Tässä artikkelissa näytetään, miten VPN-yhteyden vikasieto konfiguroidaan USG FLEX / ATP / VPN Series -sarjalla käyttämällä site-to-site-tunnelia Trunk Failoverin ja VPN Concentratorin avulla. Dual-WANin käyttäminen vikasietoisen VPN:n vikasietoisen siirtämisen suorittamiseen hub-and-spoke VPN:ssä, jossa pääkonttorin ZyWALL/USG toimii hubina ja spoke VPN:t haaroihin A ja B.

1) Määritä VPN-viansiirto Trunk Failoverin avulla.

Skenaario (Trunk Failover)

Asiakkaalla on kaksi eri WAN-IP:tä, joilla on kaksi VPN-yhteyttä sivukonttorissa. Toinen niistä on dynaaminen IP.

Jos WAN1-yhteys kaatuu jostain syystä, WAN2-liittymää pitäisi käyttää Failover-toimintona tunnelin pitämiseksi elossa.

Miten VPN-asiakasyhteyden vikasietoisuus määritetään?

1.1 Määritä WAN-viansiirto Trunk-asetusten kautta.

Siirry Web GUI:ssa kohtaan Configuration (Määritys) > Network (Verkko) > Interface (Liitäntä) > Trunk (Trunk) > User configuration (Käyttäjän määritys) > Add (Lisää) .
Aseta WAN2:n tilaksi Passive.

1.2 Määritä Yhteyksien katkaiseminen ennen takaisinsiirtoa (Disconnect Connections Before Falling Back).

Ota käyttöön "Disconnect Connections Before Falling Back".

1.3 VPN-yhdyskäytävän määrittäminen

Siirry kohtaan Määritys > VPN > IPSec VPN > VPN-yhdyskäytävä.

Branchin puolella:
Aseta My Address-> Domain Name/IPvSet4 arvoksi "0.0.0.0.0.0.0" (USG muodostaa yhteyden ensin aktiiviseen WAN-liitäntään).


Päämajan puolella:
Koska WAN2-liitännän IP-osoite Branch-puolella on dynaaminen, HQ-puolen "Peer Gateway Address" (Vertaisverkon yhdyskäytävän osoite) -asetukseksi on asetettava "Dynamic address" (Dynaaminen osoite). Vaihtoehtoisesti dynaaminen DNS voidaan määrittää ja käyttää Staattinen osoite -kentässä.

Varmista, että käytät yhteystarkastusta molemmilla puolilla:

1.4 Client-puolen VPN-poistumisen konfigurointi SSH:n kautta

Anna seuraava komento SSH:n kautta laitteessa:

Tämän jälkeen tunneli palaa WAN1:een automaattisesti, kun WAN1-yhteys on palautunut.

2) Määritä VPN Failover VPN Concentratorin kautta.

Skenaario (VPN-keskitin)

Kun VPN-tunneli on konfiguroitu, liikenne kulkee sivuliikkeiden välillä keskittimen (HQ) kautta.
Liikenne voi kulkea myös spoken ja spoken välillä keskittimen kautta. Jos ensisijainen WAN-liitäntä ei ole käytettävissä, käytetään vara- WAN-liitäntää.
Kun ensisijainen WAN-liitäntä on jälleen käytettävissä, liikenne käyttää jälleen kyseistä liitäntää.

2.1 Hub_HQ-to-Branch_A:n konfigurointi

1 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN Gateway ja valitse Enable (Ota käyttöön).
Kirjoita VPN-yhdyskäytävän nimi, jota käytetään tämän VPN-yhdyskäytävän tunnistamiseen.

Määritä ensisijaisen yhdyskäytävän IP-osoitteeksi Branch A:n wan1-IP-osoite (esimerkissä 172.16.20.1) ja toissijaisen yhdyskäytävän IP-osoitteeksi Branch A:n wan2-IP-osoite (esimerkissä 172.100.120.1).
Valitse Fall back to Primary Peer Gateway when possible ja aseta haluamasi Fall Back Check Interval aika.

Kirjoita suojattu jaettu avain (8-32 merkkiä), jonka on vastattava Branch A:n jaettua avainta, ja napsauta OK.

KONFIGUROINTI > VPN > IPSec VPN > VPN-yhdyskäytävä.

2 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN-yhteys ja valitse Enable (Ota käyttöön).
Kirjoita yhteysnimi, jota käytetään tämän VPN-yhteyden tunnistamiseen.
Valitse skenaarioksi Site-to-site ja VPN-yhdyskäytävä, joka on määritetty vaiheessa 1.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Yleiset asetukset ja VPN-yhdyskäytävä.

Lisää Hub_HQ:n takana olevan lähiverkon osoite ja Branch A:n takana olevan lähiverkon osoite valitsemalla Create new Object.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Luo uusi objekti.

