Cấu hình dự phòng bằng cách sử dụng tĩnh nổi

Tôi muốn đăng bố cục mạng của mình, nhưng tôi không có danh tiếng cần thiết. Vì vậy, tôi đã tạo ra một sơ đồ mạng dưới đây:

       ISP
       / \
      /   \
     /     \
    HQ------Branch
    |         |
  HQ-PC      B-PC

Những gì tôi đang cố gắng làm là sử dụng Liên kết WAN giữa HQ và Chi nhánh làm liên kết dự phòng và nó không được mang bất kỳ dữ liệu nào trừ khi liên kết giữa HQ với ISP hoặc Chi nhánh đến ISP bị hỏng. Có nghĩa là nó chỉ được sử dụng như một liên kết dự phòng.

Những gì tôi đã làm là sử dụng float tĩnh để cấu hình dự phòng. Tuy nhiên, nó không hoàn toàn diễn ra như những gì tôi mong đợi. Những gì tôi đã làm là:

1) tuyến đường mặc định tại HQ và Chi nhánh đến ISP (0.0.0.0 0.0.0.0 NEXT-HOP-IP)

2) tuyến tĩnh tại ISP đến HQ và Chi nhánh (HQ / BRANCH-NETWORK-ĐỊA CHỈ SUBNET-MASK NEXT-HOP-IP)

3) tuyến đường tĩnh (được ưa thích) tại HQ (BRUC-NETWORK-ĐỊA CHỈ SUBNET-MASK NEXT-HOP-IP-TO-ISP)

4) tuyến tĩnh (ưa thích) tại Chi nhánh (HQ-NETWORK-ĐỊA CHỈ SUBNET-MASK NEXT-HOP-IP-TO-ISP)

5) tuyến đường tĩnh (dự phòng) nổi tại HQ (BRUC-NETWORK-ĐỊA CHỈ SUBNET-MASK NEXT-HOP-IP-TO-HQ-THROUGH-BACKUP-LINK)

6) tuyến đường tĩnh (dự phòng) nổi tại Chi nhánh (HQ-NETWORK-ĐỊA CHỈ SUBNET-MASK NEXT-HOP-IP-TO-BRANCH-THROUGH-BACKUP-LINK)

Tuy nhiên, có một vấn đề. Ví dụ: nếu liên kết giữa ISP và HQ không hoạt động, khi tôi muốn ping từ HQ-PC sang B-PC, gói sẽ được gửi thành công từ HQ-PC đến B-PC, nhưng gói trả về từ B-PC sẽ được gửi đến ISP và không thông qua liên kết dự phòng.

Rất xin lỗi vì một bài viết dài như vậy, nhưng có ai có thể giúp tôi không? Nếu lời giải thích của tôi không rõ ràng, xin vui lòng truy vấn. Cảm ơn trước

EDIT: Xin lỗi vì sự nhầm lẫn, không nên có bất kỳ giao thức định tuyến nào chạy với ISP

Như bạn đã đề cập, các tuyến tĩnh của bạn bị hỏng, vì không có cách nào để buộc chuyển đổi dự phòng sang liên kết WAN tại cả hai trang web khi một trang web mất liên kết lên internet.

Giải pháp tốt nhất cho vấn đề này là thiết lập một số dạng đường hầm được định tuyến (có nguồn gốc từ các địa chỉ liên kết ISP trên R1 và R2 trong sơ đồ) thông qua internet, chạy giao thức định tuyến động (OSPF / EIGRP) thông qua đường hầm và sao lưu của bạn WAN và đặt các số liệu định tuyến cho liên kết WAN cao hơn nhiều.

Vì bạn lấy nguồn đường hầm từ các liên kết internet ở cả hai bên, nếu một trong hai bên mất kết nối internet thì đường hầm bị phá vỡ (và IGP khôi phục lại liên kết WAN của bạn). Nếu bạn làm điều này, hãy chắc chắn rằng PMTUD hoạt động thông qua đường hầm để tính phí trên đường hầm. Loại VPN được mã hóa liên văn phòng này khá phổ biến, vì vậy đây là một cấu trúc liên kết quen thuộc cho bất kỳ ai phải hỗ trợ mạng này trong tương lai.

Vấn đề bạn gặp phải với thiết kế hiện tại của bạn là tất cả lưu lượng truy cập giữa các văn phòng của bạn dường như không được mã hóa (ít nhất là nếu tôi đọc câu hỏi của bạn theo mệnh giá). Nếu bạn chưa làm như vậy, tôi thực sự khuyên bạn nên mã hóa tất cả lưu lượng truy cập giữa các trang web công ty của mình, nếu nó thông qua internet .

(Câu trả lời all-BGP ban đầu đã thay đổi, theo yêu cầu của OP không có định tuyến động đến ISP)

Như @Mike đề xuất, đường hầm + định tuyến động, đặc biệt là trong mặt INET là giải pháp vững chắc. Nhưng nếu vì lý do nào đó bạn không muốn đường hầm (không hỗ trợ CTNH, không muốn mất MTU, định tuyến động không được chấp nhận ngay cả trong nội bộ) thì tùy chọn khác của bạn là các tuyến được theo dõi 'IP SLA'.

Tôi sẽ giải thích cách nó giúp trong vấn đề chính xác mà bạn mô tả, nơi chi nhánh tiếp tục trả lại lưu lượng truy cập cho INET, trong khi nó nên sử dụng liên kết trực tiếp.

Trong chi nhánh bạn có:

ip route HQNet HQMask InetIF InetNH track 1 50
ip route HQNet HQMask DirectIF DirectNH 100
ip route HQStableTestIP 255.255.255.255 InetIF InetNH
!
track 1 ip sla 1
!
ip sla 1
 icmp-echo <HQStableTestIP> source-interface InetIF
ip sla schedule 1 start-time now

Bây giờ nếu HQ không thể truy cập qua INET, việc theo dõi sẽ thất bại và tuyến đường cụ thể hơn của INET sẽ bị vô hiệu và bạn nên chuyển sang tuyến tốt nhất tiếp theo chỉ đến liên kết trực tiếp.