সিসকো এএসএ সাইট-টু-ভিপিএন ফেইলওভার

আমরা সম্প্রতি আন্তর্জাতিক এমপিএলএসকে নতুন এএসএ 5510 এবং সাইট-টু-সাইট ভিপিএন দিয়ে প্রতিস্থাপন করেছি। যাইহোক, আমরা যখন এটি মোতায়েন করেছি তখন আমরা এমন একটি সমস্যায় পড়েছিলাম যেখানে প্রতিটি প্রত্যন্ত অবস্থানের অপ্রয়োজনীয়তার জন্য 2 আইএসপি রয়েছে, তবে উভয় ইন্টারফেসে ভিপিএন সক্ষম করার সময় টানেলটি উপরের দিকে নীচে নেমে যাওয়ার সাথে সাথে টানেলটি নষ্ট হয়ে যায় এবং মাঝখানে চলে যায় between আইএসপিরা। সিসকো এখন এটি 8 মাস ধরে কাজ করছে এবং এখনও আমাদের কাছে একাধিক আইএসপি সহ স্থিতিশীল টানেল নেই।

রিমোট অফিস:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

কেন্দ্রীয় কার্যালয়:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

সুতরাং আমি যা সন্ধান করেছি তা হ'ল যখন আইএসএকএমপি উভয় বাইরের ইন্টারফেসে (রিমোট অফিস) সক্ষম করা হয় এবং উভয় আইপি সমকক্ষ (কেন্দ্রীয় অফিস) হিসাবে কনফিগার করা থাকে তখন ভিপিএন উভয় ইন্টারফেসে সফলভাবে উপস্থিত হয়, তবে কিছু সময়ে আইপিগুলির মধ্যে ফ্ল্যাপিং শুরু হবে। এটি এসএলএ মনিটরিংয়ের সাথে বা ছাড়াই সত্য, সুতরাং রুটগুলি সমস্ত স্থির থাকলেও, আচরণ এখনও ঘটে।

যে কোনও অন্তর্দৃষ্টি প্রশংসা করা হয়।

আমি কেবল এই কারণে নীতি-ভিত্তিক ভিপিএন থেকে দূরে সাইটগুলি স্থানান্তরিত করে চলেছি। নীতি-ভিত্তিক ভিপিএনগুলি যখন ব্যর্থতার আচরণের বিষয়টি আসে তখন এটি খুব বেশি অনাকাঙ্ক্ষিত। আমি অনেকটাই রুট-ভিত্তিক আইপিসি টানেলগুলি পছন্দ করি, হয় পয়েন্ট-টু-পয়েন্ট বা ডিএমভিপিএন। দুর্ভাগ্যক্রমে, আমার জানামতে এএসএ প্ল্যাটফর্মটি এখনও রুট-ভিত্তিক টানেলগুলিকে সমর্থন করে না।

আমি AS2- এর মধ্যে L2L (ল্যান-টু-ল্যান) আইপিসেক টানেলের মাধ্যমে দূরবর্তী সাইটগুলি সংযোগ করতে একটি ডিএমভিপিএন সমাধান ব্যবহার করার পরামর্শ দেব। ডিএমভিপিএন সমাধানটি অনেক সহজ, পরিষ্কার, এবং স্পোক যোগাযোগের ক্ষেত্রেও কথ্য যোগাযোগের অনুমতি দেবে।

হতে পারে:

CSCub92666

এএসএ: পুরানো সংযোগগুলি আইপিএসইসি ভিপিএন টানেলটি স্যুইচওভারে ছিন্ন করে

লক্ষণ: আইপিএসসি ভিপিএন টানলে এএসএর কনফিগারেশন ব্যর্থ হয়, প্রাথমিক থেকে ব্যাকআপ লিঙ্কের কাজ ব্যর্থ হয়। তবে দ্বিতীয় ব্যাকআপ থেকে প্রাথমিক লিঙ্ক ভিপিএন টানেল ব্যর্থ হওয়ার পরে কয়েক মিনিটের মধ্যে ফ্ল্যাপ শুরু হয়ে অস্থির থাকে। পুরানো বাম সংযোগের কারণে এখনও ব্যাকআপ আইএসপির দিকে ইঙ্গিত করার কারণে আচরণটি পর্যবেক্ষণ করা হয়।

আমি উপরোক্ত বক্তব্যের সাথে একমত সাধারণ ভিটিআই ভিত্তিক আইপিএসইসি বা বিকল্পভাবে ডিএমভিপিএনে যান। কেবল টানেলের ভিতরে এবং ছাড়া বিভিন্ন রাউটিং প্রোকোটল উদাহরণগুলি চালনার জন্য মনে রাখবেন। হ্যাঁ আপনাকে আইএসআরগুলির সাথে এএসএগুলি প্রতিস্থাপন করতে হবে।

দু'টি আইএসপিই কি আবার একা প্রধান কার্যালয়ে ফিরে যাচ্ছেন এএসএ বা দু'জন? যদি দু'জনে এই আচরণটি ঘটতে পারে (কমপক্ষে কনফিগার হওয়া সহজলভ্য রয়েছে) তা দেখতে আমার যদি কষ্ট হয় তবে এটি যদি একই ASA (বা একই জোড়া) হয় তবে এটি সম্পর্কিত হতে পারে।

এই প্রশ্নের অনুসরণ হিসাবে আমি এক বছরেরও বেশি সময় ধরে এটি নিয়ে সিসকো টিএসি-র সাথে কাজ করছি। তারা শেষ পর্যন্ত সনাক্ত করেছে যে এএসএ প্ল্যাটফর্মটি সংযোগগুলি পরিচালনা করে এমনভাবে এটি একটি বাগ। মূলত এটি একটি ইন্টারফেস থেকে সংযোগগুলি সাফ করছিল না যখন এটি টানেলটি অন্য ইন্টারফেসে স্থানান্তরিত করে এবং এটি নিয়ন্ত্রণের বাইরে চলে যায় কারণ এটি উভয় ইন্টারফেসের বাইরে সংযোগ টেবিলের এন্ট্রি দেখতে শুরু করে।

আমি দুটি আইএসপি দিয়ে ফায়ারওয়ালে আইওএস সংস্করণ 8.4.7 স্থাপন করেছি এবং এটি প্রকৃতপক্ষে সঠিকভাবে আচরণ করছে বলে মনে হচ্ছে। প্রাথমিক ইন্টারফেসটি নীচে নেমে গেলে ব্যর্থতা ঘটে থাকে এবং তারপরে ইন্টারফেসটি ফিরে আসে এবং সেই ইন্টারফেসে থাকে remaining আমরা দেখব.