Notă importantă: |
Acest articol vă va arăta cum să configurați o failover a conexiunii VPN cu USG FLEX / ATP / VPN Series utilizând un tunel de la site la site cu Trunk Failover și VPN Concentrator. Folosind Dual-WAN pentru a efectua fail-over-ul pe un VPN hub-and-spoke cu HQ ZyWALL/USG ca hub și VPN-uri vorbite către filialele A și B.
Cuprins
1) Configurați VPN Failover prin Trunk Failover
1.1 Configurați failover-ul WAN prin Setări trunk
1.2 Configurați deconectarea conexiunilor înainte de a reveni
1.3 Configurați VPN Gateway
1.4 Configurați client-side-VPN-Failover prin SSH
2) Configurați VPN Failover prin VPN Concentrator
2.1 Configurați Hub_HQ-to-Branch_A
2.2 Configurați Hub_HQ-to-Branch_B
2.3 Configurați concentratorul Hub_HQ
2.4 Configurați Spoke_Branch_A
2.5 Configurați Spoke_Branch_B
2.6 Testați tunelul VPN IPSec
2.7 Ce poate merge prost?
1) Configurați VPN Failover prin Trunk Failover
Scenariu (falover trunk)
Clientul are 2 IP-uri WAN diferite cu două conexiuni VPN la sediul sucursalei. Unul dintre ele este un IP dinamic.
În cazul în care conexiunea WAN1 se întrerupe din orice motiv, interfața WAN2 ar trebui utilizată ca failover pentru a menține tunelul în viață.
Cum se configurează conexiunea client VPN Failover?
1.1 Configurați failover-ul WAN prin Setări trunk
În GUI web, accesați ecranul Configurare > Rețea > Interfață > Trunk > Configurare utilizator > Adăugare .
Setați modul WAN2 la pasiv.
1.2 Configurați deconectarea conexiunilor înainte de a reveni
Activați „Deconectați conexiunile înainte de a reveni”.
1.3 Configurați VPN Gateway
Accesați Configurare > VPN > VPN IPSec > VPN Gateway.
Setați adresa mea la „0.0.0.0” (USG va apela mai întâi cu interfața WAN activă).
Deoarece IP-ul interfeței WAN2 este dinamic, puteți utiliza VPN dinamic în acest caz.
Asigurați-vă că utilizați verificarea conectivității pe ambele părți:
1.4 Configurați client-side-VPN-Failover prin SSH
Introduceți următoarea comandă prin SSH pe dispozitiv:
Router(config)# client-side-vpn-failover-fallback activate
Ulterior, tunelul va reveni automat la WAN1 odată ce conexiunea WAN1 a fost recuperată.
2) Configurați VPN Failover prin VPN Concentrator
Scenariu (concentrator VPN)
Când tunelul VPN este configurat, traficul trece între ramuri prin hub (HQ).
Traficul poate trece și între spițe și spițe prin hub. Dacă interfața WAN principală nu este disponibilă, va fi utilizată interfața WAN de rezervă.
Când interfața WAN principală este din nou disponibilă, traficul va folosi acea interfață din nou.
2.1 Configurați Hub_HQ-to-Branch_A
1 Accesați CONFIGURARE > VPN > VPN IPSec > VPN Gateway , selectați Activare .
Introduceți numele VPN Gateway folosit pentru a identifica acest gateway VPN.
Configurați IP-ul principal al Gateway-ului ca adresa IP wan1 a Branch A (în exemplu, 172.16.20.1) și IP-ul secundar al Gateway-ului ca adresa IP wan2 a Branch A (în exemplu, 172.100.120.1).
Selectați Fall back to Primary Peer Gateway atunci când este posibil și setați intervalul dorit de Fall Back Check .
Introduceți o cheie pre-partajată securizată (8-32 de caractere) care trebuie să se potrivească cu cheia pre-partajată a filialei A și faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > VPN Gateway
2 Accesați CONFIGURARE > VPN > VPN IPSec > Conexiune VPN și selectați Activare .
Introduceți numele conexiunii utilizat pentru a identifica această conexiune VPN.
Selectați scenariul ca Site-to-site și VPN Gateway, care este configurat la Pasul 1.
