2つのISPとCiscoASA5500シリーズを使用したフェールオーバーVPN

Question

メインサイトに接続する必要のあるブランチオフィスがいくつかあります。 Cisco ASA5515を使用してVPN接続を確立する予定です。また、接続を冗長にするために、各場所に2つのISPを配置する必要があります。これが画像です： enter image description here

私はこれまでASAに少し慣れていないので、質問は「2つのISPを使用してリモートサイトとVPN接続するようにASA 5515を設定し、メインISPに障害が発生した場合にバックアップISPに自動的に切り替えることは可能ですか。次に、リンクが再確立されたときにメインに戻るには？」

GerryEgan · Accepted Answer

はい、可能です。必要なのは、冗長ISPASAの両方の外部インターフェイスでisakmpを有効にすることだけです。

crypto isakmp enable <outside interface name> crypto isakmp enable <backup interface name>

次に、ISP C ASAで、クリプトマップステートメントを次のように変更します。

crypto map outside_map <crypto map no> set peer <ISP A IP> <ISP B IP>

これにより、ISPAがダウンした場合にフェイルオーバーが可能になります。トンネルが再ネゴシエートされ、ISP Aが使用可能になると、トンネルはフェールバックします。