Sim, esse é o jeito certo de fazer isso. Você também pode definir a palavra-chave default após set peer ... se preferir usar um dos dois roteadores por padrão
Eu terei dois roteadores Cisco no Local A, atendendo às mesmas redes internas, e um roteador no local B.
Atualmente, tenho um roteador em cada local com um encapsulamento IPSec site-a-site conectando-os. Parece algo como:
Localização A:
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location B
set peer 12.12.12.12
set transform-set ESP-3DES-SHA
match address internal-ips
Localização B:
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location A
set peer 11.11.11.11
set transform-set ESP-3DES-SHA
match address internal-ips
Posso obter o failover simplesmente adicionando outro par na localização B?:
Localização A (Novo roteador secundário, a configuração no roteador anterior permanece a mesma):
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location B
set peer 12.12.12.12
set transform-set ESP-3DES-SHA
match address internal-ips
Localização B (configuração alterada):
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location A
set peer 11.11.11.11
! 11.11.11.100 is the ip of the new second router at location A
set peer 11.11.11.100
set transform-set ESP-3DES-SHA
match address internal-ips
Cisco diz:
For crypto map entries created with the crypto map map-name seq-num ipsec-isakmp command, you can specify multiple peers by repeating this command. The peer that packets are actually sent to is determined by the last peer that the router heard from (received either traffic or a negotiation request from) for a given data flow. If the attempt fails with the first peer, Internet Key Exchange (IKE) tries the next peer on the crypto map list.
Mas não entendo totalmente isso no contexto de um cenário de failover (Um dos roteadores como Local A explodindo).
Tags networking vpn cisco ipsec cisco-vpn