Резервирование VPN подключения

Однажды к нам обратился клиент с просьбой обеспечить резервирование VPN туннеля между офисом и виртуальным датацентром в облаке Cloud4Y. Причиной нестабильной работы был один из провайдеров на стороне клиента, типовая схема приведена на рисунке:




Для автоматического поднятия туннеля через резервного провайдера предложены изменения в конфигурации:

1. На стороне vmware edge, в настройках VPN разрешено соединение edge с любым адресом, для этого в поле "Peer IP" указано "any". Для обеспечения безопасности в Firewall разрешен ipsec трафик только с необходимых адресов.



2. На стороне cisco asa:

   Настройки интерфейсов:
   interface GigabitEthernet0
    description Connected to ISP2 - Primary link
    nameif outside
    security-level 0
    ip address 2.2.2.1 255.255.255.0
   !
   interface GigabitEthernet1
    description Connected to ISP3 - Backup link
    nameif outside2
    security-level 0
    ip address 3.3.3.1 255.255.255.0
   
   Настройки SLA монитора для проверки доступности шлюза основного провайдера. Добавление шлюза резервного провайдера с весом 254:
   sla monitor 10
    type echo protocol ipIcmpEcho 2.2.2.2 interface outside
    frequency 5
   sla monitor schedule 10 life forever start-time now
   !
   track 1 rtr 10 reachability
   !
   route outside 0.0.0.0 0.0.0.0 2.2.2.2 1 track 1
   route outside2 0.0.0.0 0.0.0.0 3.3.3.2 254

   Существующие настройки ipsec:
   crypto ikev1 enable outside
   crypto map outside_map interface outside
   crypto map outside_map 10 set connection-type bi-directional

   Дополнительные настройки ipsec:
   crypto ikev1 enable outside2
   crypto map outside_map interface outside2
   
   Существуюшие правила NAT:
   nat (inside,outside) source static 10.2.2.0-24 10.2.2.0-24 destination static 10.1.1.0-24 10.1.1.0-24 no-proxy-arp route-lookup
   nat (inside,outside) after-auto source dynamic any interface

   Дополнительные правила NAT:
   nat (inside,outside2) source static 10.2.2.0-24 10.2.2.0-24 destination static 10.1.1.0-24 10.1.1.0-24 no-proxy-arp route-lookup
   nat (inside,outside2) after-auto source dynamic any interface

Вы уже работаете с сервисами Cloud4Y?

Перейти на вебсайт

Попробовать бесплатно

  • 115 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Juniper SRX, Site-to-Site VPN

Настройка Site-to-Site VPN между Edge gateway и Juniper SRX Схема: С подробным описанием...

Site to Site IPsec Policy Based VPN между Edge Gateway и Mikrotik. Dual WAN (два провайдера).

Инструкция описывает сценарий настройки Site to Site IPsec VPN между облаком Cloud4Y (Edge...

Отказоустойчивая конфигурация IPSec c помощью EDGE Gateway

Прежде, чем вы начнете Технология создания туннелей GRE была добавлена в NSX 6.4. Данная...

Параметры IPSec Site-to-Site VPN, поддерживаемые Edge Gateway (vCloud Director v 9.7)

В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7....

Mikrotik, Site to Site VPN

 С подробным описанием параметров туннеля можно ознакомиться в отдельной статье. Краткая...