Пример настройки балансировки IPSec VPN туннелей в устройствах серии ZyWALL/USG

В устройствах серии ZyWALL/USG, начиная с микропрограммы версии 4.20, появилась возможность использования виртуальных туннельных интерфейсов (VTI).

Микропрограмма версии 4.20 на момент написания статьи доступна для следующих устройств: ZyWALL 110/310/1100, USG20(W)-VPN, USG 40(W)/60(W)/1900.

VTI позволяют создавать интерфейсы для IPSec туннелей, что даёт более гибкие возможности для их использования, в частности, с помощью VTI можно настроить балансировку или резервирование между IPSec VPN, построенными на разных WAN-интерфейсах.

В примере будет использована следующая схема:

scheme.png

Головной офис (HQ) с локальной сеть 192.168.1.1/24 и WAN-интерфейсами 10.251.31.114\10.251.31.167 связан двумя VPN туннелями с филиалом (BO), у которого используется локальная сеть 192.168.11.1/24 и WAN-интерфейсы 10.251.31.21\10.251.31.107. Для виртуальных туннельных интерфейсов vti1\vti2 задействованы адреса 10.10.10.10\10.10.11.10 и 10.10.10.20\10.10.11.20 соответственно.

Настройка USG1 в головном офисе

В меню CONFIGURATION > VPN > IPSec VPN > VPN Gateway создайте первую фазу IPSec туннеля между первыми WAN-интерфейсами (HQ1):

vpn_gate_1.png

и аналогично для вторых WAN-интерфейсов (HQ2):

vpn_gate_2.png

В меню CONFIGURATION > VPN > IPSec VPN > VPN Connection добавьте вторую фазу IPSec туннеля для HQ1, указав сценарий использования VPN Tunnel Interface:

vpn_con_1.png

и аналогично для HQ2:

vpn_con_2.png

В меню CONFIGURATION > Network > Interface > VTI создайте виртуальный туннельный интерфейс (vti1) для туннеля HQ1:

vti1_1.png

и укажите в разделе Connectivity Check адрес интерфейса vti1, настроенного на USG2:

con_check_1.1.png

Аналогично создайте виртуальный туннельный интерфейс (vti2) для туннеля HQ2:

vti2_1.png

и укажите в разделе Connectivity Check адрес интерфейса vti2, настроенного на USG2:

con_check_2.1.png

Создайте в меню CONFIGURATION > Network > Interface > Trunk > User Configuration новый транк (HQ_vti_trunk) и добавьте в него оба виртуальных интерфейса в режиме Active:

trunk_1.png

В меню CONFIGURATION > Network > Routing > Policy Route добавьте маршрут к локальной сети филиала через созданный ранее транк:

route_1.png

Настройка USG2 в филиале

В меню CONFIGURATION > VPN > IPSec VPN > VPN Gateway создайте первую фазу IPSec туннеля между первыми WAN-интерфейсами (BO1):

vpn_gate_1_2.png

и аналогично для вторых WAN-интерфейсов (BO2):

vpn_gate_2_2.png

В меню CONFIGURATION > VPN > IPSec VPN > VPN Connection добавьте вторую фазу IPSec туннеля для BO1, указав сценарий использования Vpn Tunnel Interface:

vpn_con_1_2.png

и аналогично для BO2:

vpn_con_2_2.png

В меню CONFIGURATION > Network > Interface > VTI создайте виртуальный туннельный интерфейс (vti1) для туннеля BO1:

vti1_2.png

и укажите в разделе Connectivity Check адрес интерфейса vti1, настроенного на USG2:

con_check_1.2.png

Аналогично создайте виртуальный туннельный интерфейс (vti2) для туннеля BO2:

vti2_2.png

и укажите в разделе Connectivity Check адрес интерфейса vti2, настроенного на USG2:

con_check_2.2.png

Создайте в меню CONFIGURATION > Network > Interface > Trunk > User Configuration новый транк (BO_vti_trunk) и добавьте в него оба виртуальных интерфейса в режиме Active:

trunk_2.png

В меню CONFIGURATION > Network > Routing > Policy Route добавьте маршрут к локальной сети головного офиса через созданный ранее транк:

route_2.png

Запустите оба IPSec туннеля в меню CONFIGURATION > VPN > IPSec VPN > VPN Connection, нажав кнопку Connect:

vpn_connect.png

Если все настройки выполнены верно, то виртуальные туннельные интерфейсы на обоих устройствах также станут активными:

vti_connect.pngvti_connect_2.png

Таким образом, будет настроена балансировка между IPSec-туннелями, построенными на разных WAN-интерфейсах обоих шлюзов.


KB-5214

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев