URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15490
[ Назад ]

Исходное сообщение
"Cisco VPN: у каждого сайта по 2 ISP"

Отправлено scream , 11-Фев-08 09:40 
Стоит такая задача: соединить пяток удаленных складов/магазинов с головным офисом для раздачи терминального сервера. Возможность бесперебойной работы удаленных офисов с терминалами весьма критична (макс. время простоя не более 2-3 минут). Количество конкурентных юзеров около 10-15 человек. С одного сайта в среднем 3-4 человека. На каждом сайте по 2 канала в инет (ISP разные) для случаев когда "ой, у нас тут поломалося, сийчас всего за 2-3 дня починим".

Хотел сначала поставить в центре и на филиалах по 1811 (м.б. в центральном нужно сразу 28хх?). А потом почитал Design Guides и заметил, что везде рассматривается ситуация, когда на Branch office-е ломается один из каналов, и роутер брэнча сразу же переключается на второй канал и работает по нему. Но не нашел такой ситуации (м.б. просто плохо искал), когда у брэнча всё ок, а первичный канал летит у Head-End-a. Понятно, что умная железяка на брэнче легко перейдет на свой сэкондари канал и законнектится на сэкондари центрального офиса. Но суть вопроса в другом - резервный канал зачастую "дороже". Вот соответственно и встал вопрос - можно ли сделать на данном оборудовании так, чтобы был такой алгоритм работы:
1) брэнч коннектится к центральному через свой праймари канал на его праймари
2) в случае сбоя праймари в центральном офисе брэнч коннектится к нему на секондари со своего праймари
3) в случай сбоя праймари на брэнче брэнч коннектится со своего секондари на праймари центрального офиса
4) только в последнем случае, когда у бренча и в центре сломан праймари, бренч коннектится со своего секондари на секондари центрального.
Такая схема позволила бы экономить траффик дорогого секондари канала. Вопрос естественно не в деньгах - не так и часто вообще используется резервный канал. Но как обычно жажда познания всего неизведанного заставляет попробовать реализовать именно такое решение.

А еще встает такой вопрос: м.б. ну его нафик этот сайт-ту-сайт впн. М.б. надо просто установить каждому юзеру впн-клиент, настроить remote access и не парить мозг?


Содержание

Сообщения в этом обсуждении
"Cisco VPN: у каждого сайта по 2 ISP"
Отправлено Mikhail , 11-Фев-08 10:17 
OSPF

"Cisco VPN: у каждого сайта по 2 ISP"
Отправлено scream , 11-Фев-08 11:24 
>OSPF

Если я правильно понял, то нужно сделать VPN по методу p2p GRE over IPsec, DMVPN hub-and-spoke или VTI, используя при этом оспф, и будет мне счастье?

Меня только одно пугает. В документе, именуемом IPsec VPN WAN Design Overview
(OL-9021-01) во всех дизайнах присутствует такая строка:

Resiliency can be provided by configuring ...<technology_name>... tunnels mapped to ...<technology_name>... interfaces on multiple headend routers at one or more geographic hub locations.

И нигде не видно абзаца, говорящего что

Resiliency can be provided by configuring ...<technology_name>... tunnels mapped to ...<technology_name>... interfaces on multiple WAN INTERFACES OF HEADEND ROUTER at one geographic location.

Вот и возникает вопрос - смогу ли я сделать все это на одном хэд-энде с двумя ванами, или нужно ставить два роутера? Если два - дороговато, придется пересматривать проект.


"Cisco VPN: у каждого сайта по 2 ISP"
Отправлено scream , 12-Фев-08 14:08 
Тут один человек подсказал, что можно в такой ситуации поставить в центре 1811, а на филиалах - 871-й. У 871-го можно настроить один из портов LAN, как WAN-порт ( =-O ) и сделать таким образом сделать резервирование по местным каналам связи. А резервирование по каналам центрального офиса сделать просто указав в настройках Cisco VPN-клиента (коего нужно установить на всех клиентах) альтернативный адрес сервера.
Вот только смущает нецелевое использование использование ЛАН-портов и возникает вопрос о том, каким образом оно будет возвращаться к праймари-каналам после их восстановления?
Есть мысли о применении/развитии этого "бюджетного" варианта? Или лучше на него забить?