Beschreibung:
Sollten durch ARF-Tags getrennte Netzwerke über eine VPN-Verbindung voneinander getrennt übertragen werden, musste jedes Netzwerk in einem einzelnen PPTP-, L2TP oder separaten VPN-Tunnel übertragen werden. Dies führte bei einer großen Anzahl von Filialen und ARF-Netzen zu einem hohen Overhead.
Mit der Funktion HSVPN (High Scalability VPN) können die ARF-Tags der Netzwerke in Form von Routing-Tags in einer VPN-Verbindung hinterlegt werden. Die Pakete werden innerhalb des VPN-Tunnels mit den ARF-Tags markiert und ohne Overhead übertragen.
Wichtig:
Multicast-Routing über HSVPN wird nicht unterstützt. Es muss ein separater VPN-Tunnel für Multicast erstellt werden.
OSPF kann bei Verwendung von HSVPN nicht verwendet werden.
Es können nur Netzwerke kommunizieren, sofern diesen das gleiche ARF-Tag zugewiesen wurde.
Voraussetzungen:
- LCOS ab Version 10.40 (download aktuelle Version)
- LANtools ab Version 10.40 (download aktuelle Version)
Szenario:
Zwei Filialen (Filiale1 und Filiale2) bauen jeweils eine VPN-Verbindung zu einer Zentrale auf.
Folgende Netzwerke sind auf den Routern vorhanden:
- Zentrale:
- INTRANET: 172.23.56.0/24, ARF-Tag 1
- VOIP: 172.23.57.0/24, ARF-Tag 2
- SERVER: 172.23.58.0/24, ARF-Tag 3
- VERWALTUNG: 172.23.59.0/24, ARF-Tag 4
- Filiale1:
- INTRANET: 192.168.1.0/24, ARF-Tag 1
- VOIP: 192.168.2.0/24, ARF-Tag 2
- SERVER: 192.168.3.0/24, ARF-Tag 3
- Filiale2:
- INTRANET: 192.168.4.0/24, ARF-Tag 1
- VOIP: 192.168.5.0/24, ARF-Tag 2
- VERWALTUNG: 192.168.6.0/24, ARF-Tag 4
Netzwerke mit dem gleichen ARF-Tag dürfen miteinander kommunizieren.
Vorgehensweise:
1. Konfiguration der Zentrale:
1.1 Einrichten der VPN-Verbindungen:
1.1.1 Richten Sie die IKEv2 VPN-Verbindung über den Setup-Assistenten ein.
Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt.
1.2 Ergänzen der Routing-Tabelle:
Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.
1.2.1 Öffnen Sie die Konfiguration des Routers Zentrale und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
1.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung FILIALE1 und klicken auf Bearbeiten.
1.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF-Tag (hier die 1).
1.2.4 Markieren Sie den in Schritt 1.2.3 angepassten Routing-Eintrag und klicken auf Kopieren.
1.2.5 Passen Sie folgende Parameter an:
- IP-Adresse: Hinterlegen Sie das zweite Netzwerk, welches sich in Filiale1 befindet.
- Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
- Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (hier die 2).
1.2.6 Markieren Sie den in Schritt 1.2.5 angepassten Routing-Eintrag und klicken auf Kopieren.
1.2.7 Passen Sie folgende Parameter an:
- IP-Adresse: Hinterlegen Sie das dritte Netzwerk, welches sich in Filiale1 befindet.
- Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
- Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (hier die 3).
1.2.8 Wiederholen Sie die Schritte 1.2.2 - 1.2.7 für die VPN-Verbindung FILIALE2.
1.2.9 Die IPv4-Routing-Tabelle muss anschließend wie folgt aussehen.
1.3 Einrichten und Zuweisen des HSVPN-Profils:
1.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
1.3.2 Wechseln Sie in das Menü HSVPN-Profile.
1.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, die in der Filiale1 verwendet werden. Mehrere ARF-Tags können durch ein Komma getrennt werden.
1.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.
1.3.5 Markieren Sie die VPN-Verbindung FILIALE1 und klicken auf Bearbeiten.
1.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 3.3 erstellte HSVPN-Profil aus.
1.3.7 Wiederholen Sie die Schritte 3.1 - 3.6 für die VPN-Verbindung FILIALE2.
1.3.8 Die Konfiguration der Zentrale ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
2. Konfiguration der Filiale1:
2.1 Einrichten der VPN-Verbindungen:
2.1.1 Richten Sie die IKEv2 VPN-Verbindung über den Setup-Assistenten ein.
Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt.
2.2. Ergänzen der Routing-Tabelle:
Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.
2.2.1 Öffnen Sie die Konfiguration des Routers Filiale1 und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.
2.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF-Tag (hier die 1).
2.2.4 Markieren Sie den in Schritt 2.2.3 angepassten Routing-Eintrag und klicken auf Kopieren.
2.2.5 Passen Sie folgende Parameter an:
- IP-Adresse: Hinterlegen Sie das zweite Netzwerk, welches sich in der Zentrale befindet.
- Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
- Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (hier die 2).
2.2.6 Markieren Sie den in Schritt 2.2.5 angepassten Routing-Eintrag und klicken auf Kopieren.
2.2.7 Passen Sie folgende Parameter an:
- IP-Adresse: Hinterlegen Sie das dritte Netzwerk, welches sich der Zentrale befindet.
- Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
- Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (hier die 3).
2.2.8 Die IPv4-Routing-Tabelle muss anschließend wie folgt aussehen.
2.3 Einrichten und Zuweisen des HSVPN-Profils:
2.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
2.3.2 Wechseln Sie in das Menü HSVPN-Profile.
2.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, die in der Filiale1 verwendet werden. Mehrere ARF-Tags können durch ein Komma getrennt werden.
2.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.
2.3.5 Markieren Sie die VPN-Verbindung FILIALE1 und klicken auf Bearbeiten.
2.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 2.3.3 erstellte HSVPN-Profil aus.
2.3.7 Die Konfiguration der Filiale1 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
3. Konfiguration der Filiale2:
3.1. Einrichten der VPN-Verbindung:
3.1.1 Richten Sie die IKEv2 VPN-Verbindung über den Setup-Assistenten ein.
Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt.
3.2. Ergänzen der Routing-Tabelle:
Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.
3.2.1 Öffnen Sie die Konfiguration des Routers Filiale2 und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
3.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.
3.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF-Tag (hier die 1).
3.2.4 Markieren Sie den in Schritt 3.2.3 angepassten Routing-Eintrag und klicken auf Kopieren.
3.2.5 Passen Sie folgende Parameter an:
- IP-Adresse: Hinterlegen Sie das zweite Netzwerk, welches sich in der Zentrale befindet.
- Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
- Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (hier die 2).
3.2.6 Markieren Sie den in Schritt 3.2.5 angepassten Routing-Eintrag und klicken auf Kopieren.
3.2.7 Passen Sie folgende Parameter an:
- IP-Adresse: Hinterlegen Sie das vierte Netzwerk, welches sich der Zentrale befindet.
- Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
- Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (hier die 4).
3.2.8 Die IPv4-Routing-Tabelle muss anschließend wie folgt aussehen.
3.3 Einrichten und Zuweisen des HSVPN-Profils:
3.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
3.3.2 Wechseln Sie in das Menü HSVPN-Profile.
3.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, die in der Filiale1 verwendet werden. Mehrere ARF-Tags können durch ein Komma getrennt werden.
3.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.
3.3.5 Markieren Sie die VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.
3.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 3.3.3 erstellte HSVPN-Profil aus.
3.3.7 Die Konfiguration der Filiale2 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.