高可用性虚拟专用网络
概述
服务器的稳定性,不仅仅在于服务器本身的部署规模,从网络层面讲通信链路的可用性也是重要环节。常规的虚拟专用网络在单独的边界点处往往只有一根链路,为了防止访问总部数据库资源时发生故障、提高服务器端的稳定性,需部署冗余技术。
链路冗余
1、总部默认只有一根链路接入到互联网,有多个分支拨入总部,若总部故障,全网所有虚拟专用网络都无法通信,这便是单链路故障;
2、为了防止单链路故障,总部可以采用多根物理链路接入互联网,分支默认只拨号到主链路,当主链路出现故障,能够自动切换并拨号到备用链路。
问题:分支站点怎么能够检测到故障发生,并且自动切换?
答案:采用 IPsec 的 DPD 检测机制 <Dead Peer Detection,死亡对等体检测>。
实验目标:分支连接到总部时,总部有多条冗余虚拟专用网络链路,实现更稳定的数据传输,R2 首先拨号到 R4 的主链路,当主链路发生故障之后,分支能够自动拨号到备用链路。
实验流程:
1、配置直连 IP 地址;
2、R1/5 默认路由到 R2/R4, R4 和 R2 默认路由到 R3;
3、部署 IPsec 虚拟专用网络,R2 调用在 F1/0 接口,R4调用在 F0/0 和 F2/0 接口;
4. R2 上部署链路冗余虚拟专用网络。
crypto map hamap 1 ipsec-isakmp
set peer 100.1.34.4 //使用 set peer 先写的地址为主链路
set peer 100.1.43.4
crypto isakmp keepalive 10 2 periodic //开启 DPD 检测,每10s发送 hello 包, 20s不回应,自动切换
设备冗余
链路冗余中发生链路故障时,通信链路会自动切换到备用链路,类似的,设备冗余中当一个节点发生故障时,会自动切换到备用节点。而且链路冗余是客户端在主动切换,设备冗余切换是服务器端切换。
高可用性虚拟专用网络设备冗余的部署主要涉及以下两种技术:
1、网关冗余技术 HSRP/VRRP/GLBP
2、IPsec 虚拟专用网络
R4:
interface FastEthernet0/0
ip address 100.1.34.4 255.255.255.0
standby 10 ip 100.1.34.100
standby 10 priority 200
standby 10 preempt
R6:
interface FastEthernet0/0
ip address 100.1.34.6 255.25525
standby 10 ip 100.1.34.100
standby 10 priority 100
standby 10 preempt
当部署了网关冗余后,假设内外网 R4 的优先级更高,R2 发往 R5 的流量在 R4 的 f0/0 端口故障后会切换到 R6 后继续发送,但是 R5 发往 R2 的流量却仍然会通向 R4 的 f1/0。在设计时希望同一个节点的某一个端口发生故障时,另外一个端口同样不能再连通。此时需要开启链路追踪技术。
之后再部署 IPsec 即可。R4 和 R6 部署 IPsec 后,如何实现 HSRP/VRRP 网关切换和 IPsec 虚拟专用网络切换的同步?
在 standby 下面生成一个字符串,然后在 crypto map 下面关联字符串
crypto map hamap redundancy xxx
