cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Backup VPN con un solo canal y dos canales del sitio principal

Hola,

Estoy buscado como organizar una arquitectura de backup de una solucion de VPN sobre IPSec.

Lo que se tiene hoy dial es un ASA 5510 con dos canales de Internet y un ASA 5505 con un canal de Internet.

Entre ellos dos hay una VPN sobre IPSec la cual esta configurada hacia uno de los canales de ASA 5510 y funciona bien.

Lo que queremos hacer es si uno de los canales del ASA5510 se cae la VPN se conecte de forma automática por el otro canal.

El tema de cambiar el GW del ASA5510 ya lo tenemos solucionado y se realiza cuando el ve la caida de una canal.

Lo que no se es como en el ASA5510 montar una segunda vpn por el mismo canal que se enlace y encamine en trafico por esta.

Estos es posible ? se puede hacer con solo es ASA5510.

Muchas gracias por si colaboracion.

  • Seguridad
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
Cisco Employee

Re: Backup VPN con un solo canal y dos canales del sitio princip

Buenas,

La solucion que propuso Julio es la mejor, sin embargo tengo unas sugerencias:

1- El mismo crypto map que ya esta configurado en el 5510 puede aplicarse a la otra interface. ( ikev1  tiene que ser habilitado en esta interfaz tambien y el respectivo NAT exemption).

2- En el 5505 no hay que configurar otro crypto map; simplemente utilizamos un backup peer:

crypto map mymyp 10 match address 110

crypto map mymap 10 set peer 1.1.1.1 2.2.2.2

crypto map mymap 10 set ikev1 transform-set SET1

crypto map mymap interface outside

Con lo anterior cuando el ISP de la interface primaria falla pasa lo siguiente:

  • DPDs en ambos ASAs detectan la falla y botan el tunel... (el default es threshold 10 retry 2)
  • IP SLA detecta la falla en el 5510 y el tracking instala la nueva ruta por la interfaz backup.

Tambien te recominedo que el ASA corra una version donde hayan sido implementados los cambios de estos bugs:

CSCue46275

CSCue97782

-Gustavo Medina

7 RESPUESTAS
Cisco Employee

Backup VPN con un solo canal y dos canales del sitio principal

Hola Santiago,

Primero te comento que como tal no se soporta un backup de peer en los tuneles L2L, sin embargo aqui lo que veo es que solo es mismo tunnel realizado por 2 canales.por lo que me surge la duda de si tienes 2 IPs publicas? Esto lo pregunto para poder darte una mejor respuesta, ya que podria darse una limitante de ruteo  mas que una limitante en el ASA.

Backup VPN con un solo canal y dos canales del sitio principal

Hola Santiago y Mario,

En este caso no estoy de acuerdo con Mario debido a que sí hay una forma de que si la interface A falla el VPN utilize la Interface B.

Se realiza de la Siguiente forma.

En el ASA 5510 con 2 canales:

Configuras SLA para tener un link primario y otro Backup

Configuras 2 crypto maps uno en la primari y otra en la secundaria

Ahora en el 5505 simplemente configuras un crypto map con 2 entradas una apuntando hacia la interface A de site A y la interface B de site A.

Looking for some Networking Assistance? 
Contact me directly at jcarvaja@laguiadelnetworking.com

I will fix your problem ASAP.

Cheers,

Julio Carvajal Segura
http://laguiadelnetworking.com

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
Cisco Employee

Backup VPN con un solo canal y dos canales del sitio principal

Hola Santiago y Julio,

Lo que comenta Julio como solucion es funcional y  resuelve el problema, el ASA efectivamente puede tener varias rutas  usando SLAs para sabre cual instalar en la tabla de ruteo y de esta  manera poder levantar un tunel u otro al mismo destino, que en realidad  es levantar 2 tunneles por separado, eso no es realmente un peer backup,  si no 2 tunneles a un mismo destino por 2 interfaces. En este caso en  el ASA 5505 deberas configurar al igual 2 tuneles, uno para cada IP  publica que pudieras tener (una por cada enlace) pero con el mismo  dispositivo destino (ASA 5510) claro que de manera Logica para el asa es  como 2 destinos diferentes.

Solo para aclarar conceptos lo anterior no es tener un  peer back up en si, mas bien son 2 tuneles, lo que yo mencione que no  se soporta es un peer back up, que para ser mas claros es un mismo  tunnel a 2 destinos IP diferentes. Es importante entender bien los  conceptos.

Espero haber ayudado

Backup VPN con un solo canal y dos canales del sitio principal

Por Conceptos de Funcionalidad y lo que el cliente esta buscando.

Tener un VPN configurado de tal manera que si el Link A falla y el VPN se va abajo y yo automicamente pueda hacer switch a la otra IP del ASA para levantar otro tunel con las mismas politicas me suena VPN Backup al 100 % .

No creo que sea necesario tomar en cuenta tecnisimos de este tipo cuando con la configuración proveeida se lleva a cabo el task requerido un VPN backup usando SLA y múltiples crypto-maps en el Hub router.

Looking for some Networking Assistance? 
Contact me directly at jcarvaja@laguiadelnetworking.com

I will fix your problem ASAP.

Cheers,

Julio Carvajal Segura
http://laguiadelnetworking.com

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
Cisco Employee

Re: Backup VPN con un solo canal y dos canales del sitio princip

Buenas,

La solucion que propuso Julio es la mejor, sin embargo tengo unas sugerencias:

1- El mismo crypto map que ya esta configurado en el 5510 puede aplicarse a la otra interface. ( ikev1  tiene que ser habilitado en esta interfaz tambien y el respectivo NAT exemption).

2- En el 5505 no hay que configurar otro crypto map; simplemente utilizamos un backup peer:

crypto map mymyp 10 match address 110

crypto map mymap 10 set peer 1.1.1.1 2.2.2.2

crypto map mymap 10 set ikev1 transform-set SET1

crypto map mymap interface outside

Con lo anterior cuando el ISP de la interface primaria falla pasa lo siguiente:

  • DPDs en ambos ASAs detectan la falla y botan el tunel... (el default es threshold 10 retry 2)
  • IP SLA detecta la falla en el 5510 y el tracking instala la nueva ruta por la interfaz backup.

Tambien te recominedo que el ASA corra una version donde hayan sido implementados los cambios de estos bugs:

CSCue46275

CSCue97782

-Gustavo Medina

New Member

Backup VPN con un solo canal y dos canales del sitio principal

Muchas gracias por las soluciones muy utiles.

New Member

Buenos días,Quisiera plantear

Buenos días,

Quisiera plantear mi situación a ver si me puden ayudar.

El escenario es el siguiente: tengo una vpn ipsec armada en un firewall asa con dos peer, uno de ellos apunta a un equipo de un cliente que tiene conexión por un proveedor y el otro peer a otro equipo del mismo cliente pero con otro proveedor de comunicaciones. Es decir, que de mi lado tengo el mismo peer en el mismo equipo y configuración del crypto map, pero del otro lado tiene redundancia de la VPN pero utilizando dos equipos diferentes conectados a dos enlaces diferentes.

El otro día el cliente tuvo que cambiar de proveedor por un problema técnico y entonces la VPN quedo armada con mi peer secundario que apunta al otro enlace del cliente, pero el tema fue que el cliente al querer volver a conectarse por el enlace principal que apunta a mi peer principal las conexiones de mi firewall seguian levantando por el otro peer secundario que apunta al enlace secundario del cliente. Recien cuando el cliente bajo directamente el enlace secundario se volvió a normalizar la situación levantando por mi peer principal  y el enlace primario del cliente. Entonces me pregunto si yo tendría que manualmente bajar la vpn para que negociara nuevamente por el peer principal y enlace principal del cliente sin necesidad del cliente tener que bajar su enlace secundario para forzar el armado de la vpn como estaba desde un princpio, ¿me explico? (lo cuento porque el cliente en rigor no tenia intención de bajar su enlace secundario porque lo utiliza para otras cosas)

Gracias si me pueden ayudar.

Un saludo cordial,

757
Visitas
14
ÚTIL
7
Respuestas