Важное замечание: |
В этой статье показано, как настроить аварийное переключение VPN-подключения с USG FLEX / ATP / VPN Series с использованием туннеля site-to-site с Trunk Failover и концентратором VPN. Использование Dual-WAN для аварийного переключения на узловой VPN с ZyWALL/USG в качестве концентратора и лучевых VPN для филиалов A и B.
Содержание
1) Настройте отказоустойчивость VPN через отказоустойчивость магистрали.
1.1 Настройка отказоустойчивости WAN через настройки магистрали
1.2 Настройте разъединяющие соединения перед откатом
1.3 Настройте VPN Gateway
1.4 Настройка отказоустойчивости VPN на стороне клиента через SSH
2) Настройте отказоустойчивость VPN через VPN-концентратор.
2.1 Настройка Hub_HQ-to-Branch_A
2.2 Настройка Hub_HQ-to-Branch_B
2.3 Настройка концентратора Hub_HQ
2.4 Настройка Spoke_Branch_A
2.5 Настройка Spoke_Branch_B
2.6 Тестирование VPN-туннеля IPSec
2.7 Что может пойти не так?
1) Настройте отказоустойчивость VPN через отказоустойчивость магистрали.
Сценарий (Отказ магистрали)
У клиента есть 2 разных IP-адреса WAN с двумя VPN-подключениями на сайте филиала. Один из них — динамический IP.
В случае, если соединение WAN1 обрывается по какой-либо причине, интерфейс WAN2 следует использовать в качестве аварийного переключения, чтобы сохранить работоспособность туннеля.
Как настроить отказоустойчивость подключения VPN-клиента?
1.1 Настройка отказоустойчивости WAN через настройки магистрали
В графическом веб-интерфейсе перейдите на экран « Конфигурация» > «Сеть» > «Интерфейс» > «Транк» > «Конфигурация пользователя» > «Добавить» .
Установите для WAN2 режим Passive.
1.2 Настройте разъединяющие соединения перед откатом
Включите «Отключить соединения перед откатом».
1.3 Настройте VPN Gateway
Перейдите в раздел Конфигурация > VPN > IPSec VPN > VPN Gateway.
Установите для параметра «Мой адрес» значение «0.0.0.0» (универсальная группа безопасности сначала будет подключаться к активному интерфейсу WAN).
Поскольку IP-адрес интерфейса WAN2 является динамическим, в этом случае вы можете использовать Dynamic VPN.
Обязательно используйте проверку подключения с обеих сторон:
1.4 Настройка отказоустойчивости VPN на стороне клиента через SSH
Введите следующую команду через SSH на устройстве:
Router(config)# client-side-vpn-failover-fallback activate
После этого туннель автоматически вернется к WAN1 после восстановления соединения WAN1.
2) Настройте отказоустойчивость VPN через VPN-концентратор.
Сценарий (концентратор VPN)
Когда VPN-туннель настроен, трафик между филиалами проходит через концентратор (HQ).
Трафик также может проходить между лучами через концентратор. Если основной интерфейс WAN недоступен, будет использоваться резервный интерфейс WAN.
Когда основной интерфейс WAN снова станет доступен, трафик снова будет использовать этот интерфейс.
2.1 Настройка Hub_HQ-to-Branch_A
1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway , выберите Включить .
Введите имя VPN Gateway , используемое для идентификации этого шлюза VPN.
Настройте IP-адрес первичного шлюза как IP-адрес wan1 Филиала A (в примере 172.16.20.1), а IP-адрес вторичного шлюза — как IP-адрес wan2 Филиала A (в примере 172.100.120.1).
Выберите Откат к основному одноранговому узлу Gateway, когда это возможно , и установите желаемое время интервала проверки отката .
Введите безопасный предварительный общий ключ (8-32 символа), который должен совпадать с предварительным общим ключом вашего филиала A , и нажмите OK .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway
2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение и выберите Включить .
Введите Имя подключения , используемое для идентификации этого VPN-подключения.
Выберите сценарий Site-to-Site и VPN Gateway, настроенный на шаге 1.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Общие настройки и VPN- шлюз
Нажмите Create new Object , чтобы добавить адрес локальной сети за Hub_HQ и адрес локальной сети за Branch A.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Создать новый объект
Установите для локальной политики значение Hub_HQ , а для удаленной политики значение Branch_A , которые только что созданы. Нажмите ОК .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Политика
2.2 Настройка Hub_HQ-to-Branch_B
1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway , выберите Включить . Введите имя VPN Gateway , используемое для идентификации этого шлюза VPN.
Затем настройте IP-адрес основного шлюза в качестве IP-адреса wan1 Филиала B (в примере 172.16.30.1) и IP-адрес вторичного шлюза в качестве IP-адреса wan2 Филиала B (в примере 172.100.130.1).
Выберите Откат к основному одноранговому узлу Gateway, когда это возможно , и установите желаемое время интервала проверки отката .
Введите безопасный предварительный общий ключ (8-32 символа), который должен совпадать с предварительным общим ключом вашего филиала A , и нажмите OK .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway
2 Выберите КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение , чтобы включить VPN-подключение. Выберите сценарий Site-to-Site и VPN Gateway, настроенный на шаге 1.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Общие настройки и VPN- шлюз
Нажмите Create new Object , чтобы добавить адрес локальной сети за Hub_HQ и адрес локальной сети за Branch B.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Создать новый объект
Установите для локальной политики значение Hub_HQ , а для удаленной политики значение Branch_B , которые только что созданы. Нажмите ОК .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Политика
2.3 Настройка концентратора Hub_HQ
1 В ZyWALL/USG перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > Концентратор и добавьте правило VPN-концентратора. Выберите VPN-туннели к той же группе участников и нажмите « Сохранить ».
