如何对静态ipsec vpn隧道进行故障转移？

Question

我有一个具有弹性网关的网络，客户站点使用默认网关到达互联网边缘路由器，而流量的主要路由使用较低的度量。

ipsec隧道是从边缘路由器后面的vpn集中器发起的，并且静态地配置到目标隧道端点，目的隧道端点是第三方数据中心。我不能使用动态路由协议与第三方。

问题是第三方使用的窥视地址范围会周期性地改变，导致主隧道下降，而手动切换到第二隧道的工作正在顺利进行。

1. 在这种情况下，如果目标IP对于静态ipsec配置不可靠，我如何才能最有效地在隧道之间进行故障转移？
2. 一旦端点可用，我将如何抢占主隧道？

Answer 1

一种解决方案是在网关路由器上使用性能路由(PfR)。PfR可以测试到每个数据中心的连接性，然后将流量路由到响应的哪个数据中心。因此，如果隧道关闭，PfR将自动将流量从另一个隧道路由到另一个数据中心。

PfR可以通过点击(或使用IP )每个数据中心来实现这一点。如果伦敦隧道发生故障，PfR将通过纽约隧道安排交通，反之亦然。

我想给你一个配置，但我需要看到更多关于你的网络的细节。同时，你可以看看几件事：

http://blog.ine.com/2011/11/01/cisco-performance-routing-pfr-optimized-edge-routing-oer/

http://www.netcraftsmen.net/archived-documents/c-mug-article-archive/7-20090922-cmug-understanding-performance-routing/file.html

这是一个视频，如果你是一个视觉学习者。

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6554/ps6599/ps8787/pfr_配置_video.html