Cisco High Availability Options IPsec VPNs Cisco High Availability Options
High Availability for Cisco IOS IPsec VPNs
Failures IPsec VPN 은 다양한 장애가 발생할 수 있다. Access link failure Remote peer failure Device failure Path failure IPsec 은 장애에 대비한 구조가 디자인 되어야 한다.
Redundancy 다음 옵션 가운데 하나 이상의 솔루션을 사용한다. 두개의 access links를 사용하여 장애를 완화 시킨다 Multiple peers를 사용하여 장애를 완화 시킨다. 두개의 local VPN 장비를 사용하여 장애를 완화 시킨다. 다중의 독립된 경로를 사용하여 모든 경로 장애를 완화 시킨다.
Failure Detection Native IPsec uses DPD 를 사용하여 경로와 peer의 장애를 발견. 어떠한 형태의 GRE over IPsec 구현해도 routing protocol 의 hello mechanism을 이용하여 장애를 발견한다. HSRP 는 로컬 장비의 장애를 발견한다. VRRP and GLBP have similar failure-detection functionality.
Dead Peer Detection IKE keepalives: 정기적으로 Hello Packet을 전송 DPD: On-demand option
IPsec Backup Peer
IPsec Backup Peer DPD와 IOS Keepalive가 장애 감지 시 Crypto Map에 Multiple Peer 사용하는 방법. DPD와 IOS Keepalive 를 통한 Peer의 장애를 감지하면(3개의 메시지 손실)peer의 IPSec과 IKE SA를 삭제한다. Multiple Peer가 구성된 경우 장애복구를 위하여 Crypto Map에 구성된 다음 Peer로 연결을 시도
Hot Standby Routing Protocol
Hot Standby Routing Protocol HSRP can be used at: 두개의 head-end devices는 remote peer에게 하나의 Device로 나타난다. 두개의 IPSec Gateway는 Local Device에 하나로 나타난다. Active HSRP는 virtual IP 와 MAC address를 사용한다. Active HSRP device가 Down되면 Standby HSRP device가 virtual IP 와 MAC address를 처리한다.
HSRP for Default Gateway at Remote Site 모든 Remote Device는 virtual IP를 default gateway로 사용한다. Backup router는 primary router가 Down된 경우에 사용된다.
HSRP for Head-End IPsec Routers Remote site는 peer로 Headend의 virtual IP address를 사용한다.