Огневая мощь для шлюза Azure Active-Active VPN

alpha-three

Я работаю с клиентом, который пытается настроить соединение IPSec между своим устройством Firepower и моими шлюзами Azure Site-2-Site VPN. Мои шлюзы Azure S2S работают в паре «активный-активный». Клиент использует устройства Firepower в режиме «активный-пассивный» и сообщает мне, что в их версии кода они ограничены VPN на основе политик. У нас есть работающий туннель к одному из экземпляров шлюза Azure, и мы собираемся настроить туннель ко второму. Шлюзы Azure будут перенаправлять трафик через любой из туннелей. Я искал руководство по настройке или информацию о том, что мы должны делать для выбора туннеля на стороне Firepower. Домен шифрования будет одинаковым для обоих туннелей. Существует ли концепция мониторинга пути или какой-либо способ, с помощью которого мы могли бы обнаружить, если один из двух туннелей становится недоступным? Спасибо

Rob Ingram

@alpha-three
Не знаю, какую версию использует ваш клиент, но маршрутизируемые VPN поддерживаются с помощью VTI с версии 6.7 (выпущена в 2020 году). Я бы не подумал, что ваш клиент использует такую старую версию. Я бы посоветовал вам попросить клиента подтвердить, какую версию он использует. VTI будет идеальным решением по сравнению с VPN на основе политик. VTI поддерживает балансировку нагрузки с помощью ECMP через несколько туннелей VTI, настраивает Dead Peer Detection (DPD), и если один путь недоступен, туннель отключается.

alpha-three

Это может быть ситуация, когда они этого не сделали, а не не могут сделать. Это дает мне хорошую отправную точку для исследования. Спасибо.