2.4 Настройка Spoke_Branch_A
1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway , выберите Включить . Введите имя VPN Gateway , используемое для идентификации этого шлюза VPN.
Затем настройте IP-адрес основного шлюза в качестве IP-адреса wan1 Hub_HQ (в примере 172.16.10.1) и IP-адрес вторичного шлюза в качестве IP-адреса wan2 Hub_HQ (в примере 172.100.110.1). Выберите Откат к основному одноранговому узлу Gateway, когда это возможно , и установите желаемое время интервала проверки отката .
Введите безопасный предварительный общий ключ (8-32 символа), который должен совпадать с предварительным общим ключом вашего Hub_HQ , и нажмите OK .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway
2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение и выберите Включить . Введите Имя подключения , используемое для идентификации этого VPN-подключения. Выберите сценарий Site-to-Site и VPN Gateway, настроенный на шаге 1.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Общие настройки и VPN- шлюз
Нажмите « Создать новый объект », чтобы добавить адрес локальной сети за филиалом A и адрес локальной сети за Hub_HQ.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Создать новый объект
Установите Локальную политику на Spoke_Branch_A_LOCAL , а Удаленную политику на Hub_HQ , которые только что созданы. Нажмите ОК .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Политика
3 Перейдите в раздел Сеть > Маршрутизация > Маршрут политики , чтобы добавить маршрут политики , чтобы разрешить трафик от Spoke_Branch_A к Spoke_Branch_B .
Нажмите « Создать новый объект » и установите адрес локальной сети за Spoke_Branch_B . Выберите Исходный адрес в качестве локальной сети за Spoke_Branch_A . Затем прокрутите список адресов назначения вниз, чтобы выбрать только что созданный адрес Spoke_Branch_B_LOCAL . Нажмите ОК .
Сеть > Маршрутизация > Маршрут политики
2.5 Настройка Spoke_Branch_B
1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway , выберите Включить . Введите имя VPN Gateway , используемое для идентификации этого шлюза VPN.
Затем настройте IP-адрес основного шлюза в качестве IP-адреса wan1 Hub_HQ (в примере 172.16.10.1) и IP-адрес вторичного шлюза в качестве IP-адреса wan2 Hub_HQ (в примере 172.100.110.1). Выберите Откат к основному одноранговому узлу Gateway, когда это возможно , и установите желаемое время интервала проверки отката .
Введите безопасный предварительный общий ключ (8-32 символа), который должен совпадать с предварительным общим ключом вашего Hub_HQ , и нажмите OK .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway
2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение и выберите Включить . Введите Имя подключения , используемое для идентификации этого VPN-подключения. Выберите сценарий Site-to-Site и VPN Gateway, настроенный на шаге 1.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-соединение > Общие настройки и VPN Gateway
Нажмите Create new Object , чтобы добавить адрес локальной сети за Branch B и адрес локальной сети за Hub_HQ .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Создать новый объект
Установите Локальную политику на Spoke_Branch_B_LOCAL , а Удаленную политику на Hub_HQ , которые только что созданы. Нажмите ОК .
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение > Политика
3 Перейдите в раздел Сеть > Маршрутизация > Маршрут политики , чтобы добавить маршрут политики, чтобы разрешить трафик от Spoke_Branch_B к Spoke_Branch_A .
Нажмите « Создать новый объект » и установите адрес локальной сети за Spoke_Branch_A . Выберите Исходный адрес в качестве локальной сети за Spoke_Branch_B . Затем прокрутите список адресов назначения вниз, чтобы выбрать только что созданный адрес Spoke_Branch_A_LOCAL . Нажмите ОК .
Сеть > Маршрутизация > Маршрут политики
2.6 Тестирование VPN-туннеля IPSec
1 Перейдите в раздел НАСТРОЙКА ZyWALL/USG > VPN > IPSec VPN > VPN-подключение и нажмите Подключить на верхней панели. Значок состояния подключения горит, когда интерфейс подключен.
Hub_HQ > КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение
Spoke_Branch_A > КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение
Spoke_Branch_B > КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение
2 Перейдите в ZyWALL /USG MONITOR > VPN Monitor > IPSec и проверьте время работы туннеля и входящий (в байтах)/исходящий (в байтах) трафик. Щелкните Проверка подключения , чтобы проверить результат подключения ICMP.
Hub_HQ > МОНИТОР > Монитор VPN > IPSec > Hub_HQ-to-Branch_A
Hub_HQ > МОНИТОР > Монитор VPN > IPSec > Hub_HQ-to-Branch_B
Spoke_Branch_B > МОНИТОР > Монитор VPN > IPSec
Spoke_Branch_A > МОНИТОР > Монитор VPN > IPSec
2.7 Что может пойти не так?
1 Если вы видите сообщение в журнале [info] или [error], подобное приведенному ниже, проверьте настройки ZyWALL/USG Phase 1. Все устройства ZyWALL/USG должны использовать один и тот же предварительный общий ключ, метод шифрования, аутентификации, группу ключей DH и тип идентификатора для установления IKE SA.
2 Если вы видите, что процесс IKE SA фазы 1 завершен, но по-прежнему появляется сообщение журнала [info], как показано ниже, проверьте настройки фазы 2 ZyWALL/USG. Все устройства ZyWALL/USG должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS для установки IKE SA.
3 Убедитесь, что политики безопасности всех устройств ZyWALL/USG разрешают трафик IPSec VPN. IKE использует UDP-порт 500, AH использует IP-протокол 51, а ESP использует IP-протокол 50.
4 По умолчанию обход NAT включен в ZyWALL/USG, поэтому убедитесь, что на удаленном устройстве IPSec также включен обход NAT.
КБ-00162
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.