GetVPN i dwa protokoły routingu

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
radix
wannabe
wannabe
Posty: 172
Rejestracja: 12 sie 2009, 13:21
Lokalizacja: Warszawa

GetVPN i dwa protokoły routingu

#1

#1 Post autor: radix »

Hej

Mam pytanie odnośnie GetVPN i routingu. Aktualnie mam łącze L2 operatorskie szyfrowane po GetVPN, do którego jest podłączonych kilku peerów .
Wszystko(Getvpnn loopback oraz sieci LAN) jest rozgłaszane przez EIGRP.
EIGRP jest poza domeną encrypcji GETVPN ale juz sam ruch pomiedzy sieciami LAN idzie przez GetVPN.
Czasem jednak gdzy zdaży się jakaś awaria z GetVPN to routing przez EIGRP działa poprawnie ale szyfrownie przez GetvPN już nie.

Aby bardziej uzaleznić routing LAN od GetVPN zastanawiałem się nad poniższym rozwiązaniem:
-Loopbacki do GetvPN peerow (group member) oraz Keyservera (KS) byłyby rozgłaszane inny protokół , na przykład OSPF -poza domeną enkrypcji GetVPN
-sieci wewnętrzne LAN byłyby rozgłaszne przez EIGRP - wewnątrz domeny encrypcji GetVPN

Takie rozwiązanie powoduje, że jeśli coś się będzie działo z GetVPN to ruch poprawnie zostanie przełączony na łącze zapasowe
gdyż routing do innych podsieci przez EIGRP też zniknie jak przestanie działać GetVPN.

Pozostaje kwestia jak GetVPN będzie działał asymetrycznie to znaczy jeden peer GETVPN (nie będzie to VPN-A) będzie wysyłał poprawnei dane ale nie będzie mógł odszyfrwować
ruchu od innych peerów (nie będzie to VPN-B oraz VPN-C).
Ten błędny GetVPN peer VPN-A straci sesje EIGRP do innych peerów i roześle EIGRP peer termination (tzw goodbye message) do pozostałych peerów .
więc pozostali członkowe EIGRP usuną tego błędnego peera EIGRP.
Problem pojawiłby się w momencie gdyby ten goodbye message nie dotarł do pozostałych peerów EIGRP.
Wtedy oni cały czas będą miec wpisy w EIGRP do wadliwego peera VPN-A i przełączenia na backup nie zadziała od razu


Testowałem to rozwiązanie z OSPF i EIGRP w Labie i jest ok ale ten przypadek gdy goodbye message może zostanie stracony nie podoba mi się :)

Pytanie:
Czy ktoś z was używał podobnego rozwiązania aby dany protokół routingu był wewnątrz GetVPN?

PS. Chciałem również uniknąc stosowania skryptów EEM

radix
wannabe
wannabe
Posty: 172
Rejestracja: 12 sie 2009, 13:21
Lokalizacja: Warszawa

Re: GetVPN i dwa protokoły routingu

#2

#2 Post autor: radix »

Odświeżam temat gdyby ktoś coś wiedział :)

ODPOWIEDZ