Jump to content
Калькуляторы

Организация резервирования канала связи и основного маршрутизатора

Добрый день Уважаемые знатоки!

Просьба помочь разобраться как лучше всего реализовать схему резервирования сетевой инфраструктуры, а именно есть задачи:

 

1. Переключение на резервный канал связи при полном отказе основного канала;
2. Выход из строя основного маршрутизатора Cisco ASA 5508

 

На данный момент имеется IPSec-туннель между офисом (Cisco ASA) и облачным провайдером, это значимый канал, так как все основные ресурсы в облаке. У Cisco ASA и облачного маршрутизатора имеют выделенные белые статические IP адреса.

 

Есть в наличии резервные канал связи, на данный момент еще не ясно будет ли он предоставлять выделенный белый статический IP адрес. Так же в наличии есть маршрутизатор EdgeRouter 6P.

 

Подскажите пожалуйста, как лучше всего организовать резервирование при выходе из строя основного канал связи или маршрутизатор Cisco ASA, в оптимальном варианте, а еще лучше в автоматическом режиме с учетом что еще должен обязательно работать IPSec-туннель с облаком.

 

Спасибо!

Схему прилогаю.
 

Схема ИТО.jpg

Share this post


Link to post
Share on other sites

Если честно не хотел связываться в текущей ситуации с Cisco...

 

Если смотреть в общем, по ASA и другое оборудование совмещать не очень?

 

Может вообще рассмотреть вариант закупки 2-х микротиков?

 

Знаю что у них есть vrrp и пропадание канала делается скриптом, вот только не знаю как тогда IPSec каналы перезапускать.

Share this post


Link to post
Share on other sites

В 16.09.2022 в 16:55, AlexZhukov сказал:

Если честно не хотел связываться в текущей ситуации с Cisco...

 

Если смотреть в общем, по ASA и другое оборудование совмещать не очень?

 

 

 АСА - лучший бюджетный и рабочий вариант. у меня в тестах на столе асашки с ипсеком, при переходе на резервный канал инета - выпадение внутри - до 10 пингов, без шаманства....

 

В 16.09.2022 в 16:55, AlexZhukov сказал:

Знаю что у них есть vrrp и пропадание канала делается скриптом, вот только не знаю как тогда IPSec каналы перезапускать.

 у ипсека и так есть таймауты, главное чтобы оба канала были на ипсек одинаково настроены, без днс и прочей хрени, голый ip. В моем тесте - были 2 аса и два канала меж ними...

 

Из минусов - производительность в ипсек на аса - почти никакая по современным меркам.

Share this post


Link to post
Share on other sites

Я верно понимаю, что если есть c одной стороны (Офис) два провайдера с различными белыми адресами, например:

Провайдер 1, внешний IP: 1.1.1.1

Провайдер 2, внешний IP: 2.2.2.2

Локальная сеть: 192.168.168.0/21

 

а со стороны облачного провайдера внешний IP: 3.3.3.3

Локальная сеть: 10.200.0.0/16

 

то можно одновременно построить 2 IPSec-тунеля:

1.1.1.1 <-> 3.3.3.3

и

2.2.2.2 <->3.3.3.3

 

c одинаковыми локальными сетями: 192.168.168.0/21 <-> 92.168.168.0/21

 

 

Share this post


Link to post
Share on other sites

Как вариант- vrrp/carp между ASA<->EdgeRouter, дополнительный тунель от EdgeRouter'а в сторону облачного роутера - и поверх этих туннелей динамическая маршрутизация (rip/ospf/eigrp/bgp) что больше нравится.

 

 

Share this post


Link to post
Share on other sites

В 16.09.2022 в 18:05, AlexZhukov сказал:

Я верно понимаю, что если есть c одной стороны (Офис) два провайдера с различными белыми адресами, например:

Провайдер 1, внешний IP: 1.1.1.1

Провайдер 2, внешний IP: 2.2.2.2

Локальная сеть: 192.168.168.0/21

 

а со стороны облачного провайдера внешний IP: 3.3.3.3

Локальная сеть: 10.200.0.0/16

 

то можно одновременно построить 2 IPSec-тунеля:

 

 Зачем одновременно ? ip sla у асашки не на балансы нагрузки построена, а на резервирование канала lan-lan через туннели. Построить наверное можно и лоадбаланс, но аса не для того сделаны. это авр по инету, ip sla.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.