antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 5 Май , 2014

На сей раз речь у нас пойдет о построении отказоустойчивой схемы IPsec. В целом, циска рекомендует для такого рода кейсов применять технологии  вроде DMVPN и GETVPN, где отказоустойчивость туннелей основывается на IGP. Однако, это не всегда возможно – ведь ASA всего этого не поддерживает!

Давайте рассмотрим довольно часто встречающуюся задачу. Необходимо построить Site-to-Site IPsec VPN между роутерами в HQ (2 шт) и ASA в Branch. Туннель должен быть отказоустойчивым, т.е. при выходе из строя R1, он должен переключаться на R2. В целом, существует несколько методов для решения этой задачи: можно в crypto map на ASA прописать несколько set peer, можно настроить простой HSRP и строить туннель на этот адрес. Однако, у этих методов есть один огромнейший недостаток – при падении R1 туннель упадет, а затем поднимется заново. Соответственно, возможно падение существующих TCP сессий и прочие радости жизни. Как же победить это? Есть технология, которая называется Stateful IPsec Failover. Концептуально она базируется на трех китах: HSRP, IPsec и SSO.

В этом случае HSRP отвечает за распределение ролей Active/Standby между маршрутизаторами, а SSO за синхронизацию IPsec сессий между ними. Если быть более точным, то за процесс синхронизации 1ой и 2ой фаз конкретно отвечает протокол SCTP.

Конфигурация и верификация

Первым делом настраиваем SSO. Для этого предварительно вливаем настройку HSRP

interface GigabitEthernet0/0
 standby ip 10.1.1.254
 standby priority 150
standby name IPSEC-OUTSIDE

После этого сам SSO/SCTP

ipc zone default
 association 1
  protocol sctp
  local-port 5000
  local-ip 10.1.12.1
  remote-port 5000
  remote-ip 10.1.12.2
redundancy inter-device
 scheme standby IPSEC-OUTSIDE

 

Прим. Для мониторинга железок друг другом рекомендуется выделить отдельный интерфейса

 

Проверяем, что два маршрутизатора увидели друг друга

R1#show redundancy inter-device
Redundancy inter-device state: RF_INTERDEV_STATE_STDBY
Scheme: Standby
Groupname: IPSEC-OUTSIDE Group State: Active
Peer present: RF_INTERDEV_PEER_COMM
Security: Not configured

Если все хорошо, то настраиваем IPsec туннель. Как это сделать можно прочитать тут: http://www.anticisco.ru/blogs/?p=1473

Единственное отличие будет в применении crypto map. Необходимо в конце поставить ключевое слово redundancy <HSRP_NAME> stateful. Это включит stateful failover.

interface GigabitEthernet0/0
 crypto map CRMAP_VPN redundancy IPSEC-OUTSIDE stateful

Для проверки синхронизации двух фаз используйте команды show crypto isakmp sa и show crypto ipsec sa на Active и Standby маршрутизаторах.

R1#show crypto isakmp sa detail
IPv4 Crypto ISAKMP SA
C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1004 10.1.1.254 10.1.1.100 ACTIVE aes md5 psk 2 23:56:50

 

R2#show crypto isakmp sa detail
C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1001 10.1.1.254 10.1.1.100 STDBY aes md5 psk 2 23:57:49

 

 

 

 

Метки:
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.