Добрый день Уважаемые знатоки!
Просьба помочь разобраться как лучше всего реализовать схему резервирования сетевой инфраструктуры, а именно есть задачи:
1. Переключение на резервный канал связи при полном отказе основного канала;
2. Выход из строя основного маршрутизатора Cisco ASA 5508
На данный момент имеется IPSec-туннель между офисом (Cisco ASA) и облачным провайдером, это значимый канал, так как все основные ресурсы в облаке. У Cisco ASA и облачного маршрутизатора имеют выделенные белые статические IP адреса.
Есть в наличии резервные канал связи, на данный момент еще не ясно будет ли он предоставлять выделенный белый статический IP адрес. Так же в наличии есть маршрутизатор EdgeRouter 6P.
Подскажите пожалуйста, как лучше всего организовать резервирование при выходе из строя основного канал связи или маршрутизатор Cisco ASA, в оптимальном варианте, а еще лучше в автоматическом режиме с учетом что еще должен обязательно работать IPSec-туннель с облаком.
В теории есть вариант купить или виртуализировать еще один маршрутизатор Mikrotik в офисе (при необходимости)
Спасибо!
Схему прилогаю.
Организация резервирования канала связи и основного маршрутизатора
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да, на микротике резервирование канала делается на раз.
Да, на двух микротиках (и нескольких свитчах) можно организовать резервирование роутера, как целой сущности, в том числе и параллельно с резервированием каналов.
Но у вас же ни один из используемых роутеров не микротик?
Да, на двух микротиках (и нескольких свитчах) можно организовать резервирование роутера, как целой сущности, в том числе и параллельно с резервированием каналов.
Но у вас же ни один из используемых роутеров не микротик?
Telegram: @thexvo
-
- Сообщения: 17
- Зарегистрирован: 27 авг 2022, 17:48
Да, на данный момент с этой схеме Miktotik-нету...
Cisco ASA, облачный провайдер и EdgeRouter
Cisco ASA, облачный провайдер и EdgeRouter
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Значит логичнее этот вопрос задать либо цисководам, либо на форуме ubnt :)
Telegram: @thexvo
-
- Сообщения: 17
- Зарегистрирован: 27 авг 2022, 17:48
А если перейти на Микротики, организовать vrrp и переключение канала связи по скрипту, можно как-то на них организовать автоматическое переключение IPSec-тунеля?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Для переключения активного канала скрипт не нужен.
Что касается туннеля в облако, то если оба конца под вашим управлением, лучший вариант - заменить IPSec на пару всегда активных GRE обернутых IPSec'ом (через каждого из провайдеров), и переключение осуществлять силами OSPF + BFD - без перестроения туннеля, разрывов текущих соединений и т.д.
Что касается туннеля в облако, то если оба конца под вашим управлением, лучший вариант - заменить IPSec на пару всегда активных GRE обернутых IPSec'ом (через каждого из провайдеров), и переключение осуществлять силами OSPF + BFD - без перестроения туннеля, разрывов текущих соединений и т.д.
Telegram: @thexvo
-
- Сообщения: 17
- Зарегистрирован: 27 авг 2022, 17:48
В этом есть ограничение, на которое ищу решение со стороны Офиса, у облачного провайдера только использование IPSec туннеля или как вариант на стороне облака разворачивать виртуальный маршрутизатор.
Вот их реализация со стороны облачного решения:
VK Cloud предоставляет Site-to-Site IPsec VPN как сервис, позволяющий связать удаленную сеть клиента и приватную сеть проекта.
Сервис работает для сетей, подключенных к маршрутизатору VK Cloud, основан на программном обеспечении strongSwan.
Вот их реализация со стороны облачного решения:
VK Cloud предоставляет Site-to-Site IPsec VPN как сервис, позволяющий связать удаленную сеть клиента и приватную сеть проекта.
Сервис работает для сетей, подключенных к маршрутизатору VK Cloud, основан на программном обеспечении strongSwan.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вообще не проблема.AlexZhukov писал(а): ↑16 сен 2022, 16:23 как вариант на стороне облака разворачивать виртуальный маршрутизатор.
Тот же микротиковский CHR.
Telegram: @thexvo
-
- Сообщения: 17
- Зарегистрирован: 27 авг 2022, 17:48
Да, этот вариант тоже держу в голове как вариант решения.