Aseta Paikalliseksi käytännöksi Hub_HQ ja Etäkäytännöksi Branch_A , jotka on juuri luotu. Napsauta OK.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Policy (Käytäntö)

2.2 Hub_HQ-to-Branch_B:n määrittäminen

1 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN Gateway ja valitse Enable. Kirjoita VPN-yhdyskäytävän nimi, jota käytetään tämän VPN-yhdyskäytävän tunnistamiseen.

Määritä sitten ensisijaisen yhdyskäytävän IP-osoitteeksi Branch B:n wan1-IP-osoite (esimerkissä 172.16.30.1) ja toissijaisen yhdyskäytävän IP-osoitteeksi Branch B:n wan2IP-osoite(esimerkissä 172.100.130.1).
Valitse Fall back to Primary Peer Gateway when possible ja aseta haluamasi Fall Back Check Interval aika.

Kirjoita suojattu jaettu avain (8-32 merkkiä), jonka on vastattava Branch A:n jaettua avainta, ja napsauta OK.

KONFIGUROINTI > VPN > IPSec VPN > VPN-yhdyskäytävä.

2 Ota VPN-yhteys käyttöön valitsemalla CONFIGURATION > VPN > IPSec VPN > VPN-yhteys. Valitse skenaarioksi Site-to-site ja VPN Gateway, joka on määritetty vaiheessa 1.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Yleiset asetukset ja VPN-yhdyskäytävä.

Lisää Hub_HQ:n takana olevan lähiverkon osoite ja Branch B:n takana olevan lähiverkon osoite valitsemalla Create new Object (Luo uusi kohde ).

KONFIGUROINTI > VPN > IPSec VPN > VPN-yhteys > Luo uusi kohde.

Aseta Paikalliseksi käytännöksi Hub_HQ ja Etäkäytännöksi Branch_B , jotka on juuri luotu. Napsauta OK.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Policy (käytäntö)

2.3 Hub_HQ-keskittimen määrittäminen

1 Valitse ZyWALL/USG:ssä CONFIGURATION > VPN > IPSec VPN > Concentrator ja lisää VPN Concentrator -sääntö. Valitse VPN-tunnelit samaan jäsenryhmään ja valitse Tallenna.

2.4 Spoke_Branch_A:n määrittäminen

1 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN Gateway ja valitse Enable (Ota käyttöön). Kirjoita VPN-yhdyskäytävän nimi, jota käytetään tämän VPN-yhdyskäytävän tunnistamiseen.

Määritä sitten ensisijaisen yhdyskäytävän IP-osoitteeksi Hub_HQ:n wan1-IP-osoite (esimerkissä 172.16.10.1) ja toissijaisen yhdyskäytävän IP-osoitteeksi Hub_HQ:n wan2-IP-osoite (esimerkissä 172.100.110.1). Valitse Fall back to Primary Peer Gateway when possible ja aseta haluamasi Fall Back Check Interval aika.

Kirjoita suojattu esijaettu avain (8-32 merkkiä), jonka on vastattava Hub_HQ:n esijaettua avainta, ja napsauta OK.

KONFIGUROINTI > VPN > IPSec VPN > VPN-yhdyskäytävä.

2 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN-yhteys ja valitse Enable (Ota käyttöön). Kirjoita yhteysnimi, jota käytetään tämän VPN-yhteyden tunnistamiseen. Valitse skenaarioksi Site-to-site ja VPN-yhdyskäytävä, joka on määritetty vaiheessa 1.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Yleiset asetukset ja VPN-yhdyskäytävä.

Lisää Branch A:n takana olevan lähiverkon osoite ja Hub_HQ:n takana olevan lähiverkon osoite valitsemalla Create new Object (Luo uusi kohde ) .

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Luo uusi objekti.

Aseta paikallisena käytäntönä Spoke_Branch_A_LOCAL ja etäkäytäntönä Hub_HQ , jotka on juuri luotu. Napsauta OK.

KONFIGUROINTI > VPN > IPSec VPN > VPN-yhteys > Policy (Käytäntö).

3 Siirry kohtaan Network > Routing > Policy Route (Verkko > Reititys > Käytäntöreitti ) lisätäksesi Policy Route (Käytäntöreitti ), joka sallii liikenteen Spoke_Branch_A: sta Spoke_Branch_B:hen.

Napsauta Luo uusi kohde ja määritä osoitteeksi Spoke_Branch_B:n takana oleva lähiverkko. Valitse Source Address (Lähdeosoite ) olevan Spoke_Branch_A:n takana oleva lähiverkko. Selaa sitten Destination Address (Kohdeosoite ) -luetteloa alaspäin ja valitse juuri luotu Spoke_Branch_B_LOCAL-osoite . Napsauta OK.

