kostya-frank
@kostya-frank
Системный администратор

Как пустить отказоустойчивый VPN поверх сложной сети?

Всем привет!

Нужны советы по реализации небольшой схемы. Соответственно сначала расскажу в чем проблема -
a5322f2baa33acf67b4884aaa0f51f94-full.pn

2 ЦОДа и 1 филиал. Требуется между компьютерами PC 3 и PC 1/2 (разные сети) создать IPSEC поверх всей рабочей сети. Все оборудование Cisco. K9 лицензии имеют только FW-1, FW-2, R-1, R-2.
Изначально предполагал на двух маршрутизаторах R-1 и R-2 поднять на каждом по 2 туннеля до FW-1 и FW-2. Создать на маршрутизаторах статические маршруты с метрикой (на R-1 приоритетней до ЦОД 1, на R-2 приоритетней до ЦОД 2). На R-1/2 поднять HSRP. А для того, чтобы трафик возвращался верно, буду использовать NAT (каждый туннель = свой адрес). Забыл нарисовать на схеме, что коммутаторы ЦОДов тоже соединены между собой, поэтому тут немного сложно по схеме хождения трафика.
Надеюсь понятно объяснил. Схема костыльная и временная, но нужно сделать отказоустройчивую. Просьба помочь советами.
  • Вопрос задан
  • 180 просмотров
Пригласить эксперта
Ответы на вопрос 3
В сторону 2-head dmvpn надо смотреть вроде бы
Ответ написан
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Если не надо балансировки (а тут без неё проще), не надо никаких одинаковых метрик, есть риск получить асимметрию (если конечно для вас это проблема). Сети на PC1 и PC2 лучше терминировать на роутерах с красным кружком. Статику не надо, надежнее GRE+OSPF (ну или любая другая динамика).
Ответ написан
@rPman
У меня вопрос, а роутеры cisco не умеют bonding (это я про возможности linux)? когда два канала объединяются в один на основе какого-либо алгоритма, среди которых есть и резервирование и балансировка, т.е. поднять 2 vpn подключения (через разных провайдеров) и объединить их в один
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы