先前介紹過如何在兩台 Fortigate 防火牆在多 WAN 環境下建立有負載平衡與備援的 IPSec Site to Site VPN,其實 ZyXEL 防火牆也有類似的 VPN 負載平衡功能,能夠在多 WAN 的環境下,藉由多條 IPSec Site to Site VPN 來達成負載平衡與線路備援的效果,提供策略路由、靜態路由、Trunk 和 BWM 頻寬管理等各種介面功能,達到更穩定與更高速的的 VPN 環境,本文示範兩台 ZyXEL 防火牆在多 WAN 環境下建立有負載平衡與備援的 VTI IPSec Site to Site VPN ( 點對點 VPN )。
VTI 全稱是 VPN Tunnel Interface,一般防火牆之間建立 IPSec Site to Site VPN 的架構如下圖一,但是如過其中一個點有兩條 WAN 則可以透過 VTI 建立如下圖二的連線,如果兩個站點間各有兩條 WAN,則可以建立下圖三或下圖四的兩種有負載平衡與備援的 IPSec Site to Site VPN,達到圖三的設定,就能確保任一點發生其中一條斷線時仍能夠確保 VPN 存活,如果是圖四的設定,則可以允許兩個點都允許任意一條 WAN 同時發生斷線,提供更加安全的 VPN 連線。
ZyXEL 防火牆的 VTI 的路由規則需要由策略路由功能進行設定,而以前的 IPSec VPN 則是在建置設定後,就會自動產生路由,這部分是設定上的最大差異。
環境:
[站點A] ZyXEL ATP700,韌體 v5.36(ABTJ.2)C0。
[站點B] ZyXEL ATP800,韌體 v5.36(ABIQ.2)C0。
[站點A-Step1] 新增 VPN 閘道器,[Configuration] > [VPN] > [ IPSec VPN] > [VPN 閘道器] > [+新增]。
[站點A-Step2] 設定 VPN 閘道器,勾選啟用,填入 [VPN 閘道器名稱]、[我的位址-介面]、[對等閘道位址-靜態位址]、[預先共用金鑰],其餘部分依需求填入或變更。
[站點A-Step3] 新增 VPN 連線,[Configuration] > [VPN] > [ IPSec VPN] > [VPN 連線] > [+新增]。
[站點A-Step4] 設定 VPN 連線,勾選"啟用"與進階設定中的"固定",填入 [連線名稱],VPN 閘道器應用情境選擇 [VPN 通道介面],VPN 閘道器選擇 [站點A-Step2] 所新增的閘道器,其餘部分依需求填入或變更。
[站點A-Step5] 新增 VPN 通道介面 (VTI),[Configuration] > [網路] > [介面] > [VPN 通道介面] > [+新增]。
[站點A-Step6] 設定 VPN 通道介面,勾選"啟用",填入 [介面名稱],VPN-rule 選擇 [站點A-Step4] 所新增的 VPN 連線,IP 位址與子網路遮罩填入不存在網路內部的任意值,但需要與之後設定站點B的同一段子網路,其餘部分依需求填入或變更。
[站點A-Step7] 新增線路負載平衡策略,[Configuration] > [網路] > [介面] > [線路負載平衡] > [+新增]。
[站點A-Step8] 設定 Trunk 負載平衡策略,填入 [名稱],選擇負載平衡演算法、負載平衡索引,再點選 [+新增],加入 [站點A-Step6] 設定的 VPN 通道介面。
接下來設定站點 B。
[站點B-Step1] 新增 VPN 閘道器,[Configuration] > [VPN] > [ IPSec VPN] > [VPN 閘道器] > [+新增]。
[站點B-Step2] 設定 VPN 閘道器,勾選啟用,填入 [VPN 閘道器名稱]、[我的位址-介面]、[對等閘道位址-靜態位址]、[預先共用金鑰],其餘部分依需求填入或變更。
[站點B-Step3] 新增 VPN 連線,[Configuration] > [VPN] > [ IPSec VPN] > [VPN 連線] > [+新增]。
[站點B-Step4] 設定 VPN 連線,勾選"啟用"與進階設定中的"固定",填入 [連線名稱],VPN 閘道器應用情境選擇 [VPN 通道介面],VPN 閘道器選擇 [站點B-Step2] 所新增的閘道器,其餘部分依需求填入或變更。
[站點B-Step5] 新增 VPN 通道介面 (VTI),[Configuration] > [網路] > [介面] > [VPN 通道介面] > [+新增]。
[站點B-Step6] 設定 VPN 通道介面,勾選"啟用",填入 [介面名稱],VPN-rule 選擇 [站點B-Step4] 所新增的 VPN 連線,IP 位址與子網路遮罩填入不存在網路內部的任意值,但需要與之前設定站點 A 的同一段子網路,其餘部分依需求填入或變更。
[站點B-Step7] 新增線路負載平衡策略,[Configuration] > [網路] > [介面] > [線路負載平衡] > [+新增]。
[站點B-Step8] 設定 Trunk 負載平衡策略,填入 [名稱],選擇負載平衡演算法、負載平衡索引,再點選 [+新增],加入 [站點B-Step6] 設定的 VPN 通道介面。
[站點B-Step9] 檢查 VPN 連線狀態,[Configuration] > [VPN] > [ IPSec VPN] > [VPN 連線],確認新建的 VPN 通道是否已完成連線。
設定策略路由:(站點 A)
[站點A-Step9] 新增策略路由,[Configuration] > [網路] > [路由] > [策略路由] > [+新增]。
[站點A-Step10] 設定策略路由,勾選"啟用",填入來源位址、目的位址,下個躍點類型選擇 "Trunk",線路負載平衡策略選擇 [站點A-Step8] 設定的 Trunk 負載平衡策略,來源網路位址轉譯選擇"none",其餘部分依需求填入或變更。
設定策略路由:(站點 B)
[站點B-Step10] 新增策略路由,[Configuration] > [網路] > [路由] > [策略路由] > [+新增]。
[站點B-Step11] 設定策略路由,勾選"啟用",填入來源位址、目的位址,下個躍點類型選擇 "Trunk",線路負載平衡策略選擇 [站點B-Step8] 設定的 Trunk 負載平衡策略,來源網路位址轉譯選擇"none",其餘部分依需求填入或變更。
驗證連線:
確認連線是否已有流量,[Monitor] > [VPN 監視] > [IPSec],確認 IPSec VPN 連線的"內送"與"外送"是否已產生流量。
PING 對方網路內的設備是否會產生回應。
驗證全部成功,接下來只要在站點 A 重複 Step1 至 Step8 的步驟,以及站點 B 重複 Step1 至 Step8 的步驟,就可以將第二條 WAN 的 IPSec Site to Site VPN 通道加入 VTI 的負載平衡策略中,設定完成後就能夠達到負載平衡與線路備援的效果。
沒有留言:
張貼留言