Организация резервирования канала связи и основного маршрутизатора

[AlexZhukov]

Добрый день Уважаемые знатоки!

Просьба помочь разобраться как лучше всего реализовать схему резервирования сетевой инфраструктуры, а именно есть задачи:

 

1. Переключение на резервный канал связи при полном отказе основного канала;
2. Выход из строя основного маршрутизатора Cisco ASA 5508

 

На данный момент имеется IPSec-туннель между офисом (Cisco ASA) и облачным провайдером, это значимый канал, так как все основные ресурсы в облаке. У Cisco ASA и облачного маршрутизатора имеют выделенные белые статические IP адреса.

 

Есть в наличии резервные канал связи, на данный момент еще не ясно будет ли он предоставлять выделенный белый статический IP адрес. Так же в наличии есть маршрутизатор EdgeRouter 6P.

 

Подскажите пожалуйста, как лучше всего организовать резервирование при выходе из строя основного канал связи или маршрутизатор Cisco ASA, в оптимальном варианте, а еще лучше в автоматическом режиме с учетом что еще должен обязательно работать IPSec-туннель с облаком.

 

Спасибо!

Схему прилогаю.
 

[VolanD666]

Я бы посмотрел в сторону второй АСАшки и собрал бы кластер.

[AlexZhukov]

Если честно не хотел связываться в текущей ситуации с Cisco...

 

Если смотреть в общем, по ASA и другое оборудование совмещать не очень?

 

Может вообще рассмотреть вариант закупки 2-х микротиков?

 

Знаю что у них есть vrrp и пропадание канала делается скриптом, вот только не знаю как тогда IPSec каналы перезапускать.

[YuryD]

В 16.09.2022 в 16:55, AlexZhukov сказал:

Если честно не хотел связываться в текущей ситуации с Cisco...

 

Если смотреть в общем, по ASA и другое оборудование совмещать не очень?

 

 

 АСА - лучший бюджетный и рабочий вариант. у меня в тестах на столе асашки с ипсеком, при переходе на резервный канал инета - выпадение внутри - до 10 пингов, без шаманства....

 

В 16.09.2022 в 16:55, AlexZhukov сказал:

Знаю что у них есть vrrp и пропадание канала делается скриптом, вот только не знаю как тогда IPSec каналы перезапускать.

 у ипсека и так есть таймауты, главное чтобы оба канала были на ипсек одинаково настроены, без днс и прочей хрени, голый ip. В моем тесте - были 2 аса и два канала меж ними...

 

Из минусов - производительность в ипсек на аса - почти никакая по современным меркам.

[AlexZhukov]

Я верно понимаю, что если есть c одной стороны (Офис) два провайдера с различными белыми адресами, например:

Провайдер 1, внешний IP: 1.1.1.1

Провайдер 2, внешний IP: 2.2.2.2

Локальная сеть: 192.168.168.0/21

 

а со стороны облачного провайдера внешний IP: 3.3.3.3

Локальная сеть: 10.200.0.0/16

 

то можно одновременно построить 2 IPSec-тунеля:

1.1.1.1 <-> 3.3.3.3

и

2.2.2.2 <->3.3.3.3

 

c одинаковыми локальными сетями: 192.168.168.0/21 <-> 92.168.168.0/21

 

 

[Gray swordsman]

Как вариант- vrrp/carp между ASA<->EdgeRouter, дополнительный тунель от EdgeRouter'а в сторону облачного роутера - и поверх этих туннелей динамическая маршрутизация (rip/ospf/eigrp/bgp) что больше нравится.

 

 

[YuryD]

В 16.09.2022 в 18:05, AlexZhukov сказал:

Я верно понимаю, что если есть c одной стороны (Офис) два провайдера с различными белыми адресами, например:

Провайдер 1, внешний IP: 1.1.1.1

Провайдер 2, внешний IP: 2.2.2.2

Локальная сеть: 192.168.168.0/21

 

а со стороны облачного провайдера внешний IP: 3.3.3.3

Локальная сеть: 10.200.0.0/16

 

то можно одновременно построить 2 IPSec-тунеля:

 

 Зачем одновременно ? ip sla у асашки не на балансы нагрузки построена, а на резервирование канала lan-lan через туннели. Построить наверное можно и лоадбаланс, но аса не для того сделаны. это авр по инету, ip sla.

[AlexZhukov]

Спасибо