Multiple Set Peer para failover de VPN

4

Eu terei dois roteadores Cisco no Local A, atendendo às mesmas redes internas, e um roteador no local B.

Atualmente, tenho um roteador em cada local com um encapsulamento IPSec site-a-site conectando-os. Parece algo como:

Localização A:

crypto map crypto-map-1 1 ipsec-isakmp 
 description Tunnel to Location B
 set peer 12.12.12.12
 set transform-set ESP-3DES-SHA 
 match address internal-ips

Localização B:

crypto map crypto-map-1 1 ipsec-isakmp 
 description Tunnel to Location A
 set peer 11.11.11.11
 set transform-set ESP-3DES-SHA 
 match address internal-ips

Posso obter o failover simplesmente adicionando outro par na localização B?:

Localização A (Novo roteador secundário, a configuração no roteador anterior permanece a mesma):

crypto map crypto-map-1 1 ipsec-isakmp 
     description Tunnel to Location B
     set peer 12.12.12.12
     set transform-set ESP-3DES-SHA 
     match address internal-ips

Localização B (configuração alterada):

crypto map crypto-map-1 1 ipsec-isakmp 
     description Tunnel to Location A
     set peer 11.11.11.11
     ! 11.11.11.100 is the ip of the new second router at location A
     set peer 11.11.11.100
     set transform-set ESP-3DES-SHA 
     match address internal-ips

Cisco diz:

For crypto map entries created with the crypto map map-name seq-num ipsec-isakmp command, you can specify multiple peers by repeating this command. The peer that packets are actually sent to is determined by the last peer that the router heard from (received either traffic or a negotiation request from) for a given data flow. If the attempt fails with the first peer, Internet Key Exchange (IKE) tries the next peer on the crypto map list.

Mas não entendo totalmente isso no contexto de um cenário de failover (Um dos roteadores como Local A explodindo).

    
por Kyle Brandt 05.03.2010 / 14:41

1 resposta

3

Sim, esse é o jeito certo de fazer isso. Você também pode definir a palavra-chave default após set peer ... se preferir usar um dos dois roteadores por padrão

    
por 25.03.2010 / 13:00