SRX vpn redundancy z 2 ISP active/active
SRX vpn redundancy z 2 ISP active/active
Witam,
Zostałem postawiony pod ścianą. Mam 2 łącza do Internetu. lokalizacja jest powiedzmy w mieście A. w mieście B znajduje się Data Center.
W mieście A mam cluster 2 x SRX320 (JUNOS 15.1X49-D45)
W mieście B mam cluster 2 x SRX240 (JUNOS 12.3X48-D40.5)
Teraz zażądano by zrobić tak by ruch pomiędzy A i B był równomiernie balansowany przy użyciu 2 polaczeń VPN.
Mój pierwszy pomysł:
1. GRE over IPSEC + OSPF
2. VPLS
A może cos jeszcze innego.
Bardzo proszę o wskazówki.
Z poważaniem
Bolo
Zostałem postawiony pod ścianą. Mam 2 łącza do Internetu. lokalizacja jest powiedzmy w mieście A. w mieście B znajduje się Data Center.
W mieście A mam cluster 2 x SRX320 (JUNOS 15.1X49-D45)
W mieście B mam cluster 2 x SRX240 (JUNOS 12.3X48-D40.5)
Teraz zażądano by zrobić tak by ruch pomiędzy A i B był równomiernie balansowany przy użyciu 2 polaczeń VPN.
Mój pierwszy pomysł:
1. GRE over IPSEC + OSPF
2. VPLS
A może cos jeszcze innego.
Bardzo proszę o wskazówki.
Z poważaniem
Bolo
Re: SRX vpn redundancy z 2 ISP active/active
Na SRX nie musisz pakowac ruchu w GRE aby dziala OSPF. Takze wystarczylyby dwa tunele i OSPF. To bylby najlepsze i najprostsze roziwazanie.
Ciekawa alternatywa jest zawsze Event Manager. Mialbys dwa tunele VPN i ruch bylby podzielony za pomoca static routes. W tle mialbys skonfigurowane rpm probes i gdyby ktorys tunnel padl to automatycznie ruch by sie przekierowal na drugi tunnel. Gdy tunel wstanie wszystko worciloby do stanu pierowtnego.
Oczywiscie mozna by to tez zrobic na PBR , ale to byloby chyba najgorsze rozwiazanie.
Ciekawa alternatywa jest zawsze Event Manager. Mialbys dwa tunele VPN i ruch bylby podzielony za pomoca static routes. W tle mialbys skonfigurowane rpm probes i gdyby ktorys tunnel padl to automatycznie ruch by sie przekierowal na drugi tunnel. Gdy tunel wstanie wszystko worciloby do stanu pierowtnego.
Oczywiscie mozna by to tez zrobic na PBR , ale to byloby chyba najgorsze rozwiazanie.
Re: SRX vpn redundancy z 2 ISP active/active
no dobrze. czy musze tworzyć oddzielne instancje routingu?
Wydaje mi się, że jeśli mam 2 interface z różnymi IP to wystarczy.
Czytam dalej:)
Wydaje mi się, że jeśli mam 2 interface z różnymi IP to wystarczy.
Czytam dalej:)
Re: SRX vpn redundancy z 2 ISP active/active
Wszystko w ramach jednego inetu ( tablicy routingu).
Re: SRX vpn redundancy z 2 ISP active/active
Można też na trasach statycznych + BFD
Pamiętaj, że SRXy domyślnie nie robią load balancingu.
https://kb.juniper.net/InfoCenter/index ... id=KB23417
Oba interfejsy st0.x musisz umieścić w tej samej zonie bo ruch może lecieć asymetrycznie.
Pamiętaj, że SRXy domyślnie nie robią load balancingu.
https://kb.juniper.net/InfoCenter/index ... id=KB23417
Oba interfejsy st0.x musisz umieścić w tej samej zonie bo ruch może lecieć asymetrycznie.
listen, think, solve ..
Re: SRX vpn redundancy z 2 ISP active/active
No dobrze. Aktualna moja konfiguracja:
i teraz czy na pewno będę mógł zrobić na tym FW 2 tunele do tego samego peera?
Czy na pewno nie będę musiał używać VRF?
Kod: Zaznacz cały
reth0 {
vlan-tagging;
redundant-ether-options {
redundancy-group 2;
}
unit 5 {
description to_ISP01;
vlan-id 5;
family inet {
address 77.222.76.22/24;
}
}
unit 7 {
description to_ISP02;
vlan-id 7;
family inet {
address 88.88.76.10/24;
}
}
Czy na pewno nie będę musiał używać VRF?
Re: SRX vpn redundancy z 2 ISP active/active
Rozumiem, że masz jeden cluster w lokalizacji A i jeden cluster w lokalizacji B?
Czy po dwa klastry w każdej z lokalizacji?
Czy po dwa klastry w każdej z lokalizacji?
Re: SRX vpn redundancy z 2 ISP active/active
To beda dwa rozne tunele , po porstu uzywasz innnych adresow jako source do zainicjowania VPN-u:Bolo pisze:No dobrze. Aktualna moja konfiguracja:
i teraz czy na pewno będę mógł zrobić na tym FW 2 tunele do tego samego peera?Kod: Zaznacz cały
reth0 { vlan-tagging; redundant-ether-options { redundancy-group 2; } unit 5 { description to_ISP01; vlan-id 5; family inet { address 77.222.76.22/24; } } unit 7 { description to_ISP02; vlan-id 7; family inet { address 88.88.76.10/24; } }
Czy na pewno nie będę musiał używać VRF?
st0.0 - 77.222.76.22 <---> Remote Peer
st0.1 - 88.88.76.10 <---> Remote Peer
Re: SRX vpn redundancy z 2 ISP active/active
...przygotuje config i pokaże co zrobić się udało
Pozdraiwma
Pozdraiwma