SRX vpn redundancy z 2 ISP active/active

JunOS / Juniper / Netscreen

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 618
Rejestracja: 27 wrz 2006, 10:02

SRX vpn redundancy z 2 ISP active/active

#1

#1 Post autor: Bolo » 03 sie 2017, 14:54

Witam,
Zostałem postawiony pod ścianą. Mam 2 łącza do Internetu. lokalizacja jest powiedzmy w mieście A. w mieście B znajduje się Data Center.

W mieście A mam cluster 2 x SRX320 (JUNOS 15.1X49-D45)
W mieście B mam cluster 2 x SRX240 (JUNOS 12.3X48-D40.5)

Teraz zażądano by zrobić tak by ruch pomiędzy A i B był równomiernie balansowany przy użyciu 2 polaczeń VPN.

Mój pierwszy pomysł:

1. GRE over IPSEC + OSPF
2. VPLS

A może cos jeszcze innego.
Bardzo proszę o wskazówki.

Z poważaniem
Bolo

geminiuss
member
member
Posty: 45
Rejestracja: 16 lut 2008, 00:38

Re: SRX vpn redundancy z 2 ISP active/active

#2

#2 Post autor: geminiuss » 03 sie 2017, 15:15

Na SRX nie musisz pakowac ruchu w GRE aby dziala OSPF. Takze wystarczylyby dwa tunele i OSPF. To bylby najlepsze i najprostsze roziwazanie.

Ciekawa alternatywa jest zawsze Event Manager. Mialbys dwa tunele VPN i ruch bylby podzielony za pomoca static routes. W tle mialbys skonfigurowane rpm probes i gdyby ktorys tunnel padl to automatycznie ruch by sie przekierowal na drugi tunnel. Gdy tunel wstanie wszystko worciloby do stanu pierowtnego.

Oczywiscie mozna by to tez zrobic na PBR , ale to byloby chyba najgorsze rozwiazanie.

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 618
Rejestracja: 27 wrz 2006, 10:02

Re: SRX vpn redundancy z 2 ISP active/active

#3

#3 Post autor: Bolo » 03 sie 2017, 15:21

no dobrze. czy musze tworzyć oddzielne instancje routingu?
Wydaje mi się, że jeśli mam 2 interface z różnymi IP to wystarczy.

Czytam dalej:)

geminiuss
member
member
Posty: 45
Rejestracja: 16 lut 2008, 00:38

Re: SRX vpn redundancy z 2 ISP active/active

#4

#4 Post autor: geminiuss » 03 sie 2017, 15:32

Wszystko w ramach jednego inetu ( tablicy routingu).

Awatar użytkownika
dud|i
wannabe
wannabe
Posty: 308
Rejestracja: 29 sty 2010, 23:51

Re: SRX vpn redundancy z 2 ISP active/active

#5

#5 Post autor: dud|i » 03 sie 2017, 20:44

Można też na trasach statycznych + BFD

Pamiętaj, że SRXy domyślnie nie robią load balancingu.
https://kb.juniper.net/InfoCenter/index ... id=KB23417

Oba interfejsy st0.x musisz umieścić w tej samej zonie bo ruch może lecieć asymetrycznie.
listen, think, solve ..

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 618
Rejestracja: 27 wrz 2006, 10:02

Re: SRX vpn redundancy z 2 ISP active/active

#6

#6 Post autor: Bolo » 04 sie 2017, 13:48

No dobrze. Aktualna moja konfiguracja:

Kod: Zaznacz cały

reth0 {
    vlan-tagging;
    redundant-ether-options {
        redundancy-group 2;
    }
    unit 5 {
        description to_ISP01;
        vlan-id 5;
        family inet {
            address 77.222.76.22/24;
        }
    }
    unit 7 {
        description to_ISP02;
        vlan-id 7;
        family inet {
            address 88.88.76.10/24;
        }
    }
i teraz czy na pewno będę mógł zrobić na tym FW 2 tunele do tego samego peera?
Czy na pewno nie będę musiał używać VRF?

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 278
Rejestracja: 28 paź 2008, 12:24

Re: SRX vpn redundancy z 2 ISP active/active

#7

#7 Post autor: scoon » 04 sie 2017, 14:07

Rozumiem, że masz jeden cluster w lokalizacji A i jeden cluster w lokalizacji B?
Czy po dwa klastry w każdej z lokalizacji?

geminiuss
member
member
Posty: 45
Rejestracja: 16 lut 2008, 00:38

Re: SRX vpn redundancy z 2 ISP active/active

#8

#8 Post autor: geminiuss » 04 sie 2017, 15:03

Bolo pisze:No dobrze. Aktualna moja konfiguracja:

Kod: Zaznacz cały

reth0 {
    vlan-tagging;
    redundant-ether-options {
        redundancy-group 2;
    }
    unit 5 {
        description to_ISP01;
        vlan-id 5;
        family inet {
            address 77.222.76.22/24;
        }
    }
    unit 7 {
        description to_ISP02;
        vlan-id 7;
        family inet {
            address 88.88.76.10/24;
        }
    }
i teraz czy na pewno będę mógł zrobić na tym FW 2 tunele do tego samego peera?
Czy na pewno nie będę musiał używać VRF?
To beda dwa rozne tunele , po porstu uzywasz innnych adresow jako source do zainicjowania VPN-u:

st0.0 - 77.222.76.22 <---> Remote Peer
st0.1 - 88.88.76.10 <---> Remote Peer

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 618
Rejestracja: 27 wrz 2006, 10:02

Re: SRX vpn redundancy z 2 ISP active/active

#9

#9 Post autor: Bolo » 09 sie 2017, 14:05

...przygotuje config i pokaże co zrobić się udało :)

Pozdraiwma

ODPOWIEDZ