El objetivo de este documento es mostrarle cómo configurar las configuraciones y la Conmutación por falla avanzadas VPN de sitio a sitio en el RV160 y el RV260.
Un Red privada virtual (VPN) es una gran manera de conectar a los trabajadores remotos con una red segura. Un VPN permite que un host remoto actúe como si fueran conectados con la red segura onsite. En un VPN de sitio a sitio, el router local en una ubicación conecta con un router remoto a través de un túnel VPN. Este túnel encapsula los datos con seguridad usando las técnicas de encripción y autenticación del estándar de la industria de asegurar los datos enviados. Una configuración idéntica se debe hacer a ambos lados de la conexión para que una conexión acertada del VPN de sitio a sitio sea establecida. La configuración avanzada del VPN de sitio a sitio proporciona la flexibilidad para configurar las configuraciones optativas para el túnel VPN.
La Conmutación por falla es una característica potente que asegura una conexión constante entre estos dos sitios. Esto es útil cuando la tolerancia de fallas es importante. Una Conmutación por falla ocurre cuando el router primario está abajo. En este momento, un secundario o un router de backup asumirá el control y proporcionará una conexión. Esto ayudará a prevenir un solo punto de falla.
· RV160
· RV260
· 1.0.00.13
Antes de configurar las configuraciones y la Conmutación por falla avanzadas para el VPN de sitio a sitio en el RV160 y el RV260, usted necesitará configurar el perfil de ipsec y el VPN de sitio a sitio en sus routers local y remoto. Abajo está una lista de artículos que puedan ayudarle a configurarlos. Usted tiene la opción para utilizar al Asisitente de configuración de VPN que le ayudará a configurar el perfil de ipsec así como el VPN de sitio a sitio o usted puede configurarlos por separado y seguir a lo largo de los dos documentos que se proporcionan abajo.
1. Configurar al Asisitente de configuración de VPN en el RV160 y el RV260
Or
1. Configurando los perfiles de ipsec (modo que cierra auto) en el RV160 y el RV260 (opcionales)
2. Configurar el VPN de sitio a sitio en el RV160 y el RV260
Las configuraciones avanzadas se deben configurar lo mismo a ambos lados de la conexión VPN.
Paso 1. Login a la utilidad de configuración de la red.
Paso 2. Navegue a VPN > IPSec VPN > sitio a localizar.
Paso 3. Marque el checkbox de la conexión que usted quiere editar. Entonces presione el icono de la pluma y del papel para editar la conexión. En este ejemplo, la conexión nombrada HomeOffice se selecciona.
Paso 4. Haga clic la lengueta avanzada de las configuraciones.
Paso 5. Marque la compresa (protocolo ip payload compression del soporte (IPComp)) casilla de verificación para permitir al router para proponer la compresión cuando comienza una conexión. Este protocolo reduce el tamaño de los datagramas IP. Si el respondedor rechaza esta oferta, después el router no implementa la compresión. Cuando el router es el respondedor, valida la compresión, incluso si la compresión no se habilita. Si usted habilita esta característica para este router, usted necesitaría habilitarla en el router remoto (el otro extremo del túnel).
Paso 6. Los mensajes de broadcast se utilizan para la resolución de nombre en el Windows Networking de identificar los recursos tales como ordenadores, impresoras, y servidores de archivos. Estos mensajes son utilizados por algunas aplicaciones de software y características de Windows tales como vecindad de la red. El tráfico de broadcast LAN no se remite típicamente sobre un túnel VPN. Sin embargo, usted puede marcar este cuadro para permitir que los broadcastes de NetBIOS a partir de un extremo del túnel sean retransmisión al otro extremo. Marque el checkbox del broadcast de NetBIOS para habilitar.
Paso 7. Marque el checkbox señal de mantenimiento para permitir al router para intentar restablecer la conexión VPN en los intervalos regulares del tiempo. Ingrese el número de segundos para fijar el intervalo señal de mantenimiento de la supervisión en el campo señal de mantenimiento del intervalo de la supervisión. El rango es a partir de 10-999 segundos.
Paso 8. Marque el Dead Peer Detection (DPD) habilitado para habilitar el DPD. Envía los mensajes periódicos HELLO/ACK para marcar el estatus del túnel VPN. La opción DPD se debe habilitar en los ambos extremos del túnel VPN. Especifique el intervalo entre los mensajes HELLO/ACK en el campo del intervalo ingresando el siguiente:
· Tiempo de retraso – Ingrese el retardo en los segundos entre cada mensaje Hello Messages. El rango es a partir de 10 – 300 segundos y el valor predeterminado es 10.
· Descanso de la detección – Ingrese el descanso en los segundos para declarar que el par está muerto. El rango es a partir de 30 – 1800 segundos.
· Acción DPD – Paso a seguir después del descanso DPD. Seleccione claramente o recomience de la lista desplegable.
Paso 9. Marque la autenticación ampliada si usted quiere habilitar la autenticación ampliada. Esto proporcionará un nivel adicional de autenticación que requiera a los usuarios remotos cerrar en sus credenciales antes de ser concedida el acceso al VPN. Para conseguir la autenticación ampliada para trabajar, el sitio principal debe utilizar la autenticación del grupo y el sitio remoto debe utilizar la autenticación de usuario. En los pasos próximos, configuraremos el sitio principal para utilizar la autenticación del grupo.
