Foro en Español

Reply
Contributor II

Alta Disponibilidad para Tuneles IPSEC

Hola,

un cliente nos ha solicitado, llevar VLANs entre sedes y la central.

Inicialmente pensamos en hacerlo con túneles GRE, pero al utilizar Internet y otros enlaces, dependiendo de la sede, hemos decidido meter el/los túneles GRE entre las diferentes sedes/vlans dentro de túneles IPSEC.

El diseño básicamente se corresponde al de la imagen adjunta, tenemos un MM desde el cual centralizar configuraciones, 2 tipos de sedes con MD (controladoras) grandes o pequeñas, y todas las sedes deben llevar 2 MDs para ofrecer disponibilidad.

 

branches.PNG

 

Utilizaremos la vlan1 entre las MD de central y las MDs de las sedes como peers de los túneles IPSEC, que tienen como redes de origen/destino las vlans 100-101 y 100-102 (en el caso de la imagen) y sucesivamente. Hemos pensado en tuneles v2 con PSK, habilitando preconnect, trusted tunnel y enforce NATT, funcionando correctamente.

Una vez que tenemos el túnel IPSEC arriba, creamos el GRE L2 usando como origen la vlans 100 y destino las IPs de las 101 y 102 respectivamente, metiendo dentro del túnel la vlan 10 que es la que corresponde en nuestro ejemplo, y sigue funcionando correctamente.

 

El motivo por el cual escribo el post es la necesidad de alta disponibilidad, nos debatíamos en si utilizar VRRP u otro método y como, tanto para los túneles IPSEC como para los GRE.

 

¿Alguien se ha encontrado un escenario similar? Ademas de usar AOS8, con esta configuración de MM y MD, y conectividad entre la sede central y las remotas, hoy con un enlace WAN, nos gustaría disponer de las mejoras de SDWAN, y otras.

 

¿Consejos?, ¿configuraciones?, muchas gracias.

 

Gracias.

 

 


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Highlighted
Moderator

Re: Alta Disponibilidad para Tuneles IPSEC

Perdonad la tardanza en responder, quería asegurarme de que hubiera el suficiente contexto en el foro antes de responder. Tal como explico en el post sobre extensión de redes a nivel 2, para dar redundancia a los túneles GRE la recomendación es usar "tunnel-groups".

 

El ejemplo que he puesto en el post te va perfecto, ya que en tu caso lo más sencillo también sería iniciar/terminar los túneles desde los "controller-ip". Como el controller-ip aparece automáticamente en la tabla de rutas del otro extremo del túnel IPSec, ni siquiera tendrías que preocuparte de propagar rutas hacia las subredes de la delegación.

 

Dime si esto te resuelve la duda o necesitas algo más.

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II

Re: Alta Disponibilidad para Tuneles IPSEC

Gracias Samu, tus tutoriales vienen genial, finalmente quedo funcionando.


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: