Beschreibung:

Wenn durch ARF-Tags getrennte Netzwerke über eine VPN-Verbindung voneinander getrennt übertragen werden sollen, musste bisher jedes Netzwerk in einem einzelnen PPTP-, L2TP oder separaten VPN-Tunnel übertragen werden. Dies führte bei einer großen Anzahl von Filialen und ARF-Netzen zu einem hohen Overhead.

Mit der neuen Funktion HSVPN (High Scalability VPN) können die ARF-Tags der Netzwerke in Form von Routing-Tags in einer VPN-Verbindung hinterlegt werden. Die Pakete werden innerhalb des VPN-Tunnels mit den ARF-Tags markiert und ohne Overhead übertragen.

Wichtig:

  • Multicast-Routing über HSVPN wird nicht unterstützt. Es muss ein separater VPN-Tunnel für Multicast erstellt werden.
  • OSPF kann bei Verwendung von HSVPN nicht verwendet werden.
  • Es können nur Netzwerke kommunizieren, sofern diesen das gleiche ARF-Tag zugewiesen wurde.



Voraussetzungen:


Szenario:

Zwei Filialen (Filiale1 und Filiale2) bauen jeweils eine VPN-Verbindung zur Zentrale auf.

Folgende Netzwerke sind auf den Routern vorhanden:

  • Zentrale
    • INTRANET: 172.23.56.0/24, ARF-Tag 1
    • VOIP: 172.23.57.0/24, ARF-Tag 2
    • SERVER: 172.23.58.0/24, ARF-Tag 3
    • VERWALTUNG: 172.23.59.0/24, ARF-Tag 4

  • Filiale 1:
    • INTRANET: 192.168.1.0/24, ARF-Tag 1
    • VOIP: 192.168.2.0/24, ARF-Tag 2
    • SERVER: 192.168.3.0/24, ARF-Tag 3

  • Filiale 2:
    • INTRANET: 192.168.4.0/24, ARF-Tag 1
    • VOIP: 192.168.5.0/24, ARF-Tag 2
    • VERWALTUNG: 192.168.6.0/24, ARF-Tag 4


Vorgehensweise:

1. Konfiguration der Zentrale:

1.1 Einrichten der VPN-Verbindung:

1.1.1 Richten Sie die IKEv2 VPN-Verbindungen für die Filiale 1 und Filiale 2 über den Setup-Assistenten ein .

Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, welche Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet diese VPN-Regel automatisch ein.

1.2 Ergänzen der Routing-Tabelle:

Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

1.2.1 Öffnen Sie die Konfiguration des Routers Zentrale in LANconfig und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

1.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung FILIALE1 und klicken auf Bearbeiten.

1.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF-Tag (in diesem Beispiel das Tag 1).

1.2.4 Markieren Sie den in Schritt 1.2.3 angepassten Routing-Eintrag und klicken auf Kopieren.

1.2.5 Passen Sie folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Filiale 1, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VOIP).
  • Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 2).

1.2.6 Markieren Sie den in Schritt 1.2.5 angepassten Routing-Eintrag und klicken auf Kopieren.

1.2.7 Passen Sie folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die Netzadresse des   dritten Netzwerks in der Filiale 1 , zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk SERVER).
  • Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 3).

1.2.8 Wiederholen Sie die Schritte 1.2.2 - 1.2.7 für die VPN-Verbindung FILIALE2.

1.2.9 Die IPv4-Routing-Tabelle muss anschließend wie folgt aussehen.


1.3 Einrichten und Zuweisen des HSVPN-Profils:

1.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

1.3.2 Wechseln Sie in das Menü HSVPN-Profile.

1.3.3 Erstellen Sie ein neues Profil für die VPN-Verbindung FILIALE1 und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, deren Netzwerke über die VPN-Verbindung FILIALE1 übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

1.3.4 Erstellen Sie ein neues Profil für die VPN-Verbindung FILIALE2 und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, deren Netzwerke über die VPN-Verbindung FILIALE2 übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

1.3.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.

1.3.6 Markieren Sie die VPN-Verbindung FILIALE1 und klicken auf Bearbeiten.

1.3.7 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 1.3.3 erstellte HSVPN-Profil für die FILIALE1 aus.

1.3.8 Markieren Sie die VPN-Verbindung FILIALE2 und klicken auf Bearbeiten.

1.3.9 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 1.3.4 erstellte HSVPN-Profil für die FILIALE2 aus.

1.3.10 Die Konfiguration der Zentrale ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



2. Konfiguration der Filiale 1:

2.1 Einrichten der VPN-Verbindung:

2.1.1 Richten Sie die IKEv2 VPN-Verbindung zur Zentrale über den Setup-Assistenten ein .

Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet eine solche VPN-Regel automatisch ein.


2.2. Ergänzen der Routing-Tabelle:

Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

2.2.1 Öffnen Sie die Konfiguration des Routers Filiale 1 in LANconfig und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

2.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.

2.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF-Tag (in diesem Beispiel das Tag 1).

2.2.4 Markieren Sie den in Schritt 2.2.3 angepassten Routing-Eintrag und klicken auf Kopieren.

2.2.5 Passen Sie folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der ZENTRALE, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VOIP).
  • Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 2).

2.2.6 Markieren Sie den in Schritt 2.2.5 angepassten Routing-Eintrag und klicken auf Kopieren.

2.2.7 Passen Sie folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die Netzadresse des dritten Netzwerks in der ZENTRALE, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk SERVER).
  • Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 3).

2.2.8 Die IPv4-Routing-Tabelle muss anschließend wie folgt aussehen.


2.3 Einrichten und Zuweisen des HSVPN-Profils:

2.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

2.3.2 Wechseln Sie in das Menü HSVPN-Profile.

2.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, deren Netzwerke über die VPN-Verbindung ZENTRALE übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

2.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.

2.3.5 Markieren Sie die VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.

2.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 2.3.3 erstellte HSVPN-Profil aus.

2.3.7 Die Konfiguration der Filiale 1 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



3. Konfiguration der Filiale 2:

3.1. Einrichten der VPN-Verbindung:

3.1.1 Richten Sie die IKEv2 VPN-Verbindung zur Zentrale über den Setup-Assistenten ein .

Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet eine solche VPN-Regel automatisch ein.


3.2. Ergänzen der Routing-Tabelle:

Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

3.2.1 Öffnen Sie die Konfiguration des Routers Filiale 2 in LANconfig und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

3.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.

3.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF-Tag (hier die 1).

3.2.4 Markieren Sie den in Schritt 3.2.3 angepassten Routing-Eintrag und klicken auf Kopieren.

3.2.5 Passen Sie folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der ZENTRALE, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VOIP).
  • Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 2).

3.2.6 Markieren Sie den in Schritt 3.2.5 angepassten Routing-Eintrag und klicken auf Kopieren.

3.2.7 Passen Sie folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die Netzadresse des vierten Netzwerks in der ZENTRALE, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VERWALTUNG).
  • Netzmaske: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing-Tag: Hinterlegen Sie das ARF-Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 4).

3.2.8 Die IPv4-Routing-Tabelle muss anschließend wie folgt aussehen.


3.3 Einrichten und Zuweisen des HSVPN-Profils:

3.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

3.3.2 Wechseln Sie in das Menü HSVPN-Profile.

3.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing-Tag-Liste: Hinterlegen Sie die ARF-Tags, deren Netzwerke über die VPN-Verbindung ZENTRALE übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

3.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.

3.3.5 Markieren Sie die VPN-Verbindung ZENTRALE und klicken auf Bearbeiten.

3.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 3.3.3 erstellte HSVPN-Profil aus.

3.3.7 Die Konfiguration der Filiale 2 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH