(!) Пример нестандартной реализации функции IPSec High Availability в аппаратных шлюзах ZyWALL

Обычно функция IPSec High Availability (называемая также VPN High Availability) используется для резервирования VPN-соединения при помощи другого WAN-интерфейса, в случае если основное VPN-соединение по какой-то причине разорвалось.
На рисунке ниже показано, что в случае разрыва основного VPN-туннеля через WAN1 будет установлен резервный VPN-туннель через интерфейс WAN2.



Но функцией High Availability можно воспользоваться не только на шлюзах, имеющих два и более WAN-интерфейса. Это бывает полезно в случае, когда используется устройство с одним WAN-интерфейсом или нет возможности подключить запасной (резервный) канал.


На рисунке ниже приведена одна из часто используемых схем:



Клиентам постоянно необходим доступ к удаленному серверу баз данных. Для этого создан туннель между ZyWALL5 и основным ZyWALL35. В случае отключения основного шлюза ZyWALL35 от сети туннель должен перестроиться на запасной ZyWALL35 и клиенты должны получить доступ к запасному серверу, на котором хранится зеркальная копия базы. Можно настроить перестройку VPN-туннеля в случае отказа сервера, но это сопряжено с некоторыми трудностями, которые будут описаны далее.


Ниже приведены настройки аппаратных шлюзов ZyWALL.


Настройки первой и второй фазы IPSec для ZyWALL5 показаны далее на скриншотах.



Обратите внимание на временной интервал проверки доступности основного шлюза.
Его значение можно установить от 180 до 86400 секунд. После установки туннеля с запасным шлюзом ZyWALL5 будет проверять доступность основного шлюза через указанное время. Если необходима проверка доступности основного ZyWALL35, то значение лучше установить небольшое, чтобы ZyWALL5 как можно чаще проверял его доступность.
Если есть необходимость проверять доступность самого сервера, то лучше указывать максимальное значение. Это связано с тем, что после перестройки туннеля на запасной шлюз ZyWALL5 через 86400 секунд будет пытаться установить связь с основным; так как сам шлюз будет доступен, то туннель установится. Затем будет проверяться доступность сервера, что займет некоторое время (около минуты), и, если он не будет отвечать, ZyWALL5 перестроит туннель на запасной шлюз. Соответственно, в это время у клиентов не будет доступа к серверу.



На второй фазе необходимо включить Nailed-Up (постоянное инициирование туннеля) и Check IPSec Tunnel Connectivity (проверка работоспособности туннеля).
В качестве адреса для проверки укажите LAN IP-адрес основного ZyWALL35 (он должен совпадать с запасным). Для случая проверки доступности сервера укажите IP-адрес сервера (для обоих серверов он должен быть одинаковым). Локальная подсеть основного ZyWALL35 также должна совпадать с запасным.

Настройки основного ZyWALL35.



Указываете внешние адреса шлюзов и протоколы/алгоритмы безопасности передачи данных, которые должны совпадать на всех устройствах.



Очень важно, чтобы со стороны основного и запасного шлюза не инициировалось создание туннеля. Для этого необходимо отключить Nailed-Up и Allow NetBIOS broadcast Traffic Through IPSec Tunnel. Сервера также не должны самостоятельно отправлять трафик в подсеть ZyWALL5, только при запросах клиентов.
В качестве адреса для проверки работоспособности туннеля укажите LAN IP-адрес ZyWALL5.

Настройки запасного ZW35.




Напоминаем, что настройки протоколов/алгоритмов безопасности передачи данных на первой фазе и остальные настройки на второй фазе должны совпадать у обоих ZyWALL35, так же как и LAN IP-адрес.

По логам можно отследить работу функции High Availability.



Туннель между ZyWALL5 и основным ZyWALL35 установился, и проверяется его работоспособность путем отправки эхо-запросов на LAN IP-адрес ZyWALL35.



После трех безответных эхо-запросов туннель разрывается, и ZyWALL5 пытается установить связь с запасным ZyWALL35.



ZyWALL5 посылает запрос к запасному ZyWALL35, и туннель успешно поднимается.



Через указанное время ZyWALL5 проверят доступность основного шлюза. Если он доступен, появляется сообщение Rule [] ready to fall back. И туннель перестраивается обратно на основной шлюз.


KB-2076

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0