Dwa łącza - Juniper SSG5
Dwa łącza - Juniper SSG5
Witam
Posiadam łącza IPVPN z centrali do wszystkich oddziałów. Na każdym z nich postawiony jest tunel VPN i obecnie wszystko działa prawidłowo wedle zastosowanych przeze mnie polityk.
Obecnie chcę dodać drugie łącze (link SME) do tych samych lokalizacji jako łącze zapasowe.
Czy jest możliwe aby ruch po tych łączach szedł jednocześnie (według zdefiniowanych polityk lub automatyczny balans) a w razie awarii któregoś z łącz cały ruch przekierowywał by się na łącze działające ?
Chcę by funkcjonowało to we wszystkich moich lokalizacjach oraz w centrali.
W centrali posiadam SSG140 a w każdym oddziale SSG5.
Proszę o wszelkie sugestie.
Posiadam łącza IPVPN z centrali do wszystkich oddziałów. Na każdym z nich postawiony jest tunel VPN i obecnie wszystko działa prawidłowo wedle zastosowanych przeze mnie polityk.
Obecnie chcę dodać drugie łącze (link SME) do tych samych lokalizacji jako łącze zapasowe.
Czy jest możliwe aby ruch po tych łączach szedł jednocześnie (według zdefiniowanych polityk lub automatyczny balans) a w razie awarii któregoś z łącz cały ruch przekierowywał by się na łącze działające ?
Chcę by funkcjonowało to we wszystkich moich lokalizacjach oraz w centrali.
W centrali posiadam SSG140 a w każdym oddziale SSG5.
Proszę o wszelkie sugestie.
Dzięki za odpowiedź.
SSG140 - 6.2.0.r5.0
SSG5 - 6.3.0r5.0
Jeśli będzie to wymagane to firmware zaktualizuję.
W centrali też będzie drugie łącze.
Oddziałów jest 14 także 140 powinna sobie poradzić bez większego problemu.
Samo dodanie kolejnego łącza i nowego tunelu nie stanowi problemu.
Problem pojawia się w momencie zarządzania ruchem od strony centrali, gdyż w oddziale można by było ustawić ECM dla Untrusta i to by moim zdaniem działało, ale w jedną stronę gdyż w centrali wszystkie oddziały są ustawione jako jeden Untrust.
Jeśli się mylę proszę mnie poprawić
SSG140 - 6.2.0.r5.0
SSG5 - 6.3.0r5.0
Jeśli będzie to wymagane to firmware zaktualizuję.
W centrali też będzie drugie łącze.
Oddziałów jest 14 także 140 powinna sobie poradzić bez większego problemu.
Samo dodanie kolejnego łącza i nowego tunelu nie stanowi problemu.
Problem pojawia się w momencie zarządzania ruchem od strony centrali, gdyż w oddziale można by było ustawić ECM dla Untrusta i to by moim zdaniem działało, ale w jedną stronę gdyż w centrali wszystkie oddziały są ustawione jako jeden Untrust.
Jeśli się mylę proszę mnie poprawić
Zastanów się nad takim rozwiązaniem:
1. na łaczach podstawowych i zapasowych konfigurujesz tunele vpn (w sumie 28)
2. ruch wysteruj routingiem tak, aby jedna polowa oddzialow szla vpn-em laczem podstawowym a druga polowa zeby szla vpn-em laczem zapasowym.
Mniej wiecej bedziesz mial rozlozony ruch (zakladajac ze kazdy oddzial generuje podobny ruch)
3. ustaw sobie monitorowanie tuneli vpn aby sie automatycznie routing przelaczal na drugi vpn gdy pierwszy vpn padnie
K.
1. na łaczach podstawowych i zapasowych konfigurujesz tunele vpn (w sumie 28)
2. ruch wysteruj routingiem tak, aby jedna polowa oddzialow szla vpn-em laczem podstawowym a druga polowa zeby szla vpn-em laczem zapasowym.
Mniej wiecej bedziesz mial rozlozony ruch (zakladajac ze kazdy oddzial generuje podobny ruch)
3. ustaw sobie monitorowanie tuneli vpn aby sie automatycznie routing przelaczal na drugi vpn gdy pierwszy vpn padnie
K.
1. Wszystko jasne.
2. Myślałem by zrobić to trochę inaczej. Nie ustawiać oddziałów na konkretne łącza.
Opiszę to jak ja to bym widział:
a) Każdy oddział będzie posiadał dwa łącza - dwie odrębne adresacje np. 10.0.2.0/24 oraz 10.0.3.0/24. Ruch jest balansowany na oba łącza lub kierowany jest wg zdefiniowanych polityk. Jeżeli któreś z łącz padnie cały ruch przekierowywany jest na łącze aktywne.
b) Centrala będzie posiadała dwa łącza - dwie odrębne adresacje np. 10.0.0.0/24 oraz 10.0.1.0/24 - w tym przypadku balans nie ma znaczenia, ważne jest by ruch szedl po aktywnym łączu, ponieważ zasadniczy ruch odbywa się Z oddziału DO centrali.
