На сей раз речь у нас пойдет о построении отказоустойчивой схемы IPsec. В целом, циска рекомендует для такого рода кейсов применять технологии вроде DMVPN и GETVPN, где отказоустойчивость туннелей основывается на IGP. Однако, это не всегда возможно – ведь ASA всего этого не поддерживает!
Давайте рассмотрим довольно часто встречающуюся задачу. Необходимо построить Site-to-Site IPsec VPN между роутерами в HQ (2 шт) и ASA в Branch. Туннель должен быть отказоустойчивым, т.е. при выходе из строя R1, он должен переключаться на R2. В целом, существует несколько методов для решения этой задачи: можно в crypto map на ASA прописать несколько set peer, можно настроить простой HSRP и строить туннель на этот адрес. Однако, у этих методов есть один огромнейший недостаток – при падении R1 туннель упадет, а затем поднимется заново. Соответственно, возможно падение существующих TCP сессий и прочие радости жизни. Как же победить это? Есть технология, которая называется Stateful IPsec Failover. Концептуально она базируется на трех китах: HSRP, IPsec и SSO.
В этом случае HSRP отвечает за распределение ролей Active/Standby между маршрутизаторами, а SSO за синхронизацию IPsec сессий между ними. Если быть более точным, то за процесс синхронизации 1ой и 2ой фаз конкретно отвечает протокол SCTP.
Конфигурация и верификация
Первым делом настраиваем SSO. Для этого предварительно вливаем настройку HSRP
interface GigabitEthernet0/0
standby ip 10.1.1.254
standby priority 150
standby name IPSEC-OUTSIDE
После этого сам SSO/SCTP
ipc zone default
association 1
protocol sctp
local-port 5000
local-ip 10.1.12.1
remote-port 5000
remote-ip 10.1.12.2
redundancy inter-device
scheme standby IPSEC-OUTSIDE
Прим. Для мониторинга железок друг другом рекомендуется выделить отдельный интерфейса
Проверяем, что два маршрутизатора увидели друг друга
R1#show redundancy inter-device
Redundancy inter-device state: RF_INTERDEV_STATE_STDBY
Scheme: Standby
Groupname: IPSEC-OUTSIDE Group State: Active
Peer present: RF_INTERDEV_PEER_COMM
Security: Not configured
Если все хорошо, то настраиваем IPsec туннель. Как это сделать можно прочитать тут: http://www.anticisco.ru/blogs/?p=1473
Единственное отличие будет в применении crypto map. Необходимо в конце поставить ключевое слово redundancy <HSRP_NAME> stateful. Это включит stateful failover.
interface GigabitEthernet0/0
crypto map CRMAP_VPN redundancy IPSEC-OUTSIDE stateful
Для проверки синхронизации двух фаз используйте команды show crypto isakmp sa и show crypto ipsec sa на Active и Standby маршрутизаторах.
R1#show crypto isakmp sa detail
IPv4 Crypto ISAKMP SA
C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1004 10.1.1.254 10.1.1.100 ACTIVE aes md5 psk 2 23:56:50
R2#show crypto isakmp sa detail
C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1001 10.1.1.254 10.1.1.100 STDBY aes md5 psk 2 23:57:49
Метки: IPSec
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы
» Оставить комментарий
Вы должны войти чтобы прокомментировать.