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Setări generale și Gateway VPN
Faceți clic pe Creare obiect nou pentru a adăuga adresa rețelei locale în spatele Hub_HQ și o adresă a rețelei locale în spatele Branch A.
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Creare obiect nou
Setați Politica locală să fie Hub_HQ și Politica de la distanță la Branch_A , care sunt nou create. Faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Politică
2.2 Configurați Hub_HQ-to-Branch_B
1 Accesați CONFIGURARE > VPN > VPN IPSec > VPN Gateway , selectați Activare . Introduceți numele VPN Gateway folosit pentru a identifica acest gateway VPN.
Apoi, configurați IP-ul principal al gateway-ului ca adresă IP wan1 a ramului B (în exemplu, 172.16.30.1) și IP-ul gateway-ului secundar ca adresa IP wan2 a ramurii B (în exemplu, 172.100.130.1).
Selectați Fall back to Primary Peer Gateway atunci când este posibil și setați intervalul dorit de Fall Back Check .
Introduceți o cheie pre-partajată securizată (8-32 de caractere) care trebuie să se potrivească cu cheia pre-partajată a filialei A și faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > VPN Gateway
2 Accesați CONFIGURARE > VPN > VPN IPSec > Conexiune VPN pentru a activa conexiunea VPN. Selectați scenariul ca Site-to-site și VPN Gateway, care este configurat la Pasul 1.
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Setări generale și Gateway VPN
Faceți clic pe Creare obiect nou pentru a adăuga o adresă a rețelei locale în spatele Hub_HQ și o adresă a rețelei locale în spatele Branchului B.
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Creare obiect nou
Setați Politica locală să fie Hub_HQ și Politica de la distanță la Branch_B care sunt nou create. Faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Politică
2.3 Configurați concentratorul Hub_HQ
1 În ZyWALL/USG, accesați CONFIGURARE > VPN > VPN IPSec > Concentrator , adăugați o regulă de concentrator VPN. Selectați tuneluri VPN către același grup de membri și faceți clic pe Salvare .
2.4 Configurați Spoke_Branch_A
1 Accesați CONFIGURARE > VPN > VPN IPSec > VPN Gateway , selectați Activare . Introduceți numele VPN Gateway folosit pentru a identifica acest gateway VPN.
Apoi, configurați IP-ul principal al gateway-ului ca adresa IP wan1 a Hub_HQ (în exemplu, 172.16.10.1) și IP-ul gateway-ului secundar ca adresa IP wan2 a lui Hub_HQ (în exemplu, 172.100.110.1). Selectați Fall back to Primary Peer Gateway atunci când este posibil și setați intervalul dorit de Fall Back Check .
Introdu o cheie pre-partajată securizată (8-32 de caractere) care trebuie să se potrivească cu cheia pre-partajată a lui Hub_HQ și faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > VPN Gateway
2 Accesați CONFIGURARE > VPN > VPN IPSec > Conexiune VPN și selectați Activare . Introduceți numele conexiunii utilizat pentru a identifica această conexiune VPN. Selectați scenariul ca Site-to-site și VPN Gateway, care este configurat la Pasul 1.
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Setări generale și Gateway VPN
Faceți clic pe Creare obiect nou pentru a adăuga adresa rețelei locale în spatele Branch A și o adresă a rețelei locale în spatele Hub_HQ
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Creare obiect nou
Setați Politica locală să fie Spoke_Branch_A_LOCAL și Politica de la distanță la Hub_HQ care sunt nou create. Faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Politică
3 Accesați Network > Routing > Policy Route pentru a adăuga un Policy Route pentru a permite traficul de la Spoke_Branch_A la Spoke_Branch_B .
Faceți clic pe Creare obiect nou și setați adresa să fie rețeaua locală din spatele Spoke_Branch_B . Selectați Adresa sursă pentru a fi rețeaua locală din spatele Spoke_Branch_A . Apoi, derulați în jos lista de adrese de destinație pentru a alege adresa Spoke_Branch_B_LOCAL nou creată. Faceți clic pe OK .
Rețea > Rutare > Rută politică
2.5 Configurați Spoke_Branch_B
1 Accesați CONFIGURARE > VPN > VPN IPSec > VPN Gateway , selectați Activare . Introduceți numele VPN Gateway folosit pentru a identifica acest gateway VPN.
