Использование NQA в IPSec для быстрого переключения между активными ирезервными одно

37 0 3 2

Как показано на схеме, в целях повышения надежности и доступности устройства в штаб-квартире, штаб-квартира использует два или более устройства для создания VRRP групп и устанавливает туннель IPSec с филиалом. Шлюз филиала должен установить туннель IPSec со штаб-квартирой, используя два адреса или доменные имена для одного однорангового узла. Шлюз филиала использует первый адрес или имя домена для установления туннеля IPSec со шлюзом штаб-квартиры. Если туннель IPSec не может быть настроен или DPD завершается неуспешно, используется второй адрес или имя домена. Однако процесс переключения требует длительного времени. Кроме того, после устранения ошибки трафик не может быть переключен обратно на изначальный одноранговый узел.

Вы можете связать IPSec с NQA, чтобы проверить, является ли адрес однорангового узла доступным на основе теста NQA. Если адрес однорангового узла недоступен, трафик быстро переключается на другой одноранговый узел. Это гарантирует, что трафик может быть быстро переключен на другой шлюз штаб- квартиры, когда один шлюз штаб-квартиры не работает. Кроме того, вы можете настроить реверсивное переключение, чтобы гарантировать, что трафик может быть переключен обратно после восстановления основного шлюза штаб-квартиры.

Чтобы повысить надежность каналов филиала, шлюз филиала подключается ктИнтернету с использованием двух интерфейсов. Шлюз филиала использует активный канал для создания туннеля IPSec со шлюзом штаб-квартиры. Если активный канал выходит из строя, шлюз филиала использует резервный канал для создания туннеля IPSec. Процесс переключения требует длительного времени. После устранения ошибки трафик не может быть переключен обратно на активный канал. Поэтому вы также можете связать IPSec с NQA, чтобы проверить, правильно работает ли активный канал в соответствии с тестом NQA. Если активный канал не работает, трафик быстро переключается на резервный канал. Кроме того, после восстановления активного канала трафик может быть переключен обратно.

1

Замечания по конфигурации

1. Устройства в группе VRRP должны быть настроены с тем же идентификатором виртуального маршрутизатора (VRID).

2. Алгоритмы аутентификации и шифрования шлюзов филиала и штаб-квартиры должны быть одинаковыми.

3. ACL на шлюзах филиала и штаб-квартиры должны зеркально отражать друг друга.

Если правила ACL между одноранговыми узлами зеркально не отражают друг друга, SA может быть успешно установлена только тогда, когда диапазон,

определенный правилом ACL инициатора, является подмножеством диапазона, определенного правилом ACL ответчика.

4. Когда на устройстве настроены оба IPSec и NAT, проверьте, должны ли транслировать потоки данных, инкапсулированные IPSec, с использованием NAT.

– Если требуется NAT, security ACL должен соответствовать переведенному адресу NAT.

– Если NAT не требуется, security ACL должен соответствовать адресу, который не транслируется с использованием NAT. Кроме того, укажите действие

deny в ACL для потоков данных, которые необходимо передать с

использованием туннеля IPSec.

5. При настройке IPSec убедитесь, что маршрут общедоступной сети доступен.

 

Требования к сети

Как показано на схеме, HQ1 и HQ2 являются шлюзами штаб-квартиры, и AR1является шлюзом филиала. Сервер DNS анализирует имена доменов, и сервер DDNS обновляет IP-адреса, сопоставляя имена доменов.

Чтобы повысить надежность шлюза штаб-квартиры предприятия, HQ1 и HQ2 создают группу VRRP, и HQ1 является ведущим. Чтобы повысить надежность канала филиала и безопасность обслуживания, ARI устанавливает IPSec VPN со штаб-квартирой, используя два канала. Коммутируемый канал связи 3G является резервным каналом.

Предъявляются следующие требования:

- Когда канал между HQ1 и AR1 выйдет из строя, группа VRRP должна обнаружить его и выполнить активное/резервное переключение. Затем HQ2 берет на себя работу, чтобы уменьшить влияние ошибок канала на пересылку услуг.

- Когда HQ1 выйдет из строя, AR1 может быстро установить туннель IPSec с HQ2 с помощью согласования для уменьшения потери трафика. Кроме того, когда HQ1 восстанавливается, трафик может быть переключен обратно.

- Когда активный канал AR1 выйдет из строя, услуги в туннеле IPSec можно быстро переключить обратно к резервному каналу, чтобы уменьшить потерю трафика. В то же время, когда активный канал восстанавливается, трафик может быть быстро переключен обратно.

2

Схема настройки

Схема настройки выглядит следующим образом:

1. Чтобы реализовать резервное копирование шлюза, настройте группу VRRP на HQ1 и HQ2. Установите приоритет HQ1 на 120 и задержку прерывания на 20 с, и настройте HQ1 как ведущий; установите приоритет HQ2 на 90 и настройте его как резервный.

2. Чтобы обеспечить быстрое VRRP переключения активный/резервный и уменьшить потерю трафика, свяжите VRRP с NQA, чтобы контролировать возможность подключения активного канала штаб-квартиры. Когда NQA обнаруживает проблемы, потоки данных могут переключаться от HQ1 до HQ2.

3. Чтобы обеспечить безопасную связь между филиалом и штаб-квартирой, настройте IPSec на HQ1, HQ2 и AR1.

4. Чтобы обеспечить быстрое переключение между филиалом и HQ1/HQ2 и уменьшить потерю обслуживания, свяжите IPSec с NQA на AR1, чтобы проверить,

действителен ли адрес однорангового узла, и обеспечить быстрый переход трафика на другой шлюз штаб-квартиры, когда один шлюз штаб-квартиры выходит из строя. Кроме того, вы также можете настроить реверсивное переключение одноранговых узлов, чтобы обеспечить обратное переключение трафика при

восстановлении первоначального шлюза штаб-квартиры.

5. Чтобы реализовать быстрое переключение активных и резервных каналов филиала и уменьшить потерю обслуживания, свяжите IPSec с NQA на AR1 для

мониторинга возможность подключения туннеля IPSec в режиме реального времени и убедитесь, что трафик можно быстро переключить обратно к

резервному каналу, когда активный канал филиала выходит из строя. После восстановления активного канала трафик может быть переключен обратно.

 

 

Настройки устройств и файлы конфигурации будут приведены в следующей статье. Следите за обновлениями.


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход