Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

вопрос к ЗНАТОКАМ. помогите построить отказоустойчивый vpn

Добрый день!

Есть центральный офис (ЦО), в нём базирубтся сервера приложений и баз данных. В ЦО 2 независимых провайдера internet. Имеется несколько филиалов, у которых то же по 2 провайдера internet.В филиалах пользователи запускают тонкие клиенты, которые работают с серверами приложений в ЦО.

Стоит задача - обеспечить доступ для тонких клиентов к серверам приложений посредством vpn, обеспечить автоматическое переключение на резервный канал связи при обрыве основного и возврат обратно.

Посоветуйте какое оборудование лучше использовать и будут ли "обрывы" vpn при переключении на другой канал интернета, если будут то сколько по времени?

1 ОТВЕТ

Re: вопрос к ЗНАТОКАМ. помогите пост

Добрый день, Николай!

В общем случае у вас два варианта:

1) Построение VPN на адрес из собственной AS, которая анонсируется по BGP обоим провайдерам.

Т.е. вам необходимо прикупить собственный блок IP-адресов в интернет, договориться  с обоими провайдерами об обмене по BGP, и анонсировать им свою сеть.

Соответсвенно можно анонсировать с разеым AS-prepand, для того, что бы в штатном режиме трафик всегда ходил через "нужного" провайдера.

Присвоить на один из интерфейсов вашего роутера адрес из диапазона вашей AS и соответственно все VPN-туннели из удалённых офисов строить на этот адрес.

С настройками по умолчанию время переключения составит около трёх минут.

2) Если возможности\желания использовтаь BGP нет, то можно использовать Dual-Hub.

Я бы вам советовал посмотреть в строну DMVPN dual-HUB, как более гибкий  вариант:

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_paper09186a008018983e.shtml

По времени переключения - при использовании EIGRP в качестве протокола динамической маршрутизации hello-interval для NBMA 60 секунд, врочем эти значения можно подтюнить.

При этом возможно и совмещение этих вариантов,  потому как первый вариант защищает вас от выхода из строя одного из каналов, но не защищает от выхода из строя роутера.

На счёт оборудования выбор будет зависеть в первую очередь от того, какие у вас потребности в производительности и какой дополнительный функционал вам нужен. Видимо что-то из линейки ISR G2 19xx\29xx для филиалов  и  29xx\39xx для ЦО.

636
Просмотры
0
Полезный материал
1
Ответы
СоздатьДля создания публикации, пожалуйста в систему