Čeština Български Dansk Deutsch English Español Français Magyar Italiano Nederlands Polski Română Русский Slovenčina Türkçe
Welcome to Zyxel Support Portal


Jak používat Dual-WAN k provedení Fail-Over na VPN Pomocí koncentrátoru VPN Site to Site icon

Avatar
Maurice Lejeune
  • Aktualizováno

Toto je příklad použití Dual-WAN k provedení selhání na VPN s rozbočovačem a hovorem s HQ ZyWALL / USG jako rozbočovačem a vyslovením VPN na pobočkách A a B. Když je tunel VPN nakonfigurován, přenos prochází mezi poboček přes centrálu (HQ). Provoz může také procházet mezi paprsky a paprsky přes náboj. Pokud není primární rozhraní WAN k dispozici, bude použito záložní rozhraní WAN. Pokud je primární rozhraní WAN opět dostupné, bude toto rozhraní opět používat.


POSTUP NASTAVENÍ / KROK ZA KROKEM:

Nastavte tunel IPSec VPN na ZyWALL / USG

Hub_HQ-to-Branch_A

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> Brána VPN , vyberte možnost Povolit . Zadejte název brány VPN, která se používá k identifikaci této brány VPN.

Potom nakonfigurujte primární bránu IP jako pobočka A ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.20.1) a sekundární IP brány jako pobočka A‚WAN2 IP adresy s (v uvedeném příkladu 172.100.120.1). Vyberte Zpátky na základní Peer brány, když je to možné a žádoucí set Fall Back Zkontrolujte časový interval.

Zadejte zabezpečený předsdílený klíč (8-32 znaků), který musí odpovídat vašemu přednastavenému klíči pobočky A a klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> VPN brána

2 Přejděte na CONFIGURATION> VPN> IPSec VPN> VPN Connection a vyberte Enable . Zadejte název připojení použitý k identifikaci tohoto připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a brána VPN

Klepnutím na tlačítko Vytvořit nový objekt přidáte adresu lokální sítě za Hub_HQ a adresu místní sítě za pobočkou A.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavte Místní zásady na Hub_HQ a Remote Policy na Branch_A, které jsou nově vytvořeny. Klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

Hub_HQ-to-Branch_B

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> Brána VPN , vyberte možnost Povolit . Zadejte název brány VPN, která se používá k identifikaci této brány VPN.

Nakonfigurujte primární bránu IP jako IP adresu pobočky B wan1 (v příkladu 172.16.30.1) a IP sekundární brány jako IP adresu pobočky B wan2 (v příkladu 172.100.130.1). Vyberte Zpátky na základní Peer brány, když je to možné a žádoucí set Fall Back Zkontrolujte časový interval.

Zadejte zabezpečený předsdílený klíč (8-32 znaků), který musí odpovídat vašemu přednastavenému klíči pobočky A a klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> VPN brána

2 Přejděte na CONFIGURATION> VPN> IPSec VPN> VPN Connection, abyste povolili připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a brána VPN

Klepnutím na tlačítko Vytvořit nový objekt přidáte adresu lokální sítě za Hub_HQ a adresu místní sítě za pobočkou B.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavte Místní zásady na Hub_HQ a Remote Policy na Branch_B, které jsou nově vytvořeny. Klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

Koncentrátor Hub_HQ

1 V ZyWALL / USG přejděte na KONFIGURACE> VPN> IPSec VPN> Koncentrátor , přidejte pravidlo koncentrátoru VPN. Vyberte tunely VPN do stejné skupiny členů a klepněte na tlačítko Uložit .

Spoke_Branch_A

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> Brána VPN , vyberte možnost Povolit . Zadejte název brány VPN, která se používá k identifikaci této brány VPN.

Potom nakonfigurujte primární bránu IP jako Hub_HQ ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.10.1) a sekundární IP brány jako Hub_HQ‚WAN2 IP adresy s (v uvedeném příkladu 172.100.110.1). Vyberte Zpátky na základní Peer brány, když je to možné a žádoucí set Fall Back Zkontrolujte časový interval.

Zadejte zabezpečený předsdílený klíč (8-32 znaků), který musí odpovídat vašemu přednastavenému klíči Hub_HQ a klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> VPN brána

2 Přejděte na CONFIGURATION> VPN> IPSec VPN> VPN Connection a vyberte Enable . Zadejte název připojení použitý k identifikaci tohoto připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a brána VPN

Klepnutím na tlačítko Vytvořit nový objekt přidáte adresu lokální sítě za pobočku A a adresu místní sítě za Hub_HQ

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavit místní zásady být Spoke_Branch_A_LOCAL a vzdálené zásady Hub_HQ, které jsou nově vytvořeny. Klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

3 Přejděte do části Síť> Směrování> Trasa zásad, chcete-li přidat trasu zásad, která umožní provoz ze Spoke_Branch_A do Spoke_Branch_B .