Apoi, configurați IP-ul principal al gateway-ului ca adresa IP wan1 a Hub_HQ (în exemplu, 172.16.10.1) și IP-ul gateway-ului secundar ca adresa IP wan2 a lui Hub_HQ (în exemplu, 172.100.110.1). Selectați Fall back to Primary Peer Gateway atunci când este posibil și setați intervalul dorit de Fall Back Check .
Introdu o cheie pre-partajată securizată (8-32 de caractere) care trebuie să se potrivească cu cheia pre-partajată a lui Hub_HQ și faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > VPN Gateway
2 Accesați CONFIGURARE > VPN > VPN IPSec > Conexiune VPN și selectați Activare . Introduceți numele conexiunii utilizat pentru a identifica această conexiune VPN. Selectați scenariul ca Site-to-site și VPN Gateway, care este configurat la Pasul 1.
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Setări generale și VPN Gateway
Faceți clic pe Creare obiect nou pentru a adăuga adresa rețelei locale în spatele Branch B și o adresă a rețelei locale în spatele Hub_HQ .
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Creare obiect nou
Setați Politica locală să fie Spoke_Branch_B_LOCAL și Politica de la distanță la Hub_HQ care sunt nou create. Faceți clic pe OK .
CONFIGURARE > VPN > VPN IPSec > Conexiune VPN > Politică
3 Accesați Network > Routing > Policy Route pentru a adăuga o Policy Route pentru a permite traficul de la Spoke_Branch_B la Spoke_Branch_A .
Faceți clic pe Creare obiect nou și setați adresa să fie rețeaua locală din spatele Spoke_Branch_A . Selectați Adresa sursă pentru a fi rețeaua locală din spatele Spoke_Branch_B . Apoi, derulați în jos lista de adrese de destinație pentru a alege adresa Spoke_Branch_A_LOCAL nou creată. Faceți clic pe OK .
Rețea > Rutare > Rută politică
2.6 Testați tunelul VPN IPSec
1 Accesați ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection , faceți clic pe Conectare în bara de sus. Pictograma de stare de conectare este aprinsă când interfața este conectată.
Hub_HQ > CONFIGURARE > VPN > VPN IPSec > Conexiune VPN
Spoke_Branch_A > CONFIGURARE > VPN > VPN IPSec > Conexiune VPN
Spoke_Branch_B > CONFIGURARE > VPN > VPN IPSec > Conexiune VPN
2 Accesați ZyWALL/USG MONITOR > VPN Monitor > IPSec și verificați timpul de funcționare a tunelului și traficul Inbound(Bytes)/Outbound(Bytes) . Faceți clic pe Verificare conectivitate pentru a verifica rezultatul conectivitate ICMP.
Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A
Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B
Spoke_Branch_B > MONITOR > VPN Monitor > IPSec
Spoke_Branch_A > MONITOR > VPN Monitor > IPSec
2.7 Ce poate merge prost?
1 Dacă vedeți un mesaj de jurnal [informații] sau [eroare], cum ar fi mai jos, vă rugăm să verificați Setările ZyWALL/USG Faza 1. Toate unitățile ZyWALL/USG trebuie să utilizeze aceeași cheie pre-partajată, criptare, metodă de autentificare, grup de chei DH și tip ID pentru a stabili IKE SA.
2 Dacă vedeți că procesul IKE SA din Faza 1 s-a încheiat, dar încă primiți mesajul de jurnal [informații] ca mai jos, vă rugăm să verificați Setările ZyWALL/USG Faza 2. Toate unitățile ZyWALL/USG trebuie să utilizeze același protocol, încapsulare, criptare, metodă de autentificare și PFS pentru a stabili IKE SA.
3 Asigurați-vă că politicile de securitate ale tuturor unităților ZyWALL/USG permit trafic VPN IPSec. IKE folosește portul UDP 500, AH utilizează protocolul IP 51 și ESP utilizează protocolul IP 50.
4 În mod implicit, traversarea NAT este activată pe ZyWALL/USG, deci asigurați-vă că dispozitivul IPSec la distanță are și traversarea NAT activată.
KB-00162