Fontos értesítés: |
A Zyxel UOS operációs rendszer bevezetésével és az új H sorozat megjelenésével a Zyxel modernizálta a VPN-kapcsolatok kezelésének módját. A korábbi generációs eszközökkel, például az USG és ATP sorozatokkal ellentétben a H sorozat már nem támogatja a VPN-alagutak következő állomásként való használatát a Policy Routes-ben.
Ez nem korlátozás, hanem inkább egy modern, interfész-alapú VPN-architektúra felé történő elmozdulás, amely a VTI (Virtual Tunnel Interface) segítségével útvonal-alapú VPN-t használ. Ez a cikk elmagyarázza a házirend- és útvonal-alapú VPN közötti különbséget, és azt, hogy miért tekinthető ez az új megközelítés megbízhatóbbnak, skálázhatóbbnak és könnyebben kezelhetőnek.
Az útvonal-alapú VPN előnyei a VTI-vel a Zyxel USG FLEX H rendszerben
- A VPN-alagutak virtuális interfészként (VTI ) jönnek létre, és ugyanúgy részt vesznek az útválasztásban, mint a fizikai portok.
- Nincs szükség a VPN következő elérési pontként való meghatározására a Policy Routes-ben, ami csökkenti a konfiguráció összetettségét és a félrekonfigurálás kockázatát.
- Jobb integráció a Zyxel zóna alapú biztonsági modelljével.
Forgatókönyv:
- A központ több belső alhálózatot használ:
- 192.168.10.0/24 - Adminisztráció
- 192.168.20.0/24 - Könyvelés
- 192.168.30.0/24 - raktár
- A fiókirodának mindegyiket VPN-en keresztül kell elérnie.
Problémák a házirend-alapú VPN-nel:
- Minden alhálózathoz külön alagutat vagy házirendet kellett létrehozni.
- Bármilyen hálózati változás (pl. új alhálózat) a házirendek és alagutak manuális újrakonfigurálását jelentette.
A VTIhasználata az USG FLEX H:
- Egyetlen VPN-alagutat hoz létre a telephelyek között.
- Konfigurálja a szabványos statikus útvonalakat:
dst: 192.168.10.0/24 → VTI-irodán keresztül dst: 192.168.20.0/24 → VTI-irodán keresztül dst: 192.168.30.0/24 → VTI-irodán keresztül.
- Ha egy új alhálózatot (pl. 192.168.40.0/24) adunk hozzá - csak egy útvonalat kell hozzáadni, nincs szükség VPN átkonfigurálásra.
- Ahozzáférés-szabályozás a statikus útvonallogika helyett a biztonsági szabályzatokon keresztül történik.
IPSec VPN-alagút beállítása az uOS számára
Ez a példa azt mutatja be, hogyan lehet a VPN-beállítási varázslót használni egy útvonal-alapú hely-hely közötti VPN-alagút konfigurálásához, amelyben egy ZLD eszköz a peer átjáró, és amely az alagút létrehozását követően biztonságos hozzáférést tesz lehetővé a két telephely között.
Navigáljon aVPN > IPSec VPN > Site to Site VPN > Add. menüpontra, és menjen végig a varázsló minden lépésén, és töltse ki a megfelelő mezőket:
- Név:
- IKE Version: IKE Version: IKEv2
- A Saját cím mezőben válassza ki a kívánt WAN-interfészt.
- A Peer Gateway Address mezőben adja meg a távoli (fióktelep) eszköz nyilvános IP-címét.
- Zóna: IPSec_VPN
- A Hitelesítési módszerhez válassza a Megosztott kulcs előtti kulcs (PSK) lehetőséget.
A Típus alatt válassza ki a következőket: Útvonal-alapú.
- A Távoli alhálózat mezőbe írja be a manuálisan:
192.168.88.0/27. - A VTI Interface (VTI-interfész) mezőbe írja be:
169.254.63.164/255.255.255.255. - Ellenőrizze, hogy az ábrán látható-e a kapcsolat a
ge1helyi interfészről a távoli IP93.159.250.211IP címre.
Az 1. fázis beállításai és a 2. fázis beállításai alatt:
-
Javaslat:
AES128 / SHA1 -
DH csoport:
DH2 / DH14
Kattintson az OK gombra.
- A VTI-interfész konfigurálása
Konfiguráció > Hálózat > Interfész > VTI
IPSec VPN-alagút beállítása a ZLD számára
Navigáljon a Konfiguráció > VPN > IPSec VPN > VPN átjáró menüpontra.
- Kattintson az Add anf Check Enable( Hozzáadás ) gombra.
- Adja meg a VPN átjáró nevét:
- Válassza ki az IKE verziót:
IKEv2 - A Saját cím alatt: Válassza ki az
Interface:ge1(a nyilvános IP-címével). - Peer Gateway Address alatt: adja meg a távoli (HQ) eszköz nyilvános IP-címét.
- A Hitelesítés alatt: Válassza az
Előre megosztott kulcsot, és adja meg ugyanazt a kulcsot, amelyet a Flex eszközön használ.
- A VTI-interfész konfigurálása
Konfiguráció > Hálózat > Interfész > VTI
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.