Strona 1 z 1

SRX vpn redundancy z 2 ISP active/active

: 03 sie 2017, 14:54
autor: Bolo
Witam,
Zostałem postawiony pod ścianą. Mam 2 łącza do Internetu. lokalizacja jest powiedzmy w mieście A. w mieście B znajduje się Data Center.

W mieście A mam cluster 2 x SRX320 (JUNOS 15.1X49-D45)
W mieście B mam cluster 2 x SRX240 (JUNOS 12.3X48-D40.5)

Teraz zażądano by zrobić tak by ruch pomiędzy A i B był równomiernie balansowany przy użyciu 2 polaczeń VPN.

Mój pierwszy pomysł:

1. GRE over IPSEC + OSPF
2. VPLS

A może cos jeszcze innego.
Bardzo proszę o wskazówki.

Z poważaniem
Bolo

Re: SRX vpn redundancy z 2 ISP active/active

: 03 sie 2017, 15:15
autor: geminiuss
Na SRX nie musisz pakowac ruchu w GRE aby dziala OSPF. Takze wystarczylyby dwa tunele i OSPF. To bylby najlepsze i najprostsze roziwazanie.

Ciekawa alternatywa jest zawsze Event Manager. Mialbys dwa tunele VPN i ruch bylby podzielony za pomoca static routes. W tle mialbys skonfigurowane rpm probes i gdyby ktorys tunnel padl to automatycznie ruch by sie przekierowal na drugi tunnel. Gdy tunel wstanie wszystko worciloby do stanu pierowtnego.

Oczywiscie mozna by to tez zrobic na PBR , ale to byloby chyba najgorsze rozwiazanie.

Re: SRX vpn redundancy z 2 ISP active/active

: 03 sie 2017, 15:21
autor: Bolo
no dobrze. czy musze tworzyć oddzielne instancje routingu?
Wydaje mi się, że jeśli mam 2 interface z różnymi IP to wystarczy.

Czytam dalej:)

Re: SRX vpn redundancy z 2 ISP active/active

: 03 sie 2017, 15:32
autor: geminiuss
Wszystko w ramach jednego inetu ( tablicy routingu).

Re: SRX vpn redundancy z 2 ISP active/active

: 03 sie 2017, 20:44
autor: dud|i
Można też na trasach statycznych + BFD

Pamiętaj, że SRXy domyślnie nie robią load balancingu.
https://kb.juniper.net/InfoCenter/index ... id=KB23417

Oba interfejsy st0.x musisz umieścić w tej samej zonie bo ruch może lecieć asymetrycznie.

Re: SRX vpn redundancy z 2 ISP active/active

: 04 sie 2017, 13:48
autor: Bolo
No dobrze. Aktualna moja konfiguracja:

Kod: Zaznacz cały

reth0 {
    vlan-tagging;
    redundant-ether-options {
        redundancy-group 2;
    }
    unit 5 {
        description to_ISP01;
        vlan-id 5;
        family inet {
            address 77.222.76.22/24;
        }
    }
    unit 7 {
        description to_ISP02;
        vlan-id 7;
        family inet {
            address 88.88.76.10/24;
        }
    }
i teraz czy na pewno będę mógł zrobić na tym FW 2 tunele do tego samego peera?
Czy na pewno nie będę musiał używać VRF?

Re: SRX vpn redundancy z 2 ISP active/active

: 04 sie 2017, 14:07
autor: scoon
Rozumiem, że masz jeden cluster w lokalizacji A i jeden cluster w lokalizacji B?
Czy po dwa klastry w każdej z lokalizacji?

Re: SRX vpn redundancy z 2 ISP active/active

: 04 sie 2017, 15:03
autor: geminiuss
Bolo pisze:No dobrze. Aktualna moja konfiguracja:

Kod: Zaznacz cały

reth0 {
    vlan-tagging;
    redundant-ether-options {
        redundancy-group 2;
    }
    unit 5 {
        description to_ISP01;
        vlan-id 5;
        family inet {
            address 77.222.76.22/24;
        }
    }
    unit 7 {
        description to_ISP02;
        vlan-id 7;
        family inet {
            address 88.88.76.10/24;
        }
    }
i teraz czy na pewno będę mógł zrobić na tym FW 2 tunele do tego samego peera?
Czy na pewno nie będę musiał używać VRF?
To beda dwa rozne tunele , po porstu uzywasz innnych adresow jako source do zainicjowania VPN-u:

st0.0 - 77.222.76.22 <---> Remote Peer
st0.1 - 88.88.76.10 <---> Remote Peer

Re: SRX vpn redundancy z 2 ISP active/active

: 09 sie 2017, 14:05
autor: Bolo
...przygotuje config i pokaże co zrobić się udało :)

Pozdraiwma