Russian Users MikroTik | Форум пользователей MikroTik

Добрый день Уважаемые знатоки!

Просьба помочь разобраться как лучше всего реализовать схему резервирования сетевой инфраструктуры, а именно есть задачи:

1. Переключение на резервный канал связи при полном отказе основного канала;
2. Выход из строя основного маршрутизатора Cisco ASA 5508

На данный момент имеется IPSec-туннель между офисом (Cisco ASA) и облачным провайдером, это значимый канал, так как все основные ресурсы в облаке. У Cisco ASA и облачного маршрутизатора имеют выделенные белые статические IP адреса.

Есть в наличии резервные канал связи, на данный момент еще не ясно будет ли он предоставлять выделенный белый статический IP адрес. Так же в наличии есть маршрутизатор EdgeRouter 6P.

Подскажите пожалуйста, как лучше всего организовать резервирование при выходе из строя основного канал связи или маршрутизатор Cisco ASA, в оптимальном варианте, а еще лучше в автоматическом режиме с учетом что еще должен обязательно работать IPSec-туннель с облаком.

В теории есть вариант купить или виртуализировать еще один маршрутизатор Mikrotik в офисе (при необходимости)

Спасибо!

Схему прилогаю.

Да, на микротике резервирование канала делается на раз.
Да, на двух микротиках (и нескольких свитчах) можно организовать резервирование роутера, как целой сущности, в том числе и параллельно с резервированием каналов.

Но у вас же ни один из используемых роутеров не микротик?

Да, на данный момент с этой схеме Miktotik-нету...

Cisco ASA, облачный провайдер и EdgeRouter

Значит логичнее этот вопрос задать либо цисководам, либо на форуме ubnt :)

ok Спасибо

А если перейти на Микротики, организовать vrrp и переключение канала связи по скрипту, можно как-то на них организовать автоматическое переключение IPSec-тунеля?

Для переключения активного канала скрипт не нужен.

Что касается туннеля в облако, то если оба конца под вашим управлением, лучший вариант - заменить IPSec на пару всегда активных GRE обернутых IPSec'ом (через каждого из провайдеров), и переключение осуществлять силами OSPF + BFD - без перестроения туннеля, разрывов текущих соединений и т.д.

В этом есть ограничение, на которое ищу решение со стороны Офиса, у облачного провайдера только использование IPSec туннеля или как вариант на стороне облака разворачивать виртуальный маршрутизатор.

Вот их реализация со стороны облачного решения:

VK Cloud предоставляет Site-to-Site IPsec VPN как сервис, позволяющий связать удаленную сеть клиента и приватную сеть проекта.

Сервис работает для сетей, подключенных к маршрутизатору VK Cloud, основан на программном обеспечении strongSwan.

AlexZhukov писал(а): ↑16 сен 2022, 16:23 как вариант на стороне облака разворачивать виртуальный маршрутизатор.

Вообще не проблема.
Тот же микротиковский CHR.

Да, этот вариант тоже держу в голове как вариант решения.