3. Monitorowanie tuneli wiem jak uruchomić, ale jak skonfigurować przełączanie routingu gdy padnie VPN ?
2. Myślałem by zrobić to trochę inaczej. Nie ustawiać oddziałów na konkretne łącza.
Opiszę to jak ja to bym widział:
a) Każdy oddział będzie posiadał dwa łącza - dwie odrębne adresacje np. 10.0.2.0/24 oraz 10.0.3.0/24. Ruch jest balansowany na oba łącza lub kierowany jest wg zdefiniowanych polityk. Jeżeli któreś z łącz padnie cały ruch przekierowywany jest na łącze aktywne.
b) Centrala będzie posiadała dwa łącza - dwie odrębne adresacje np. 10.0.0.0/24 oraz 10.0.1.0/24 - w tym przypadku balans nie ma znaczenia, ważne jest by ruch szedl po aktywnym łączu, ponieważ zasadniczy ruch odbywa się Z oddziału DO centrali.
3. Monitorowanie tuneli wiem jak uruchomić, ale jak skonfigurować przełączanie routingu gdy padnie VPN ?
-
- member
- Posty: 18
- Rejestracja: 24 sty 2008, 15:22
- Lokalizacja: Warszawa
- Kontakt:
Kolego, poradzisz sobie, jak tylko zajrzysz do dokumentacji:
http://www.juniper.net/techpubs/softwar ... outing.pdf
K.
http://www.juniper.net/techpubs/softwar ... outing.pdf
K.
Nie wiem jak skonfigurowałeś sobie te VPN, czy policy czy route based. W przypadku gdybyś użył route based VPN co możliwe jest w każdej wersji softu, ale od 6.3 pozwala używać wiele proxy-id czyli możesz łączyć różne local i remote sieci dzięki jednej konfiguracji tunelu. Wtedy monitorowanie czy łącze działa czy nie odpada, bo w sytuacji jak padnie Ci tunel routing do tej sieci automatycznie usuwa się z tablicy (aka ścieżka jest niedostępna) i wtedy z automatu będzie walił 2 ścieżką na której VPN będzie zestawiony (przynajmniej w warunkach labo tak było). A load balance wystarczy, że ustawisz routing statickiem z tą samą metryką, co w przypadku policy based tunel może być niewystarczające.
Ja to bym zaczął najpierw od tego aby porównać te oba łącz i ruch jaki je może ewentualnie obciążać (czyli ruch centrala<>zdalny oddział), bo być może ten cały load balancing to jest sztuka dla sztuki i tylko niepotrzebne tworzenie sobie dodatkowych problemów. Te dwa łącza będą o takiej samej przepustowości? Mają jakieś SLA? To jest IMO do sprawdzenia w pierwszym kroku. Przykładowo jeżeli mam łącze A z SLA i przepustowością, która w zupełności wystarcza oraz łącze B bez SLA i z taką samą lub większą przepustowością to po co się bawić w load? Ustawić łącze B jako zapasowe np. przy pomocy metryki routingu czy innych funkcji dostępnych na danym urządzeniu. Generalnie najpierw przyglądnąć się dobrze całej sieci i temu co mamy do dyspozycji i dopiero wtedy decydować i kombinować
Zrobiłem coś takiego:krisator pisze:Musisz odpowiednio skonfigurować monitoring vpn'ów i routing z różnymi metrykami.
Jak ci padnie tunel to routing sam się powinien przełączyć (taka sama trasa z inną metryką i interfejsem wychodzącym)
Pamiętaj żeby routing ustawić odpowiednio po obu stronach tunelu...
K.
Routingi centrali (10.10.10.0/24) do oddziału (10.10.20.0/24):
IP Interface Preference Metric
10.10.20.0/24 tunnel.1 20 1
10.10.20.0/24 tunnel.2 20 1
Routingi oddziału:
IP Interface Preference Metric
10.10.20.0/24 bgroup0
10.10.20.254/32 bgroup0
0.0.0.0/0 tunnel.1 20 1
0.0.0.0/0 tunnel.2 21 1
10.10.10.1/32 tunnel.1 21 1
10.10.10.1/32 tunnel.2 20 1
Ze strony oddziału wszystko działa jak należy. Po padnięciu któregoś z łącz przełącza się i działa dalej.
Tak jak widać, podczas normalnej pracy obu łącz ruch do 10.10.10.1 (host w centrali) idzie drugim tunelem.
I tu pojawia się problem. Gdyż z 10.10.10.1 nie widać oddziału.
Dzieje się tak samo gdy wypniemy łącze główne. Ruch z oddziału przebiega prawidłowo a centrala nie widzi oddziału.
Gdy w centrali ustawiłem routing do oddziału z preference 21 dla drugiego tunelu to routing się nie uaktywniał.