннее маршрут.
Если вы хотите настроить отказоустойчивые маршруты, вам нужно добавить маршруты для целевой подсети, которые проходят через другой шлюз (в вашем случае "резервный" VPN-сервер) с более высокой метрикой. Эти резервные маршруты будут использоваться, когда другие маршруты с более низкими показателями недоступны (например, когда невозможно достичь соответствующего шлюза).