cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

Ayuda con IPSEC - 2 túneles que ven la misma red remota?

Buenas tardes,

Llevo un tiempo montando túneles IPSEC contra clientes, con Multi-VRF, usando un Cisco 2821. Me ha llegado una nueva petición con la particularidad de que el cliente tiene, en la misma sede,líneas con 2 ISP distintas, 2 IP´s públicas o PEERs distintas, llamemoslas WAN1 y WAN2. Es decir, la intención sería montar 2 túneles independientes, pero que vean la misma LAN remota para la misma VRF, de manera que el túnel se genere siempre contra WAN1, y sólo en caso de caída, levante WAN2, que haría de backup.

Mi duda viene a la hora de inyectar la ruta con el comando

"reverse-route remote-peer X.X.X.X static" dentro del Crypto map WAN1

"reverse-route remote-peer Y.Y.Y.Y static" dentro del Crypto map WAN2

Si se establece el primer túnel, contra WAN1, se inyecta la ruta hacia mi red para esa IP X.X.X.X. Supongamos que el túnel cae...

- ¿Esa ruta se pierde automáticamente, no?

- ¿Hay forma de que inmediatamente se intente levantar el tunel WAN2, y que la ruta que se inyecte sea la suya, Y.Y.Y.Y? Me refiero a que mi equipo no devolviera el tráfico por la ruta a X.X.X.X (WAN1), sino a Y.Y.Y.Y (WAN2)

- Da algún problema que ambos túneles vean la misma red LAN por ambos caminos?

- Quitando el "static" del final del comando, funcionaría como buscamos?

Lo siento sino me he explicado muy bien, cualquier dato que me haya dejado en el tintero, por favor, pedidlo.

Cualquier comentario será bienvenido.

Muchas gracias de antemano.

Sds

Etiquetas (5)
1 RESPUESTA
New Member

Hola @David Hervas Garrudo  

Hola cst_soporte  

podrías utilizar una loopback como source, teniendo solo un túnel, pero con dos rutas hacia el peer, teniendo una como preferida, y cuando se cayera, el tráfico se iría por la segunda.

respecto a tu escenario, si inyectas el reverse route y se cae el crypto, la ruta desaparece, y tener ambos túneles funcionando crearía un par de rutas disponibles para balancear tráfico, sin embargo, creo que faltaría aún ruteo dinámico para anunciar la LAN sobre los túneles, pero es un approach correcto.

saludos!

CCIE 52804
315
Visitas
0
ÚTIL
1
Respuestas