Ho una rete con gateway resilienti in base ai quali i siti dei clienti utilizzano un gateway predefinito per raggiungere i router periferici Internet e il percorso principale per il traffico utilizza una metrica inferiore.
I tunnel ipsec vengono avviati dai concentratori VPN dietro i router perimetrali e sono configurati staticamente sugli endpoint del tunnel di destinazione che sono data center di terze parti. Non sono in grado di utilizzare un protocollo di routing dinamico con terze parti.
Il problema è che l'intervallo di indirizzi di peering che la terza parte sta usando periodicamente cambia e fa cadere il tunnel primario e un passaggio manuale al tunnel secondario viene eseguito in modo ingombrante.
- Come posso eseguire il failover più efficace tra i tunnel in questo scenario se gli IP di destinazione non sono affidabili per la configurazione ipsec statica?
- Come potrei anticipare il tunnel primario quando l'endpoint sarà disponibile?
1
La prima cosa che mi viene in mente è questa: se il tuo provider di terze parti DC cambia casualmente il suo indirizzo peer abbastanza spesso da causare un problema, cerca altrove servizi. Potrebbe non essere facile / fattibile cambiare, ma se non riescono a farlo bene, qualsiasi altra cosa nell'infrastruttura di cui ti fidi potrebbe rompersi in qualsiasi momento. Inoltre, dovrebbero essere disposti ad aiutarti in questo scenario. Stanno causando il dolore, dovrebbero aiutare a rimediare se.
—
Brett Lykins,
Completamente d'accordo e osservandolo, ma i contratti impiegano molto tempo a cambiare, quindi nel frattempo è necessario un approccio alternativo
—
MattE
Quale produttore e modello sono i concentratori VPN e i router Edge?
—
Brett Lykins,
Domande: è possibile configurare i router gateway in modo che abbiano due tunnel, uno per ciascun centro dati? E che marca di router sono?
—
Ron Trunk,
Per la VPN, i moduli di servizio vengono utilizzati sugli switch Cisco 6509 che si collegano ai router Cisco 7600 ai margini.
—
MattE