Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 12 Nächste Version anzeigen »


Description:

Wenn durch ARF-Tags getrennte Netzwerke über eine VPN-Verbindung voneinander getrennt übertragen werden sollen, musste bisher jedes Netzwerk in einem einzelnen PPTP-, L2TP oder separaten VPN-Tunnel übertragen werden. Dies führte bei einer großen Anzahl von Filialen und ARF-Netzen zu einem hohen Overhead.

Mit der neuen Funktion HSVPN (High Scalability VPN) können die ARF-Tags der Netzwerke in Form von Routing-Tags in einer VPN-Verbindung hinterlegt werden. Die Pakete werden innerhalb des VPN-Tunnels mit den ARF-Tags markiert und ohne Overhead übertragen.

Wichtig:
Multicast-Routing über HSVPN wird nicht unterstützt. Es muss ein separater VPN-Tunnel für Multicast erstellt werden.

OSPF kann bei Verwendung von HSVPN nicht verwendet werden.

Es können nur Netzwerke kommunizieren, sofern diesen das gleiche ARF-Tag zugewiesen wurde.


Voraussetzungen:


Scenario:

Zwei Filialen (Branch Office 1 und Branch Office 2) bauen jeweils eine VPN-Verbindung zur Headquarter auf.

Folgende Netzwerke sind auf den Routern vorhanden:

  • Headquarter
    • INTRANET: 172.23.56.0/24, ARF-Tag 1
    • VOIP: 172.23.57.0/24, ARF-Tag 2
    • SERVER: 172.23.58.0/24, ARF-Tag 3
    • ADMINISTRATION: 172.23.59.0/24, ARF-Tag 4

  • Branch Office 1:
    • INTRANET: 192.168.1.0/24, ARF-Tag 1
    • VOIP: 192.168.2.0/24, ARF-Tag 2
    • SERVER: 192.168.3.0/24, ARF-Tag 3

  • Branch Office 2:
    • INTRANET: 192.168.4.0/24, ARF-Tag 1
    • VOIP: 192.168.5.0/24, ARF-Tag 2
    • ADMINISTRATION: 192.168.6.0/24, ARF-Tag 4


Vorgehensweise:

1. Konfiguration der Headquarter:

1.1 Einrichten der VPN-Verbindung:

1.1.1 Richten Sie die IKEv2 VPN-Verbindungen für die Filiale 1 und Filiale 2 über den Setup-Assistenten ein.

Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, welche Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet diese VPN-Regel automatisch ein.


1.2 Ergänzen der Routing-Tabelle:

Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

1.2.1 Öffnen Sie die Konfiguration des Routers Headquarter in LANconfig und wechseln in das Menü IP Router → Routing → IPv4 routing table.

1.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung BRANCH-OFFICE1 und klicken auf Edit.

1.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF Tag (in diesem Beispiel das Tag 1).

1.2.4 Markieren Sie den in Schritt 1.2.3 angepassten Routing-Eintrag und klicken auf Copy.

1.2.5 Passen Sie folgende Parameter an:

  • IP adress: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Branch Office 1, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VOIP).
  • Netmask: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 2).

1.2.6 Markieren Sie den in Schritt 1.2.5 angepassten Routing-Eintrag und klicken auf Copy.

1.2.7 Passen Sie folgende Parameter an:

  • IP adress: Hinterlegen Sie die Netzadresse des dritten Netzwerks in der Branch Offiice 1, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk SERVER).
  • Netmask: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 3).

1.2.8 Wiederholen Sie die Schritte 1.2.2 - 1.2.7 für die VPN-Verbindung BRANCH-OFFICE2.

1.2.9 Die IPv4 routing table muss anschließend wie folgt aussehen.


1.3 Einrichten und Zuweisen des HSVPN-Profils:

1.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Extended settings.

1.3.2 Wechseln Sie in das Menü HSVPN profiles.

1.3.3 Erstellen Sie ein neues Profil für die VPN-Verbindung BRANCH-OFFICE1 und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung BRANCH-OFFICE1 übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

1.3.4 Erstellen Sie ein neues Profil für die VPN-Verbindung BRANCH-OFFICE2 und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung BRANCH-OFFICE2 übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

1.3.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Connection list.

