另外箭頭的方向是我懶得修,其實是雙向的。
需求很簡單,R1至R8之間,要有雙路由,需要提供Active-Active 架構 (load sharing或load balance)。然後R2與R6建IPSec,R3與R7建IPSec。
其實這個架構乍看不難。依我的直覺就是R2與R6建GRE tunnel,R3與R7建GRE tunnel,然後在上面跑IPSec,接著在R2及R3上設定static route往R6/R7送,反之亦然即可。
斷線的偵測則利用GRE tunnel的keepalive功能就好了,不過這樣就不好玩了。
因此我的計畫是在沒有GRE tunnel的基礎上,用IPSec把這個架構弄出來。
測試心得及說明簡述如下:
1、所有router上都跑RIP,但是R2,R3,R6,R7不要把192.168.1.0及192.168.2.0轉出來,目的是要確認lan的流量確定是經過加密的。
2、R2與R6的WAN 建IPSec,R3與R7的WAN 建IPSec,這個IPSec要on DPD功能 (keepalive)
3、R2/R3/R6/R7的crypto map要有reverse route static的功能。這邊要注意的是,這個static route若在route map裡面加了ACL就會自動產生,即使IPSec斷了也不會消失,acl會有兩段,一個是wan to wan的部份,一個是192.168.1.0 to 192.168.2.0的部份。要提醒一下在本機加上reverse route會讓對方的routing在自己身上產生。
4、我本來打算R2/R3/R6/R7的rip把static route轉進來,這樣就不需要在r1/r8上下192.168.1.0/192.168.2.0的static route,但如上所述,reverse static route不會消失...因此rip會一直把routing轉出來給R1/R8。所以只好改回一開始的解法,讓R1的WAN對R6/R7的WAN(利用前述的RIP讓他們可以互PING) 做IP SLA monitor然後再設定一個TRACK這個track是對應到ip sla的,最後把192.168.2.0的static route 套用這個TRACK (當然,會有兩組IP SLA monitor和兩個track對應不同的wan IP)。R8的狀況也相同。這樣一來,如果斷線時ip sla down,track down, static route就會消失。
實測的結果讓人很滿意。 確實有Active-Active及備援的效果。
沒有留言:
張貼留言