Estou tendo um problema com o meu gateway de rede virtual. No local, temos 2 ISPs e eles estão conectados ao Gateway de Rede Virtual do Azure, como mostrado abaixo;
Estes funcionam corretamente e tenho o BGP ativado, um está conectado e outro está se conectando. Quando o ISP primário cai, o status muda como mostrado, então 11.1 fica se conectando (ISP1) e 12.1 fica conectado (ISP2). Isso é bom e a VPN funciona. Quando o ISP1 volta a ficar online, ela para de funcionar completamente, o status permanece como descrevi e a VPN fica indisponível. A única solução é reiniciar o Gateway de Rede Virtual (às vezes duas vezes) para alterar o status de volta ao que mostra abaixo;
Seria possível ativar facilmente o “ativo-ativo” na configuração do gateway de rede virtual, e atribuir outro endereço IP público para manter ambos conectados, mas usar 11.1 como rota primária?
Há implicações de custo que devo estar ciente, desvantagens, problemas potenciais ou algo mais?
Networking não é meu ponto forte, a maior parte disso está além da minha compreensão, mas herdei isso e tenho a difícil tarefa de tentar resolver esse problema.
Você quer que ambos estejam ativos e conectados, mas usar o preparação de caminho AS para tornar uma rota menos preferida.
Basicamente, você adiciona seu número AS várias vezes na frente da rota menos preferida, o que faz a rota ter uma contagem maior e automaticamente não será usada a menos que a primeira rota esteja inativa.
Procure por preparação de caminho AS para Cisco. Com BGP, cada roteador inclui seu número AS no caminho. Com a preparação de caminho, você coloca o número AS do roteador várias vezes lá, na rota menos preferida, o que faz com que ela tenha uma contagem de caminho maior e, assim, não seja usada a menos que o caminho primário esteja fora de serviço.
Isso permite que você tenha caminhos ativo-ativo, com_failover muito rápido, mas ainda direciona o tráfego para onde deseja.
Ah, entendi. Nossos Cisco ASAs são espelhados, então ambos têm o mesmo BGP. Presumo que precisaria desativar o espelhamento para alterar o BGP secundário para um diferente.
Se ativar o ativo-ativo como está, permitirá que o tráfego use ambos os caminhos quase 50/50 até que um falhe? Então posso trabalhar na configuração do BGP depois.
Isso seria do lado do Azure, sim. Configurar seu lado local para rotear o tráfego em ambos é uma tarefa para o administrador da rede.
Não, eles podem estar no mesmo ASN.
Para esclarecer - seus dois roteadores têm conexão com ambos os ISPs, ou é um roteador por ISP?
Se você só tem um roteador conectado por ISP, então precisa configurar a preparação de caminho AS no roteador do ISP secundário. Assim, o roteador primário anuncia suas rotas com um caminho AS de “65050”, enquanto o roteador secundário anuncia as mesmas rotas, mas com um caminho AS de “65050 65050”. As rotas do ISP “primário” terão comprimento de caminho 1, enquanto o do secundário será 2, e só será usado se os caminhos primários forem removidos (ou seja, se o link cair).
Sou o administrador de rede, então isso basicamente depende de mim.
Um Cisco ASA por ISP. Então, para configurar, preciso ativar o ativo-ativo no Azure, e então no Cisco secundário configurar meu ASN como “65050 65050” preciso alterar isso no Azure também ou posso deixar ambos como “65050” (conforme meu post original)?
A única questão é que ambos os roteadores Cisco parecem estar em estado espelhado, onde o primário pode ser editado e o secundário simplesmente espelha toda a configuração do primário, então precisarei desativar isso para definir o ASN como “65050”, presumo?
O ASN no Azure permanece como 65050 - a preparação de caminho AS é apenas fingir que há outro salto atrás de um roteador.
Sim, se estiver completamente espelhado, você terá que quebrar isso para configurá-los de forma diferente.
Achava que você queria um laço - na verdade, você não precisa estar em ativo-ativo (HA no lado do Azure) para isso, mas é preciso que ambas as sessões estejam ativas ao mesmo tempo. Você só precisa que uma delas seja menos preferida, o que você faz configurando a preparação de caminho AS na rota menos preferida.
Entendi agora. Então vou quebrar o espelhamento, definir o caminho menos preferido como o ASN duas vezes para que pareça com dois saltos.
Sim, é a manter duas sessões ativas ao mesmo tempo que estou tendo dificuldades, pois, claramente, olhando pela minha captura de tela, uma está conectada e a outra está se conectando. Então, presumi que usar ativo-ativo resolveria isso e faria ambas conectadas?
Não, você deve conseguir manter duas sessões ativas ao mesmo tempo mesmo em ativo-passivo. Ativo-ativo forneceria para você dois IPs do lado do Azure, para que cada um dos seus roteadores locais tenha duas conexões.
Com ativo-passivo, você tem isso (então o Azure VPN vê duas conexões, mas cada roteador ISP só vê uma):
Roteador ISP1 < - > IP VPN do Azure 1
Roteador ISP2 < - > IP VPN do Azure 1
Com ativo-ativo, você teria isso (cada roteador vê 2 conexões e o Azure VPN vê duas conexões):
Roteador ISP1 < - > IP VPN do Azure 1
Roteador ISP1 < - > IP VPN do Azure 2
Roteador ISP2 < - > IP VPN do Azure 1
Roteador ISP2 < - > IP VPN do Azure 2
Só para confirmar - você tem 172.16.11.1 em um túnel IPsec e 172.16.12.1 no outro, certo? Você configurou esses intervalos de endereço corretamente no Gateway de Rede Local, para que o endereço de peering correto esteja associado ao túnel IPsec correto?
Entendi agora, então ativo-ativo nem é realmente necessário para o que quero fazer.
Sim, tenho certeza de que tenho 172.16.11.1 em um e 12.1 no outro. Preciso verificar (sem escritório ou laptop de trabalho próximo). Mas, pelo que me lembro, sim, isso está correto. Passei muito tempo estudando isso e não consegui entender por quê um estava conectado e outro se conectando, a não ser que o ISP primário caia.
Quando for verificar, confirme se você tem eles nas conexões corretas. Se você tivesse os túneis ativados, mas os intervalos de IP invertidos, isso poderia causar essa situação.
No Azure, os intervalos estão corretos para cada gateway de rede local. Também verifiquei no roteador e ambos os túneis parecem estar configurados corretamente, pelo que posso ver.
Muito bem, isso já vai além do que podemos realmente resolver aqui no Reddit. Recomendo abrir uma solicitação de suporte agora sobre por que seus links não estão ambos ativos.
Depois que ambos estiverem ativos e online, a preparação de caminho AS ajudará se você quiser tornar um link menos preferido.
Obrigado pela ajuda. Entrarei em contato com os escritórios maiores para ver se alguém com mais experiência em redes pode ajudar comigo. Ambos parecem estar “conectados” nas conexões, só que sob os peers do BGP, eles mostram conectados e se conectando. Obrigado pela ajuda, certamente abrirei um ticket quando necessário.
Talvez eu esteja sendo bobo, mas se ambos estão conectados sob conexões, isso significa que os túneis de ambos estão ativos, certo? Então o problema deve estar no BGP?