Verkko > Reititys > Käytäntöreitti

2.5 Spoke_Branch_B:n määrittäminen

1 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN Gateway ja valitse Enable (Ota käyttöön). Kirjoita VPN-yhdyskäytävän nimi, jota käytetään tämän VPN-yhdyskäytävän tunnistamiseen.

Määritä sitten ensisijaisen yhdyskäytävän IP-osoite Hub_HQ:n wan1-IP-osoitteeksi (esimerkissä 172.16.10.1) ja toissijaisen yhdyskäytävän IP-osoite Hub_HQ:n wan2-IP-osoitteeksi (esimerkissä 172.100.110.1). Valitse Fall back to Primary Peer Gateway when possible ja aseta haluamasi Fall Back Check Interval aika.

Kirjoita suojattu esijaettu avain (8-32 merkkiä), jonka on vastattava Hub_HQ:n esijaettua avainta, ja napsauta OK.

KONFIGUROINTI > VPN > IPSec VPN > VPN-yhdyskäytävä.

2 Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN-yhteys ja valitse Enable (Ota käyttöön). Kirjoita yhteysnimi, jota käytetään tämän VPN-yhteyden tunnistamiseen. Valitse skenaarioksi Site-to-site ja VPN-yhdyskäytävä, joka on määritetty vaiheessa 1.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Yleiset asetukset ja VPN-yhdyskäytävä.

Lisää Branch B:n takana olevan lähiverkon osoite ja Hub_HQ:n takana olevan lähiverkon osoite valitsemalla Create new Object (Luo uusi kohde ).

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Luo uusi kohde.

Aseta Paikalliseksi käytännöksi Spoke_Branch_B_LOCAL ja Etäkäytännöksi Hub_HQ , jotka on juuri luotu. Napsauta OK.

CONFIGURATION > VPN > IPSec VPN > VPN-yhteys > Policy (Käytäntö)

3 Siirry kohtaan Network > Routing > Policy Route (Verkko > Reititys > Käytäntöreitti ) lisätäksesi Policy Route (Käytäntöreitti), joka sallii liikenteen Spoke_Branch_B:stä Spoke_Branch_A:han.

Napsauta Luo uusi kohde ja määritä osoitteeksi Spoke_Branch_A:n takana oleva lähiverkko. Valitse Source Address (Lähdeosoite ) paikallisverkoksi Spoke_Branch_B:n takana. Selaa sitten Destination Address (Kohdeosoite ) -luetteloa alaspäin ja valitse juuri luotu Spoke_Branch_A_LOCAL-osoite . Napsauta OK.

Verkko > Reititys > Käytäntöreitti

2.6 Testaa IPSec VPN-tunneli.

1 Siirry kohtaan ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection ja napsauta yläpalkissa Connect. Status connect -kuvake palaa, kun liitäntä on yhdistetty.

Hub_HQ > CONFIGURATION > VPN > IPSec VPN > VPN-yhteys.

Spoke_Branch_A > CONFIGURATION > VPN > IPSec VPN > VPN-yhteys.

Spoke_Branch_B > KONFIGUROINTI > VPN > IPSec VPN > VPN-yhteys.

2 Siirry ZyWALL/USG MONITOR > VPN Monitor > IPSec ja tarkista tunnelin Up Time ja Inbound(Bytes)/Outbound(Bytes) -liikenne. Tarkista ICMP-yhteyden tulos valitsemalla Connectivity Check.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B.

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Mikä voi mennä pieleen?

1 Jos näet alla olevan kaltaisen [info]- tai [error]-lokiviestin, tarkista ZyWALL/USG Phase 1 -asetukset. Kaikkien ZyWALL/USG-yksiköiden on käytettävä samaa esijaettua avainta, salausta, todennusmenetelmää, DH-avainryhmää ja ID-tyyppiä IKE SA:n muodostamiseen.

2 Jos näet, että vaiheen 1 IKE SA-prosessi on valmis, mutta saat silti alla olevan [info]-lokiviestin, tarkista ZyWALL/USG:n vaiheen 2 asetukset. Kaikkien ZyWALL/USG-yksiköiden on käytettävä samaa protokollaa, kapselointia, salausta, todennusmenetelmää ja PFS:ää IKE SA:n luomiseen.

3 Varmista, että kaikkien ZyWALL/USG-yksiköiden turvallisuuskäytännöt sallivat IPSec VPN -liikenteen. IKE käyttää UDP-porttia 500, AH IP-protokollaa 51 ja ESP IP-protokollaa 50.

4 Oletusarvoisesti ZyWALL/USG:ssä on käytössä NAT-traversal, joten varmista, että myös etä-IPSec-laitteessa on NAT-traversal käytössä.