Nota: Se recomienda para configurar el Cliente-a-sitio para la autenticación de usuario en vez de la autenticación ampliada.
Si usted no ha creado ya a un grupo de usuarios para su sitio principal, haga clic el link para aprender cómo crear a un grupo de usuarios situado en este artículo: Crear al grupo de usuarios para la autenticación ampliada.
Si usted quiere aprender cómo crear las cuentas de usuario, hace clic el link que se reorientará a la sección: Creando al usuario explique la autenticación ampliada.
Paso 10. Seleccione al grupo como la autenticación ampliada y presione el icono más para agregar a un nuevo grupo. De la lista desplegable, elija al grupo que usted quiere utilizar para la autenticación. Aseegurese a los usuarios que usted quiere está en ese grupo.
Paso 11. En los pasos próximos, configuraremos al router remoto para utilizar la autenticación de usuario. En el router remoto, casilla de verificación de la autenticación ampliada del control para habilitar la autenticación ampliada.
Paso 12. Seleccione al usuario como la autenticación ampliada. Ingrese el Nombre de usuario y la contraseña del usuario en el grupo que fue seleccionado en el router principal. ¡En este ejemplo, VPNuser y CiscoTest123! fue ingresado.
Paso 13. DNS dividido del control a habilitar. Esto parte el servidor del Domain Name System (DNS) y otras peticiones DNS a otro servidor DNS, sobre la base de los Domain Name especificados. Cuando el router recibe una petición del address resolution, examina el Domain Name. Si el Domain Name hace juego un Domain Name en las configuraciones del DNS dividido, pasa la petición al servidor DNS especificado dentro de la red del servidor VPN. Si no, la petición se pasa al servidor DNS que se especifica en las configuraciones de la interfaz de WAN (es decir el servidor DNS ISP).
El DNS dividido se separa en dos zonas para el mismo dominio. Uno que se utilizarán por la red interna y el otro usado por la red externa. El DNS dividido dirige los host internos al los DN internos para la resolución de nombre y los host del externo se dirigen a un externo DNS para la resolución de nombre.
Si usted ha habilitado el DNS dividido, ingrese el IP Address del servidor DNS para utilizar para los dominios especificados. Opcionalmente, especifique a un servidor DNS secundario en el campo del servidor DNS 2. En el Domain Name 1-6, ingrese los Domain Name para los servidores DNS. Los pedidos los dominios se pasan al servidor DNS especificado.
Paso 14. Haga clic en Apply (Aplicar).
Paso 1. Navegue a la configuración del sistema > a los grupos de usuarios.
Paso 2. Haga clic el icono más para agregar a un grupo de usuario nuevo.
Paso 3. Ingrese un nombre en el campo de nombre del grupo y después presione se aplican. En este ejemplo, SiteGroupTest fue ingresado como el nombre del grupo.
Nota importante: Deje por favor la cuenta de administración predeterminada en el admin group y cree una cuenta y a un grupo de usuarios de usuario nuevo para la musaraña suave. Si usted mueve su cuenta de administración a un diverso grupo, usted se prevendrá del registro en el router.
Paso 1. Navegue a la configuración del sistema > a las cuentas de usuario.
Paso 2. Navegue hacia abajo la página a los usuarios locales. Haga clic el icono más para agregar a un nuevo usuario local.
Paso 3. La página de la cuenta de usuario del agregar se abre. Ingrese un nombre de usuario en el campo de nombre de usuario. En este ejemplo, VPNuser fue ingresado como el nombre de usuario.
Paso 4. Ingrese una contraseña en la nueva contraseña y confirme el campo de contraseña. ¡En este ejemplo, CiscoTest123! fue ingresado.
Nota: Esta contraseña fue utilizada como un ejemplo, sin embargo una más contraseña compleja se recomienda.
Paso 5. Seleccione a un grupo y después presione se aplican para crear su cuenta de usuario nuevo. En este ejemplo, SiteGroupTest fue seleccionado como el grupo.
Para habilitar la Conmutación por falla del sitio a localizar, el señal de mantenimiento se debe habilitar en la lengueta avanzada de las configuraciones.
Paso 1. Haga clic la lengueta de la Conmutación por falla para configurar la Conmutación por falla.
Paso 2. Respaldo del túnel del control a habilitar. Cuando el túnel primario está abajo, esta característica permite al router para restablecer el túnel VPN usando una dirección IP alterna para el peer remoto o WAN local alterno. Esta característica está disponible solamente si se habilita el DPD.
Paso 3. En el campo de reserva alejado del IP Address, ingrese el IP Address para el peer remoto, o entre el WAN IP Address de nuevo que fue fijado ya para el gateway remoto. Entonces seleccione la interfaz local (WAN1, WAN2, USB1, o USB2) de la lista desplegable.
Paso 4. El tecleo se aplica.
Usted debe ahora haber configurado con éxito las configuraciones y la Conmutación por falla avanzadas para su VPN de sitio a sitio en el RV160 y el RV260. Su VPN de sitio a sitio debe todavía ser conectado.