(!) Пример одновременного использования функций IPSec High Availability и Traffic Redirect в аппаратных шлюзах ZyWALL 2/5/35/70

В данной статье рассмотрим пример совместного использования функций резервирования VPN-соединения (IPSec High Availability) и резервирования основного подключения (Traffic Redirect) в аппаратных шлюзах ZyWALL 2/5/35/70.

В данной статье рассмотрим пример совместного использования функций резервирования VPN-соединения (IPSec High Availability) и резервирования основного подключения (Traffic Redirect) в аппаратных шлюзах ZyWALL 2/5/35/70.


Функция IPSec High Availability (называемая также VPN High Availability) позволяет использовать резервирование VPN-соединения при помощи другого WAN-интерфейса, в случае если основное VPN-соединение по какой-то причине разорвалось. Функцией High Availability можно воспользоваться только на шлюзах, имеющих два и более WAN-интерфейса (ZyWALL 35/70/1050).
Подробную информацию о функции High Availability в аппаратных шлюзах серии ZyWALL вы найдете в следующей cтатье: KB-1612


Функция Traffic Redirect (или WAN Backup) позволяет при обрыве основного соединения перенаправлять трафик через резервный шлюз без изменения настроек компьютеров локальной сети. В качестве резервного шлюза может использоваться компьютер или маршрутизатор, находящийся в вашей локальной сети. Подробную информацию о функции Traffic Redirect в аппаратных шлюзах серии ZyWALL вы найдете в Приложении.


Итак, приведем пример, в котором рассмотрим следующую схему:



Имеются две локальные подсети 192.168.1.0/24 и 192.168.3.0/24, которые соединены через VPN-туннель (основное соединение) между собой с помощью аппаратных шлюзов ZyWALL 35 и ZyWALL 2 Plus соответственно. Необходимо обеспечить резервирование соединения между двумя подсетями.


Аппаратный шлюз ZyWALL 35 имеет два WAN-интерфейса и на нем будет включена функция IPSec High Availability для обеспечения резервирования VPN-соединения.
Аппаратный шлюз ZyWALL 2 Plus имеет только один WAN-порт и воспользоваться функцией IPSec High Availability нет возможности, но при этом можно в локальной подсети установить резервный шлюз, через который будет обеспечено построение резервного VPN-туннеля. На ZyWALL 2 Plus нужно включить функцию Traffic Redirect для обеспечения резервирования основного соединения.
В качестве резервного шлюза будем использовать аппаратный шлюз ZyWALL 2WG.


Таким образом, при разрыве VPN-туннеля (основного соединения) на WAN-порту ZyWALL 2 Plus сработает функция Traffic Redirect, которая выполнит перенаправление трафика на резервный шлюз ZyWALL 2WG. Так как произошел разрыв VPN-туннеля (основного соединения) на ZyWALL 35, то на нем сработает функция IPSec High Availability, которая через второй WAN-порт установит резервное соединение с резервным шлюзом ZyWALL 2WG, после чего ZyWALL 2 Plus сможет восстановить VPN-туннель, используя резервное соединение.


Теперь подробно рассмотрим настройки, которые необходимо выполнить на каждом аппаратном шлюзе ZyWALL для решения нашей задачи.


В нашем примере используется так называемый треугольный маршрут (Triangle Route) и резервный шлюз ZyWALL 2WG подключается к LAN-порту ZyWALL 2 Plus, поэтому во избежание проблем безопасности с помощью функции псевдонимов IP (IP Alias) локальную подсеть разделим на две логические подсети (192.168.3.0/24 и 10.0.0.0/24). При этом основной шлюз ZyWALL 2 Plus будет являться шлюзом для каждой логической локальной подсети.



ZyWALL 35


ZyWALL 2Plus


ZyWALL 2WG

WAN IP: 172.25.27.37 WAN IP: 172.25.27.22 WAN IP: 172.25.27.23
LAN IP: 192.168.1.1 LAN IP: 192.168.3.1 LAN IP: 10.0.0.3, отключен DHCP Server
  IP Alias: 10.0.0.1  

Ниже указан порядок действий по настройке аппаратных шлюзов ZyWALL.


Настройка ZyWALL 2Plus


Включите и настройте функцию Traffic Redirect, указав в качестве резервного шлюза (Backup Gateway) ZyWALL 2WG (10.0.0.3).



Создайте VPN-правило, установив в настройках My Address - 0.0.0.0, т.к. при резервировании VPN-туннеля на WAN-порту будут использоваться разные IP-адреса.



VPN > GATEWAY POLICY:



VPN > NETWORK POLICY:



Настройка ZyWALL 2WG


Установите статическую маршрутизацию (Static Route), указав Destination IP Address: 192.168.3.0, IP Subnet Mask: 255.255.255.0, Gateway IP Address: 10.0.0.1. Т.е. подсеть 192.168.3.0/24 будет доступна через шлюз 10.0.0.1.



Настройка ZyWALL 35


Создайте VPN-правило (VPN Rule), указав My Address: 172.25.27.37, Primary Remote Gateway: 172.25.27.22, Redundant Remote Gateway: 172.25.27.23.



VPN > GATEWAY POLICY:



VPN > NETWORK POLICY:



После выполнения всех настроек ZyWALL 2 Plus сможет установить VPN-туннель с ZyWALL 35 через резервное соединение, т.е. через ZyWALL 2WG.  В логах (Logs) устройства ZyWALL 2 Plus можно увидеть, что при разрыве основного соединения (через WAN-порт) будет восстановлен VPN-туннель через резервное соединение (LAN-порт).







Примечание:



Функция перенаправления трафика (Traffic Redirect)


Функция Traffic Redirect (или WAN Backup) позволяет при обрыве основного соединения перенаправлять трафик через резервный шлюз без изменения настроек компьютеров локальной сети. В качестве резервного шлюза может использоваться компьютер или маршрутизатор, находящийся в вашей локальной сети.


Пример показан на следующем рисунке.



Следующая топология сети позволяет избежать проблем безопасности при треугольном маршруте (Triangle Route), если к локальной сети подключен резервный шлюз. С помощью функции псевдонимов IP (IP Alias) локальная сеть разделяется на две или три логических сети, где основной шлюз является шлюзом для каждой логической локальной сети. Поместите защищенную локальную сеть в одну подсеть (Подсеть 1 на следующем рисунке), а резервный шлюз - в другую подсеть (Подсеть 2).


 

KB-1931

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0