我在两个 ASA 之间设置了故障转移 VPN,以防 p2p 连接断开。我正在尝试找到一种不断开 p2p 连接的方式来测试它。
对此有什么想法吗?
我无法生成任何有趣的流量,因为它只是从 p2p 链接而不是 vpn 隧道路由出去。
答案1
我很抱歉这么说,但是:不要。特里·普拉切特有一句名言,有人批评别人的紧急恢复测试,大意是他们总是忽略大坝的紧急情况。
测试 DR 就是这样。如果您不残忍地杀死您计划在故障后幸存的东西,您永远不会真正知道真正的故障是可以幸存的。我确信有 PIXOS 命令可以强制故障转移(很抱歉我不是了解这些命令的 PIXOS 专家),但如果您使用这些命令然后宣布测试良好,您永远不会知道 PIX 是否会正确检测故障。
因此,请安排一个安静的夜晚,然后放弃 p2p。计算故障转移和故障恢复的时间。一旦您对此有信心,请在白天进行测试,这样您就可以确保它在负载下正常工作。确保它继续每月或每两个月进行一次夜间测试,每年进行一次或两次白天测试。如果您不这样测试,那么您实际上就没有故障转移能力。
答案2
您可以使用在活动单元上输入的“no failover active”命令或在备用单元上输入的“failover active”命令手动进行故障转移。
答案3
我最终在其中一个 ASA 上将第 2 阶段设置错误。在我更改设置后,隧道就自动启动了。我不知道他们会这样做,它甚至显示没有流量通过它。也许是保持活动?无论哪种方式,对我来说都足够好,可以继续测试故障转移。