Estoy implementando un diseño de hub y spoke donde tengo dos sitios hub y 5 sitios spoke. Todos los sitios hub y spoke tienen pares de HA de MX y doble internet. Necesito conectividad site-to-site para los sitios spoke, pero haciendo los cálculos, con auto vpn son muchas túneles. En cambio, estoy considerando usar modo concentrador VPN en los sitios hub, con un sitio hub activo y el otro como hub redundante.
Un par de preguntas desde el principio, ya que nunca he hecho esto:
En modo concentrador VPN, ¿todo el tráfico spoke a spoke atraviesa el sitio hub?
¿Cómo configuro los sitios hub como primario y secundario si ambos están configurados en modo concentrador VPN?
Sí, los spoke deben enrutar a través de los hubs para comunicarse con otros spokes internamente. Puedes restringir el tráfico usando el firewall a nivel de organización en VPN site-to-site.
Cuando un sitio está en modo spoke, eliges la prioridad del hub para ese sitio.
¿Qué modelo de MX estás desplegando y habrá otros túneles? Con solo 7 sitios, parece que podrías simplemente ejecutar autovpn de malla completa (todos los sitios como hub).
Estamos planeando que todos los sitios utilicen el hub primario y cambiar a secundario solo si el primario falla. Noté que en los sitios spoke no aparece la opción para BGP, pero en los hubs sí en modo concentrador VPN. Estoy pensando que BGP solo es para enrutar el tráfico detrás de los hubs y que la configuración de VPN/túnel se encargará del enrutamiento hacia y desde los spokes.
MX95 para hubs y MX67 para spokes. Con 2 hubs y 2 DIA en cada sitio (hubs y spokes), la malla completa genera muchos túneles. La comunicación spoke a spoke es bastante ligera, así que no se espera que sea un problema en bouncing off the hub.
La red autovpn corre IBGP, lo verás una vez que la configures. Los concentradores usan EBGP u OSPF intercambiando rutas fuera de la red autovpn.
Los spokes enroutados ahora también pueden correr protocolos de enrutamiento en versiones de firmware más recientes. Aunque para la mayoría de los setups, no es necesario.