Источники отказа:

• Access link отказ
  Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств.
• Отказ удаленного пира
  Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры.
• Отказ устройства
  Использование нескольких устройств.
• Отказ на пути следованя пакета
  Использование нескольких путей с разными инфраструктурами.

Существуют две стратегии планирования отказоустойчивости:

• Stateless - в нестабильном сетевом окружении, используются запасные логические соединения для обеспечения основного и запасного маршрута. Выбор маршрута происходит путем обмена сообщениями между пирами. Если состояние VPN туннеля не известно, то трафик необходимо слать через запасной туннель.
• Stateful - для обеспечения полной отказоустойчивости, используется запасное оборудование.

Stateless failover IPsec

Существует три основных метода для реакции на отказ:

• Dead Peer Detection (DPD)
• IGP внутри GRE over IPsec
• Hot Standby Routing Protocol (HSRP)

Dead Peer Detection (DPD)
Настраивается во время конфигурации IPsec. Имеет также возможность переключаться на запасной туннель. DPD имеет два режима работы periodic mode and dial on-demand mode.

Periodic mode

• DPD keepalive сообщения периодически отсылаются между IPsec пирами.
• DPD keepalive сообщения в дополнение к нормальному IPsec изменяет ключ сообщений, что также регулярно прослеживает туннель.
• DPD keepalive сообщения не пересылаются если идет передача данных через туннель.
• DPD keepalive сообщения передаются только когда трафика в тунеле нет.

Periodic DPD режим немного перегружает тунель. IKE итак имеет возможность передавать сообщения через тунель, этот механизм называется IPsec SA rekeying messages, которые высылаются когда lifetime IPsec истекает.

On-demand mode

• Режим по умолчанию
• DPD keepalive сообщения отсылаются только тогда, когда работоспособность пира под вопросом. Если пиру отправляется трафик, то ожидается ответ. Если ответ не поступил то отсылается keepalive сообщение.
• DPD keepalive сообщение не отсылается во время использования тунеля.
• Существует возможность что роутер не может определить dead peer пока IKE или IPsec security association SA не перешлют ключи.

Для включения DPD используются 2 команды:

crypto isakmp keepalive seconds [retries] [periodic | on-demand]

set peer ip-address [default]

HSRP также поддерживает IPsec. Его настройка выглядит следующим образом:

Stateful Failover IPsec

Определяет набор запасных устройств, и использует некий обмен информацией между ними для отслеживания IPsec SA.
Этот вид отказоустойчивости подразумевает active (главное устройство) и backup (дополнительное устройство). Между устройствами поддерживается информация об SA.

IPsec stateful failover использует 2 протокола:

• HSRP - мониторит оба интерфейса inside и outside.  Если интерфейс падает, то процесс поддержки IKE и IPsec SA передается на standby router.
• Stateful Switchover (SSO) - Обмениваются IKE и IPsec SA информацией между активным и запасным роутером.

Есть несколько ограничений связанных с внедрением IPsec statefull switchover:

• На обоих утройствах должна быть одинаковая IOS
• Оба устройства должны быть подключены через LAN порты, не через WAN.
• Оба внутренние и внешние интерфейсы должныбыть подключены через LAN.
• Поддерживает только box-to-box failover. Не поддерживает файловер внутри шасси.
• Лоадбалансинг не поддерживается.
• IKE keepalive сообщения не поддерживаются. DPD и periodic DPD поддерживается.
• Statefull failover layer 2 Tunneling Protocol (L2TP) не поддерживается.
• IPsec idle timer не поддерживаются.

Правильная конфигурация IPsec stateful failover:

Крипто мапа и конфигурация интерфейса такая же как и на предыдущем рисунке, за исключением использования параметра stateful в криптомапе на интерфейсе. Этот параметр позволяет использовать SSO для stateful failover. HSRP конфигурация такая же как и до этого. Роутер Е имеет такую же конфигурацию как и роутер С.

Следующие команды нужны для включения SSO.

redundancy inter-device - команда конфигурирует отказоустойчивость, и переводит пользователя в режим конфигурации отказоустойчивости. В данном примере поддерживается только режим standby. Имя vpn-remote должно совпадать с standby group name определенное в криптомапе на интерфейсе.

Следующий блок команд настраивает interdevice commutication protocol IPC.

ipc zone default - инициирует соммуникационный линк между активным и standby роутером. Подкоманда association создает ассоциативность между активным и standby роутером и использует Stream Control Transmission Protocol (SCTP) в качестве транспортного протокола. Определяются локальный и удаленный SCTP порты и IP адреса. Local-port указанный на этом роутере должен совпадать с remote-port на удаленном роутере, а также local-ip и remote-ip адреса должны совпадать с физическими интерфейсами, а не виртуальными. Команда path-retransmission определяет кол-во попыток создания SCTP сессии. Команда retransmit-timeout определяет время через которое необходимо попытаться установить сессию.

Базовые команды для настройки HSRP:

standby group ip virtual-IP-address - определяет hsrp группу и виртуальный ip адрес.

standby group priority priority - определяет приоритет для роутера в группе.

standby group preempt - позволяет роутеру перенимать на себя активный статус.

standby group name group-name - определяет имя для hsrp группы.

crypto map map-name redundancy group-name - определяет hsrp группу которая обеспечивает отказоустойчивость для криптомапы.

Stateful IPsec VPN команды интерфейса:

Все настройки HSRP те же самые только последняя:

crypto map map-name redundancy group-name stateful - определяет hsrp группу которая обеспечивает strateful redundancy для криптомапы.

SSO команды глобальной конфигурации

redundancy inter-device - включение SSO.

scheme standby group-name - мапирует hsrp группу для stateful failover.

ipc zone default - определяет протокол координирования отказоустойчивоти между роутерами.