Cómo configurar la conmutación por error IPsec en el enrutador Omada en modo independiente
Este artículo se aplica a: ER605 v2_2.1.0 o superior.
Escenario de aplicación del usuario
IPsec Failover proporciona redundancia para conexiones VPN IPsec. Si el enlace de Internet ISP1 falla, un enlace de Internet ISP2 de conmutación por error toma el control.
Nota : el puerto USB no se puede usar para la conexión VPN, por lo que tampoco se puede usar para la conmutación por error de IPsec.
Todo el tráfico entre las redes 192.168.0.1/24 y 192.168.10.1/24 se cifra mediante túneles VPN de sitio a sitio IPsec.
El túnel VPN a través de ISP1 es el túnel principal, si el enlace a través de ISP1 se cae, entonces el túnel VPN secundario a través de ISP2 se establecerá automáticamente y pasará el tráfico.
Una vez que el enlace ISP1 se recupere, el tráfico volverá al túnel VPN principal.
Configuración
Paso 1: Configure IPsec VPN en el enrutador 1
Nota: El enrutador 1 puede ser cualquier enrutador compatible con IPsec VPN, aquí usamos el enrutador Omada como ejemplo.
1. Vaya a VPN > IPsec > Política de IPsec > Lista de políticas de IPsec , haga clic en Agregar e ingrese los siguientes parámetros:
- Nombre de la política: prueba
- Modo: LAN a LAN
- Puerta de enlace remota: 0.0.0.0
- WAN: WAN
- Subred local: 192.168.0.1/24
- Subred remota: 192.168.10.1/24
- Clave precompartida: tplink
- Estado: Habilitar
2. Haga clic en Configuración avanzada, seleccione el Modo de negociación como Modo de respuesta y mantenga los otros parámetros de Fase 1 y Fase 2 como predeterminados.
Nota: También puede especificar los parámetros de Phase-1 y Phase-2 a su gusto, solo asegúrese de que el Modo de negociación del Router1 sea el Modo de respuesta y que los demás parámetros sean los mismos que los del Router2.
Paso 2: Configure IPsec VPN en Router2
1. Antes de configurar IPsec VPN en el Router2, debe asegurarse de que haya dos puertos WAN habilitados en el Router2 y que ambos puertos WAN estén vinculados con el ISP.
2. Vaya a VPN > IPsec > Política de IPsec > Lista de políticas de IPsec , haga clic en Agregar para crear el Túnel VPN 1 de IPsec e ingrese los siguientes parámetros:
- Nombre de la política: test_1
- Modo: LAN a LAN
- Puerta de enlace remota: 192.168.1.114
- WAN: WAN
- Subred local: 192.168.10.1/24
- Subred remota: 192.168.0.1/24
- Clave precompartida: tplink
- Estado: Habilitar
3. Haga clic en Configuración avanzada, seleccione el Modo de negociación como Modo de iniciador y especifique los demás parámetros de la Fase 1 y la Fase 2 de la misma manera que en el Router1.
4. Haga clic en Agregar para crear el Túnel IPsec VPN 2 e ingrese los siguientes parámetros:
- Nombre de la política: test_2
- Modo: LAN a LAN
- Puerta de enlace remota: 192.168.1.114
- WAN: WAN/LAN1
- Subred local: 192.168.10.1/24
- Subred remota: 192.168.0.1/24
- Clave precompartida: tplink
- Estado: Habilitar
5. Haga clic en Configuración avanzada y especifique los parámetros de la Fase 1 y la Fase 2 de la misma manera que el Túnel 1.
6. Vaya a VPN > IPsec > IPsec SA , puede ver que el Túnel 1 se estableció correctamente.
Paso 3: Configure la conmutación por error IPsec en el Router2
1. Vaya a VPN > IPsec > Política IPsec > Grupo de conmutación por error , haga clic en Agregar para crear un grupo de conmutación por error y especifique los siguientes parámetros:
- Nombre del grupo: test_failover
- IPsec principal: test_1
- IPsec secundario: test_2
- Recuperación automática: Habilitar
- Tiempo de espera de conmutación por error de puerta de enlace: 10
- Estado: Habilitar
Nota: La conmutación por recuperación automática se utiliza para volver automáticamente a la conexión principal cuando se puede acceder a ella. Si desea realizar esta función, debe asegurarse de que el puerto WAN en el sitio remoto se pueda hacer ping.
A veces, el enrutador del sitio remoto bloquea el ping de la WAN de forma predeterminada, en este caso, es necesario eliminar esta configuración.
Tome Router1 y un ejemplo:
Vaya a Firewall > Attack Defense > Packet Anomaly Defense , desmarque Block Ping from WAN y haga clic en Save para guardar el cambio.
Proceso de verificación
1. Desconecte el cable del puerto WAN del Router2 para simular el enlace de Internet de las caídas del ISP1. Vaya a Herramientas del sistema > Registro del sistema para ver el proceso de cambio de Túnel principal a Túnel secundario.
2. Vaya a VPN > IPsec > IPsec SA para ver si el túnel actual es Túnel secundario.
3. Vuelva a conectar el cable al puerto WAN del Router2 para simular la reconexión de ISP1. Vaya a Registro del sistema para ver el cambio de túnel secundario a túnel principal.
4. Vaya a VPN > IPsec > IPsec SA para ver si el túnel actual es Túnel principal.
Conozca más detalles de cada función y configuración, vaya al Centro de descargas para descargar el manual de su producto.
¿Es útil esta faq?
Sus comentarios nos ayudan a mejorar este sitio.