1.3.6 Markieren Sie die VPN-Verbindung BRANCH-OFFICE1 und klicken auf Edit.

1.3.7 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 1.3.3 erstellte HSVPN profile für die BRANCH-OFFICE1 aus.

1.3.8 Markieren Sie die VPN-Verbindung BRANCH-OFFICE2 und klicken auf Edit.

1.3.9 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 1.3.4 erstellte HSVPN profile für die BRANCH-OFFICE2 aus.

1.3.10 Die Konfiguration der Headquarter ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



2. Konfiguration der Branch Office 1:

2.1 Einrichten der VPN-Verbindung:

2.1.1 Richten Sie die IKEv2 VPN-Verbindung zur Zentrale über den Setup-Assistenten ein.

Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet eine solche VPN-Regel automatisch ein.


2.2. Ergänzen der Routing-Tabelle:

Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

2.2.1 Öffnen Sie die Konfiguration des Routers Branch Office 1 in LANconfig und wechseln in das Menü IP Router → Routing → IPv4 routing table.

2.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung HEADQUARTER und klicken auf Edit.

2.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF Tag (in diesem Beispiel das Tag 1).

2.2.4 Markieren Sie den in Schritt 2.2.3 angepassten Routing-Eintrag und klicken auf Copy.

2.2.5 Passen Sie folgende Parameter an:

  • IP adress: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VOIP).
  • Netmask: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 2).

2.2.6 Markieren Sie den in Schritt 2.2.5 angepassten Routing-Eintrag und klicken auf Copy.

2.2.7 Passen Sie folgende Parameter an:

  • IP adress: Hinterlegen Sie die Netzadresse des dritten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk SERVER).
  • Netmask: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 3).

2.2.8 Die IPv4 routing table muss anschließend wie folgt aussehen.


2.3 Einrichten und Zuweisen des HSVPN-Profils:

2.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Extended settings.

2.3.2 Wechseln Sie in das Menü HSVPN profiles.

2.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung HEADQUARTER übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

2.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Connection list.

2.3.5 Markieren Sie die VPN-Verbindung HEADQUARTER und klicken auf Edit.

2.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 2.3.3 erstellte HSVPN profile aus.

2.3.7 Die Konfiguration der Branch Office 1 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



3. Konfiguration der Branch Office 2:

3.1. Einrichten der VPN-Verbindung:

3.1.1 Richten Sie die IKEv2 VPN-Verbindung zur Zentrale über den Setup-Assistenten ein.

Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN-Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet eine solche VPN-Regel automatisch ein.


3.2. Ergänzen der Routing-Tabelle:

Da bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

3.2.1 Öffnen Sie die Konfiguration des Routers Branch Office 2 in LANconfig und wechseln in das Menü IP Router → Routing → IPv4 routing table.

3.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung HEADQUARTER und klicken auf Edit.

3.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF Tag (hier die 1).

3.2.4 Markieren Sie den in Schritt 3.2.3 angepassten Routing-Eintrag und klicken auf Copy.

3.2.5 Passen Sie folgende Parameter an:

  • IP adress: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk VOIP).
  • Netmask: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 2).

3.2.6 Markieren Sie den in Schritt 3.2.5 angepassten Routing-Eintrag und klicken auf Copy.

3.2.7 Passen Sie folgende Parameter an:

  • IP adress: Hinterlegen Sie die Netzadresse des vierten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk ADMINISTRATION).
  • Netmask: Passen Sie gegebenenfalls die Netzmaske an.
  • Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag 4).

3.2.8 Die IPv4 routing table muss anschließend wie folgt aussehen.


3.3 Einrichten und Zuweisen des HSVPN-Profils:

3.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Extended settings.

3.3.2 Wechseln Sie in das Menü HSVPN profiles.

3.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung HEADQUARTER übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden.

3.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Connection list.

3.3.5 Markieren Sie die VPN-Verbindung HEADQUARTER und klicken auf Edit.

3.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 3.3.3 erstellte HSVPN-Profil aus.

3.3.7 Die Konfiguration der Branch Office 2 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



  • Keine Stichwörter

All LANCOM products and software versions are subject to LANCOM Software Lifecycle Management.
You can find information on our website at https://www.lancom-systems.com/products/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH