вопрос к ЗНАТОКАМ. помогите построить отказоустойчивый vpn

Неотвеченый вопрос
июл 25th, 2013
User Badges:

Добрый день!

Есть центральный офис (ЦО), в нём базирубтся сервера приложений и баз данных. В ЦО 2 независимых провайдера internet. Имеется несколько филиалов, у которых то же по 2 провайдера internet.В филиалах пользователи запускают тонкие клиенты, которые работают с серверами приложений в ЦО.

Стоит задача - обеспечить доступ для тонких клиентов к серверам приложений посредством vpn, обеспечить автоматическое переключение на резервный канал связи при обрыве основного и возврат обратно.

Посоветуйте какое оборудование лучше использовать и будут ли "обрывы" vpn при переключении на другой канал интернета, если будут то сколько по времени?

I have this problem too.
0 голоса
Loading.
Sergey Goffert вс, 07/28/2013 - 22:23
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Ноябрь 2014

Добрый день, Николай!


В общем случае у вас два варианта:


1) Построение VPN на адрес из собственной AS, которая анонсируется по BGP обоим провайдерам.

Т.е. вам необходимо прикупить собственный блок IP-адресов в интернет, договориться  с обоими провайдерами об обмене по BGP, и анонсировать им свою сеть.

Соответсвенно можно анонсировать с разеым AS-prepand, для того, что бы в штатном режиме трафик всегда ходил через "нужного" провайдера.

Присвоить на один из интерфейсов вашего роутера адрес из диапазона вашей AS и соответственно все VPN-туннели из удалённых офисов строить на этот адрес.

С настройками по умолчанию время переключения составит около трёх минут.


2) Если возможности\желания использовтаь BGP нет, то можно использовать Dual-Hub.

Я бы вам советовал посмотреть в строну DMVPN dual-HUB, как более гибкий  вариант:

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_paper09186a008018983e.shtml

По времени переключения - при использовании EIGRP в качестве протокола динамической маршрутизации hello-interval для NBMA 60 секунд, врочем эти значения можно подтюнить.



При этом возможно и совмещение этих вариантов,  потому как первый вариант защищает вас от выхода из строя одного из каналов, но не защищает от выхода из строя роутера.


На счёт оборудования выбор будет зависеть в первую очередь от того, какие у вас потребности в производительности и какой дополнительный функционал вам нужен. Видимо что-то из линейки ISR G2 19xx\29xx для филиалов  и  29xx\39xx для ЦО.

Действия

Информация о дискуссии