大多數的公司都擁有多個分公司或分點,
總公司與分公司(分點)及分公司(分點)與分公司(分點)間的資料傳輸為了安全性,一般常見的方式是透過MPLS的方式來連結。
然而如何在成本考量又必須重視資安的情況下避免當MPLS斷線時造成企業的損失,是企業須面臨的課題。
Cyberoam 提供了多種的VPN連線及管理,並提供了解決方案,
當MPLS斷線時如何利用Cyberoame所建立的IPSec VPN作為備援的通道,請參考以下範例。
範例環境
總公司CR interface 設定:
PortA (LAN):192.168.3.254
PortB(WAN):172.17.3.1
PortC(DMZ):10.10.3.254
分公司CR interface 設定:
PortA(LAN):192.168.4.254
PortB(WAN):172.17.4.1
PortC(DMZ):10.10.3.253
步驟1
確認MPLS線路暢通及Static route設定是否正確,總公司與分公司的LAN Client都可以互通。
總公司
分公司
步驟2
建立IPsec site to site VPN,並確認VPN已啟用並且正常連線。
步驟3
登入Cyberoam console設定MPLS斷線偵測條件
以總公司為例,指令如下:
Cyberoam link_failover add primarylink PortC backuplink vpn tunnel To4 monitor PING host 10.10.3.253
分公司:
Cyberoam link_failover add primarylink PortC backuplink vpn tunnel To3 monitor Ping host 10.10.4.254
※ To3、To4 為備援的IPsec Name。
步驟4
設定路由優先順序。Cyberoam預設是VPN route優先,再來才是Static route。
cyberoam route_precedence set static vpn
透過cyberoam route_precedence show,
可以看到目前路由順序為1.static routes 2.VPN routes。
測試結果
正常情況下,總公司往分公司的連線走的是MPLS;
當MPLS斷線,此時會走備援的IPsec VPN通道。
當MPLS恢復連線,此時總公司往分公司的連線會切回到MPLS。
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|