AlexZhukov Posted September 16, 2022 · Report post Добрый день Уважаемые знатоки! Просьба помочь разобраться как лучше всего реализовать схему резервирования сетевой инфраструктуры, а именно есть задачи: 1. Переключение на резервный канал связи при полном отказе основного канала; 2. Выход из строя основного маршрутизатора Cisco ASA 5508 На данный момент имеется IPSec-туннель между офисом (Cisco ASA) и облачным провайдером, это значимый канал, так как все основные ресурсы в облаке. У Cisco ASA и облачного маршрутизатора имеют выделенные белые статические IP адреса. Есть в наличии резервные канал связи, на данный момент еще не ясно будет ли он предоставлять выделенный белый статический IP адрес. Так же в наличии есть маршрутизатор EdgeRouter 6P. Подскажите пожалуйста, как лучше всего организовать резервирование при выходе из строя основного канал связи или маршрутизатор Cisco ASA, в оптимальном варианте, а еще лучше в автоматическом режиме с учетом что еще должен обязательно работать IPSec-туннель с облаком. Спасибо! Схему прилогаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 16, 2022 · Report post Я бы посмотрел в сторону второй АСАшки и собрал бы кластер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted September 16, 2022 · Report post Если честно не хотел связываться в текущей ситуации с Cisco... Если смотреть в общем, по ASA и другое оборудование совмещать не очень? Может вообще рассмотреть вариант закупки 2-х микротиков? Знаю что у них есть vrrp и пропадание канала делается скриптом, вот только не знаю как тогда IPSec каналы перезапускать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted September 16, 2022 · Report post В 16.09.2022 в 16:55, AlexZhukov сказал: Если честно не хотел связываться в текущей ситуации с Cisco... Если смотреть в общем, по ASA и другое оборудование совмещать не очень? АСА - лучший бюджетный и рабочий вариант. у меня в тестах на столе асашки с ипсеком, при переходе на резервный канал инета - выпадение внутри - до 10 пингов, без шаманства.... В 16.09.2022 в 16:55, AlexZhukov сказал: Знаю что у них есть vrrp и пропадание канала делается скриптом, вот только не знаю как тогда IPSec каналы перезапускать. у ипсека и так есть таймауты, главное чтобы оба канала были на ипсек одинаково настроены, без днс и прочей хрени, голый ip. В моем тесте - были 2 аса и два канала меж ними... Из минусов - производительность в ипсек на аса - почти никакая по современным меркам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted September 16, 2022 · Report post Я верно понимаю, что если есть c одной стороны (Офис) два провайдера с различными белыми адресами, например: Провайдер 1, внешний IP: 1.1.1.1 Провайдер 2, внешний IP: 2.2.2.2 Локальная сеть: 192.168.168.0/21 а со стороны облачного провайдера внешний IP: 3.3.3.3 Локальная сеть: 10.200.0.0/16 то можно одновременно построить 2 IPSec-тунеля: 1.1.1.1 <-> 3.3.3.3 и 2.2.2.2 <->3.3.3.3 c одинаковыми локальными сетями: 192.168.168.0/21 <-> 92.168.168.0/21 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Gray swordsman Posted September 20, 2022 · Report post Как вариант- vrrp/carp между ASA<->EdgeRouter, дополнительный тунель от EdgeRouter'а в сторону облачного роутера - и поверх этих туннелей динамическая маршрутизация (rip/ospf/eigrp/bgp) что больше нравится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted September 20, 2022 · Report post В 16.09.2022 в 18:05, AlexZhukov сказал: Я верно понимаю, что если есть c одной стороны (Офис) два провайдера с различными белыми адресами, например: Провайдер 1, внешний IP: 1.1.1.1 Провайдер 2, внешний IP: 2.2.2.2 Локальная сеть: 192.168.168.0/21 а со стороны облачного провайдера внешний IP: 3.3.3.3 Локальная сеть: 10.200.0.0/16 то можно одновременно построить 2 IPSec-тунеля: Зачем одновременно ? ip sla у асашки не на балансы нагрузки построена, а на резервирование канала lan-lan через туннели. Построить наверное можно и лоадбаланс, но аса не для того сделаны. это авр по инету, ip sla. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted October 12, 2022 · Report post Спасибо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...