我有许多远程站点通过 Cisco ASA 5505 和 Cisco PIX 506 连接到总部。总部有一台旧的 Cisco 3000 VPN 集中器和一台新的 Cisco ASA 5510。
远程站点使用 Easy VPN 进行连接(因此它们显示为远程访问会话,而不是 Lan2Lan)。
我正在迁移远程设备以连接到新的 5510。我可以在配置中拥有多个 VPN 服务器以实现故障转移,因此我在那里添加了 VPN 集中器。但是,在总部端,我们目前已设置静态路由以将远程子网的流量引导至任何一个5510 或 VPN 集中器。这意味着在故障转移情况下,需要手动干预来更新总部的路由。
我们在总部使用 Dell PowerConnect 6248 作为核心交换机 - 目前所有路由都在那里配置。我希望设置某种故障转移路由,这样如果我因任何原因关闭 ASA 5510,连接仍可正常工作。端点可以处理此故障转移,但路由目前都是静态的。我该如何实现这一点?
答案1
如果可能,请使用动态路由。在正确的物理设置下,使用具有不同度量的静态路由将为您提供不错的故障转移行为。
路由器通常不跟踪下一跳的可达性,而是跟踪“接口开启”或“接口关闭”,如果至少一个适合下一跳的出口接口处于“开启”状态,则认为下一跳可达。此时,唯一会导致数据包不是发送到下一跳(向上或向下)的原因是没有 ARP 解析,并且 ARP 请求通常会缓存很长一段时间(我相信 Cisco 默认设置是 4 小时),您可能需要等待很长时间。
在“Cisco-land”中,使用具有不同(管理)距离的静态路由称为“浮动静态”,通常用于从串行链路到另一个链路的故障转移,因为串行链路(通常)是点对点的(如果您使用 FR 或其他能够提供多点的串行链路协议,则可能并非如此)并且具有足够的信令来标记“另一端无法访问(与大多数“城域以太网”不同,在大多数“城域以太网”中,两个 L3 端点之间通常有多个 L2 跳跃,因此传输路径中某处的中断通常不会显示为关闭的接口)。
因此,简而言之,如果您可以安排您的 5510 连接到单核心交换机上的专用交换机端口,使用 /30 网络,并且当 5510 关闭时,不会导致核心交换机上的交换机端口发出启动信号(或者您愿意花时间让别人修改路由或拔掉电缆),那么浮动静态可能正是您所需要的。值得研究,但我可能会研究配置动态路由,至少对于 VPN 路由。
答案2
如果您的 PowerConnect 交换机支持此功能,则它们应该在路由表中显示“度量”数字。有时这也被称为“距离”或“管理距离”。无论它叫什么,这个数字都是路由器的指标,表明该路由有多近或多直接。数字越高,路由越长。
如果您想要设置故障转移路由,则需要为目标子网添加通过具有更高度量的其他网关(在您的情况下为“备份”VPN 服务器)的路由。当其他度量较低的路由不可用时(例如,当无法到达相关网关时),将使用这些备份路由。