Beschreibung: Das Dokument beschreibt, wie VPN Verbindungen in einer Zentrale redundant von mehreren Aussenstellen angenommen werden können. Voraussetzungen: Szenario:
Mehrere Außenstellen (z.B. LANCOM 178x) sollen auf 2 VPN-Gateways (z.B. LANCOM 9100+) redundant verteilt werden, z.B. insgesamt 10 VPN-Tunnel verteilt auf 2 LANCOM 9100+ (jeweils 5 Tunnel). Desweiteren soll ein Ausfall der Hardware- bzw. der Internetverbindung abgefangen werden. Dieses Szenario kann mit Hilfe des VRRP (Virtual Router Redundancy Protocol) und RIP (Routing Information Protocol) umgesetzt werden.
Normalbetrieb: Backup-Fall: Vorgehensweise: 1. Auf beiden LANCOMs in der Zentrale werden alle VPN Verbindungen entsprechend eingerichtet. In der VPN Konfiguration der Aussenstellen (VPN → Allgemein → VPN-Verbindungsliste) tragen Sie das entsprechende VPN Gateway ein, was im Normalbetrieb angesprochen werden soll. Das alternativ VPN Gateway tragen Sie im LANconfig → VPN → Allgemein → Weitere entfernte Gateways... zu der entsprechenden VPN Verbindung ein. 2. Anschliessend konfigurieren Sie auf beiden LANCOMs in der Zentrale das VRRP. (IP-Router → VRRP) zwei virtuelle Router. Dort aktivieren Sie zunächst den Haken VRRP aktiviert und Interne Dienste unter der virtuellen IP anbieten. 3. Nun legen Sie unter dem Button VRRP-Liste… die gewünschten VRRP-Router an. Die hier gewählten IP-Adressen 192.168.1.100 und 192.168.1.200 sind durch freie IP-Adressen Ihres Netzwerkes zu ersetzen. Bitte beachten Sie hier, dass der zweite Lancom Router die Einträge (Haupt-Priorität) entsprechend umgekehrt eingetragen haben muss. 4. Um nun eine Kommunikation der VRRP-Router untereinander mit RIP zu ermöglichen, schalten Sie bitte noch unter Routing Protokolle → RIP → RIP-Netzwerke für das verwendete Netzwerk die Option RIP- Unterstützung auf RIP-2. 5. Um eine Kommunikation per RIP zu ermöglichen, müssen nun in der Routing-Tabelle der beiden LANCOMs die entsprechenden Routen zu den Aussenstellen konfiguriert werden. In unserem Fall übernimmt der erste VRRP-Router im Normalbetrieb die Route zu der Aussenstelle1 und der zweite die Verbindung zu der Aussenstelle 2. Konfigurieren Sie die Routing-Regeln so, wie diese in den nachfolgenden Abbildungen dargestellt sind: Routing-Regel für Aussenstelle 1:
Routing-Regel für Aussenstelle 2: Die Routing-Tabelle muss dann folgende Einträge enthalten: 6. Aktivieren Sie hierzu auf beiden Geräten den DHCP-Server unter IPv4 → DHCPv4 → DHCP-Netzwerke. Damit es zu keiner Doppelvergabe kommt ist es zwingend notwendig, dass Sie den Haken bei DHCP-Cluster setzen. |