Klepněte na tlačítko Vytvořit nový objekt a nastavte adresu, která má být místní sítí za Spoke_Branch_B . Vyberte Zdrojovou adresu, která bude místní sítí za Spoke_Branch_A . Potom přejděte dolů do seznamu Cílová adresa a vyberte nově vytvořenou adresu Spoke_Branch_B_LOCAL . Klepněte na tlačítko OK .

Síť> Směrování> Trasa zásad

Spoke_Branch_B

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> Brána VPN , vyberte možnost Povolit . Zadejte název brány VPN, která se používá k identifikaci této brány VPN.

Potom nakonfigurujte primární bránu IP jako Hub_HQ ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.10.1) a sekundární IP brány jako Hub_HQ‚WAN2 IP adresy s (v uvedeném příkladu 172.100.110.1). Vyberte Zpátky na základní Peer brány, když je to možné a žádoucí set Fall Back Zkontrolujte časový interval.

Zadejte zabezpečený předsdílený klíč (8-32 znaků), který musí odpovídat vašemu přednastavenému klíči Hub_HQ a klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> VPN brána

2 Přejděte na CONFIGURATION> VPN> IPSec VPN> VPN Connection a vyberte Enable . Zadejte název připojení použitý k identifikaci tohoto připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a brána VPN

Klepnutím na tlačítko Vytvořit nový objekt přidáte adresu lokální sítě za pobočku B a adresu místní sítě za Hub_HQ .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavit místní zásady být Spoke_Branch_B_LOCAL a vzdálené politiky Hub_HQ, které jsou nově vytvořeny. Klepněte na tlačítko OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

3 Přejděte na Síť> Směrování> Trasa zásad, chcete-li přidat trasu zásad, která umožní provoz ze Spoke_Branch_B do Spoke_Branch_A .

Klepněte na tlačítko Vytvořit nový objekt a nastavte adresu, která má být místní sítí za Spoke_Branch_A . Vyberte Zdrojová adresa, která bude místní sítí za Spoke_Branch_B . Potom přejděte dolů do seznamu Cílová adresa a vyberte nově vytvořenou adresu Spoke_Branch_A_LOCAL . Klepněte na tlačítko OK .

Síť> Směrování> Trasa zásad


OVĚŘENÍ:

Otestujte tunel IPSec VPN

1 Přejděte na ZYWALL / USG CONFIGURATION> VPN> IPSec VPN> Připojení VPN , klepněte na tlačítko Připojit na horním panelu. Ikona připojení stavu svítí, když je rozhraní připojeno.

Hub_HQ> KONFIGURACE> VPN> IPSec VPN> Připojení VPN

Spoke_Branch_A> KONFIGURACE> VPN> IPSec VPN> Připojení VPN

Spoke_Branch_B> KONFIGURACE> VPN> IPSec VPN> Připojení VPN

2 Přejděte na ZyWALL / USG MONITOR> Monitor VPN> IPSec a ověřte provoz tunelu Up Time a příchozí (bajty) / odchozí (bajty) . Klepněte na položku Kontrola připojení a ověřte výsledek připojení ICMP.

Hub_HQ> MONITOR> Monitor VPN> IPSec> Hub_HQ-to-Branch_A

Hub_HQ> MONITOR> Monitor VPN> IPSec> Hub_HQ-to-Branch_B

Spoke_Branch_B> MONITOR> Monitor VPN> IPSec

Spoke_Branch_A> MONITOR> Monitor VPN> IPSec

Co může jít špatně?

1 Pokud se zobrazí zpráva [info] nebo [error], jak je uvedeno níže, zkontrolujte nastavení zařízení ZyWALL / USG Phase 1. Všechny jednotky ZyWALL / USG musí pro vytvoření IKE SA použít stejný Pre-Shared Key, Encryption, metodu Authentication, skupinu DH klíčů a ID Type.

2 Pokud vidíte, že proces fáze 1 IKE SA byl proveden, ale stále se zobrazí zpráva [info], jak je uvedeno níže, zkontrolujte nastavení zařízení ZyWALL / USG Phase 2. Všechny jednotky ZyWALL / USG musí používat stejný protokol, zapouzdření, šifrování, ověřovací metodu a PFS k vytvoření IKE SA.

3 Ujistěte se, že všechny bezpečnostní zásady jednotek ZyWALL / USG umožňují provoz IPSec VPN. IKE používá UDP port 500, AH používá IP protokol 51 a ESP používá IP protokol 50.

4 Ve výchozím nastavení je na ZyWALL / USG povolen NAT traversal, proto se ujistěte, že má vzdálené IPSec zařízení také NAT traversal.

KB-00162

ODMÍTNUTÍ ODPOVĚDNOSTI:

Vážený zákazníku, uvědomte si prosím, že používáme strojový překlad k poskytování článků ve vašem místním jazyce. Ne celý text může být přeložen přesně. Pokud se vyskytnou otázky nebo nesrovnalosti ohledně přesnosti informací v překládané verzi, přečtěte si prosím originální článek zde: Původní verze

Související články

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.