我有许多通过Cisco ASA 5505s和Cisco PIX 506es连接到总部的远程站点。 在总部,我们有一台旧的Cisco 3000 VPN集中器和一台新的Cisco ASA 5510。
远程站点使用Easy VPN进行连接(所以它们显示为远程访问会话,而不是Lan2Lan)。
我正在迁移远程设备以连接到新的5510.我可以在configuration中有多个VPN服务器用于故障切换,所以我在那里添加VPN集中器。 但是,在总部,我们目前已经build立了静态路由,将远程子网的stream量引导至5510或VPN集中器。 这意味着在故障转移情况下,需要人工干预来更新总部的路线。
我们将戴尔PowerConnect 6248作为总部的核心交换机 – 目前,所有路由都configuration在那里。 我想获得某种故障转移路由,所以如果出于任何原因将ASA 5510closures,则连接仍然有效。 端点可以处理这个故障转移,但是路由目前是全部静态的。 我怎样才能做到这一点?
如果可能,请转到dynamic路由。 考虑到正确的物理设置,使用具有不同指标的静态路由将为您提供良好的故障切换行为。
路由器通常不跟踪下一跳的可达性,跟踪“接口向上”或“接口向下”,并且如果至less一个接口是给定下一跳的适当出口是“上”,则下一跳被认为是可达的。 在这一点上,唯一会导致数据包不能被发送到下一跳的事情,就是没有ARPparsing,而且ARP请求通常被caching了很长一段时间(思科默认是,我相信4小时),您可能会等待很长时间。
在“Cisco-land”中,使用具有不同(pipe理)距离的静态路由称为“浮动静态”,通常用于从串行链路到另一个链路的故障切换,因为串行链路通常是点对点链路, (可能不是这种情况,如果你使用FR或者其他能够提供多点的串行链路协议),并且有足够的信令能够标记“另一端是不可达的(不同于大多数”城域以太网“ ,在两个L3端点之间通常有多个L2跳,所以在传输path中的某个地方通常不可见,因为这是一个断开的接口)。
因此,简而言之,如果您可以将5510连接到专用交换机端口(具有/ 30networking)和单核心交换机上,并且5510不会导致核心交换机上的交换机端口发出信号当5510被closures时(或者你愿意花时间去打断某个人的路由或者拔掉电缆),浮动静态function可能正是你所需要的。 值得研究,但我可能会考虑configurationdynamic路由,至less是VPN路由。
如果您的PowerConnect交换机支持此function,那么它们应在路由表中显示“度量”编号。 有时这也被称为“距离”或“pipe理距离”。 无论这个名字是什么,这个数字是路由器如何接近或直接路由的指标。 数字越高,路线越长。
如果你想设置故障转移路由,那么你需要为通过不同网关的目标子网(在你的情况下是“备份”VPN服务器)添加一个更高指标的路由。 这些备用路由将在其他具有较低指标的路由不可用时(例如,无法到达相关网关时)使用。