Однажды к нам обратился клиент с просьбой обеспечить резервирование VPN туннеля между офисом и виртуальным датацентром в облаке Cloud4Y. Причиной нестабильной работы был один из провайдеров на стороне клиента, типовая схема приведена на рисунке:
Для автоматического поднятия туннеля через резервного провайдера предложены изменения в конфигурации:
1. На стороне vmware edge, в настройках VPN разрешено соединение edge с любым адресом, для этого в поле "Peer IP" указано "any". Для обеспечения безопасности в Firewall разрешен ipsec трафик только с необходимых адресов.
2. На стороне cisco asa:
Настройки интерфейсов:
interface GigabitEthernet0
description Connected to ISP2 - Primary link
nameif outside
security-level 0
ip address 2.2.2.1 255.255.255.0
!
interface GigabitEthernet1
description Connected to ISP3 - Backup link
nameif outside2
security-level 0
ip address 3.3.3.1 255.255.255.0
Настройки SLA монитора для проверки доступности шлюза основного провайдера. Добавление шлюза резервного провайдера с весом 254:
sla monitor 10
type echo protocol ipIcmpEcho 2.2.2.2 interface outside
frequency 5
sla monitor schedule 10 life forever start-time now
!
track 1 rtr 10 reachability
!
route outside 0.0.0.0 0.0.0.0 2.2.2.2 1 track 1
route outside2 0.0.0.0 0.0.0.0 3.3.3.2 254
Существующие настройки ipsec:
crypto ikev1 enable outside
crypto map outside_map interface outside
crypto map outside_map 10 set connection-type bi-directional
Дополнительные настройки ipsec:
crypto ikev1 enable outside2
crypto map outside_map interface outside2
Существуюшие правила NAT:
nat (inside,outside) source static 10.2.2.0-24 10.2.2.0-24 destination static 10.1.1.0-24 10.1.1.0-24 no-proxy-arp route-lookup
nat (inside,outside) after-auto source dynamic any interface
Дополнительные правила NAT:
nat (inside,outside2) source static 10.2.2.0-24 10.2.2.0-24 destination static 10.1.1.0-24 10.1.1.0-24 no-proxy-arp route-lookup
nat (inside,outside2) after-auto source dynamic any interface
- 115 Пользователи нашли это полезным