VPN backup - redundančno VPN povezovanje
Navidezna privatna omrežja ali VPN - Virtual Privat Networking, omogočajo podjetjem paketne prenose zaupnih podatkov preko javnega internetnega omrežja, po varni povezavi od točke do točke. Draytekovi usmerjevalniki Vigor so v zadnjih letih s svojo zanesljivo in visoko zmogljivo podporo VPN povezovanju uveljavili kot vrhunski VPN vmesniki, ki jih vsakodnevno uporablja veliko podjetji. Ker jih vedno več deluje na večih lokacijah, ki so medsebojno povezane z VPN tuneli, lahko nastanejo ob prekinitvi tunela precejšnje težave. Tu nastopi funkcionalnost Draytekovih usmerjevalnikov imenovana VPN Backup. VPN Backup poveča zanesljivost VPN povezave dveh lokacij, saj v primeru, da en VPN tunel pade, usmerjevalnik samodejno postavi drug VPN tunel. Redundančna VPN povezava se vzpostavi takoj, tako da se čas nepovezanosti zmanjša na minimum.
|
Kaj je VPN backup?
V primeru, ko imamo med dvema lokacijama, recimo centralo in podružnico podjetja, vzpostavljen en sam VPN tunel, nastopijo ob padcu tunela, ki je posledica težav na omrežju, številne težave. Potrebne so ure, včasih tudi dnevi, preden administrator vzpostavi nov VPN tunel. To ima negativen vpliv na delovanje podjetja in potencijalno visoke stroške. Z Draytekovo VPN Backup funkcionalnostjo uporabniki padca tunela sploh ne občutijo. Med lokacijama sta vzpostavljena dva tunela in ob padcu prvega se samodejno zažene drugi.
V spodnjem diagramu vidimo primer povezovanja med usmerjevalniko A in B. Običajno se usmerjevalnik A povezuje na B preko Member 1 IPsec tunel. Ob izpadu osnovne povezave se avtomatično vzpostavi redundančni Member 2 L2TP VPN tunel.
Potek nastavitve |
Nastavitev VPN Backupa poteka v štirih preprostih korakih:
1. nastavitev n različnih LAN-to-LAN Dial-out VPN profilov
2. nastavitev ter poimenovanje VPN trunka
3. izbiranje redundančnega načina (ERD)
4. zaganjanje Dial-Out VPN povezave za začtek VPN Backup procesa
1. Nastavitev LAN-to-LAN Dial Out VPN profilov
Na usmerjevalniku, kjer boste uporabljali funkcijo VPN Backup, je za uporabo VPN tunelov v VPN trunku potrebno uporabiti SAMO Dial-Out VPN profile. Dial-In VPN profili se nastavijo na
usmerjevalniku, ki je na drugi strani VPN tunela.
LAN-to-LAN Dial-Out profili se pri Draytekovih usmerjevalnikih nastavljajo v meniju „VPN and
Remote Access >> LAN to LAN“. Potrebno je paziti, da je izbran Dial-Out VPN profil in da so
VPN parametri pravilno nastavljeni. Pred uporabo VPN tunela v VPN trunku je zelo uporabno, da
preverite, če se tunel dejansko vzpostavi!
Primer nastavitve VPN tunela je prikazan na spodnji sliki.
2. Nastavitev in poimenovanje VPN trunka
VPN trunk se nastavi v meniju „VPN and Remote Access >> VPN TRUNK Management“. Tukaj
preprosto nastavite Status na Enable, trunk poimenujete, ter določite člana VPN trunka. Člana VPN
trunka sta VPN LAN-to-LAN Dial-Out profila. V primeru, da prvi VPN tunel pade, se avtomatično
vzpostavi drugi. Trenutno je možen VPN trunk s samo dvema VPN profiloma, v prihodnosti se bo
to število povečalo.
Primer nastavitve VPN trunka je prikazan na spodnji sliki.
Ko je VPN trunk nastavljen, so v meniju Connection Management VPN profili, ki so uporabljeni v
VPN trunku označeni z rdečo barvo. Primer je prikazan na spodnji sliki.
3. Izbiranje redundančnega načina (ERD – Environment Recovers Detection)
Za vsak VPN trunk lahko določimo 3 različne redundančne načine:
1. None To je privzeti način. Tukaj so prioritete vseh VPN tunelov v trunku enake. Delovanje v tem načinu
je sledeče. Če pade VPN-1, se poizkuša vzpostaviti VPN-2, če se VPN-2 ne vzpostavi se poizkuša
vzpostaviti VPN-3, …, če se ne vzpostavi VPN-n, se poizkuša vzpostaviti VPN-1 ...
2. AutoDrop Pri tem načinu ima VPN-1 najvišjo prioriteto, vsi ostali VPN tuneli v VPN trunku imajo enako
prioriteto. Tako lahko rečemo, da je VPN-1 primarni VPN, vsi ostali pa so redundančni VPN-ji.
Delovanje v tem načinu je sledeče. Če pade VPN-1 se vzpostavi drug VPN tunel – recimo, da se
vzpostavi VPN-m. Kljub temu, da je vzpostavljen VPN-m tunel, bo usmerjevalnik še vedno
periodično poizkušal vzpostaviti VPN-1. Ko se bo VPN-1 vzpostavil, se bo VPN-m tunel prekinil.
Usmerjevalnik začne preverjati, če se da ponovno vzpostaviti VPN-1, 30 sekund pred iztekom
časovne periode. VPN-1 poizkuša vzpostaviti 5 krat, enkrat na vsakih 6 sekund. Če se VPN-1 po
tem času ne vzpostavi, je še vedno aktiven VPN-m.
3. Resume Tudi pri tem načinu ima VPN-1 najvišjo prioriteto, vsi ostali VPN tuneli v VPN trunku imajo enako
prioriteto. Tudi tukaj lahko rečemo, da je VPN-1 primarni VPN, vsi ostali pa so redundančni VPNji.
Razlika med AutoDrop ter Resume načinom je v zaporedju poizkušanja vzpostavljanja VPN
tunelov. Če pade VPN-1 se vzpostavi drug VPN tunel – recimo, da se vzpostavi VPN-m. Ko pade
tudi VPN-m, usmerjevalnik ne poizkuša vpostaviti VPN-(m+1), ampak VPN-1.
Sama nastavitev redundančnega načina je v času pisanja tega članka možna samo preko telnet ukaza
„vpn Trunk backup ERD <ime trunka> <None/AutoDrop/Resume>“ . Na spodnji sliki je prikazana
nastavitev načina Resume za VPN trunk „testVPNback“.
4. Zaganjanje Dial-Out VPN povezave za začetek VPN backup procesa
Po nastavitvi VPN trunka, bi morali pod menijem „VPN and Remote Access >> Connection
Management“ videti VPN trunk pod „Backup mode“. Če ni eden od tunelov v VPN trunku že
vzpostavljen, izberite pod „Backup mode“ prvi VPN tunel v VPN trunku in kliknite na gumb
„Dial“. S tem boste vzpostavili VPN tunel in začeli VPN backup proces.
Primer delujočega VPN trunka je prikazan na spodnji sliki.
|
