本文档旨在向您展示如何在RV160和RV260上配置站点到站点VPN高级设置和故障切换。
虚拟专用网络(VPN)是将远程员工连接到安全网络的绝佳方式。VPN允许远程主机像连接到现场安全网络一样工作。在站点到站点VPN中,一个位置的本地路由器通过VPN隧道连接到远程路由器。此隧道通过使用行业标准加密和身份验证技术来保护发送的数据,从而安全地封装数据。必须在连接的两端执行相同的配置,才能成功建立站点到站点VPN连接。高级站点到站点VPN配置可灵活配置VPN隧道的可选配置。
故障转移是确保这两个站点之间持续连接的强大功能。当容错非常重要时,此功能非常有用。当主路由器关闭时,会发生故障切换。此时,辅助或备用路由器将接管并提供连接。这有助于防止单点故障。
· RV160
· RV260
·1.0.00.13
在RV160和RV260上为站点到站点VPN配置高级设置和故障切换之前,您需要在本地和远程路由器上配置IPsec配置文件和站点到站点VPN。以下是可帮助您配置它们的文章列表。您可以选择使用VPN设置向导,该向导将帮助您配置IPsec配置文件和站点到站点VPN,也可以单独配置它们并遵循下面提供的两个文档。
或者
1. 在RV160和RV260上配置IPSec配置文件(自动键控模式)(可选)
VPN连接两端的高级设置应配置相同。
步骤1.登录Web配置实用程序。
步骤2.导航到VPN > IPSec VPN > Site-to-Site。
步骤3.勾选要编辑的连接的复选框。然后按笔和纸图标编辑连接。在本例中,选择了名为HomeOffice的连接。
步骤4.单击“高级设置”选项卡。
步骤5.选中Compress(Support IP Payload Compression Protocol(IPComp))复选框,使路由器在开始连接时能够建议压缩。此协议可减小IP数据报的大小。如果响应方拒绝此建议,则路由器不实施压缩。当路由器是响应方时,它接受压缩,即使未启用压缩。如果为此路由器启用此功能,则需要在远程路由器(隧道的另一端)上启用此功能。
步骤6.广播消息用于Windows网络中的名称解析,以识别计算机、打印机和文件服务器等资源。某些软件应用和Windows功能(如网络邻居)会使用这些消息。LAN广播流量通常不通过VPN隧道转发。但是,您可以选中此框,以允许从隧道一端重新广播到另一端的NetBIOS广播。选中NetBIOS广播复选框以启用。
步骤7.选中Keep-Alive复选框,使路由器能够尝试在一定时间间隔内重新建立VPN连接。在Keep-Alive Monitoring Interval字段中输入设置保持连接监控间隔的秒数。范围为10-999秒。
步骤8.选中Dead Peer Detection(DPD)Enabled以启用DPD。它定期发送HELLO/ACK消息以检查VPN隧道的状态。必须在VPN隧道的两端启用DPD选项。通过输入以下内容,在Interval字段中指定HELLO/ACK消息之间的间隔:
· Delay Time — 输入每条Hello消息之间的时间延迟(以秒为单位)。范围为10 - 300秒,默认值为10。
· Detection Timeout — 输入超时(以秒为单位)以声明对等体已死。范围为30 - 1800秒。
· DPD操作 — 在DPD超时后要执行的操作。从下拉列表中选择Clear或Restart。
步骤9.如果要启用扩展身份验证,请选中Extended Authentication。这将提供额外的身份验证级别,要求远程用户在获得VPN访问权限之前在其凭证中进行密钥。要使扩展身份验证正常工作,主站点必须使用组身份验证,而远程站点必须使用用户身份验证。在接下来的几个步骤中,我们将配置主站点以使用组身份验证。
注意:建议将客户端到站点配置为用户身份验证,而不是扩展身份验证。
如果尚未为主站点创建用户组,请点击链接了解如何创建位于以下文章中的用户组:正在为扩展身份验证创建用户组。
如果要了解如何创建用户帐户,请点击要重定向到该部分的链接:为扩展身份验证创建用户帐户。
步骤10.选择Group作为扩展身份验证,然后按加号图标添加新组。从下拉列表中,选择要用于身份验证的组。确保要访问的用户位于该组中。
步骤11.在接下来的几个步骤中,我们将配置远程路由器以使用用户身份验证。在远程路由器中,选中Extended Authentication复选框以启用扩展身份验证。
步骤12.选择User作为扩展身份验证。输入在主路由器中选择的组中用户的用户名和密码。在本例中,VPNuser和CiscoTest123!的上界。
步骤13.选中Split DNS以启用。这会根据指定的域名将域名系统(DNS)服务器和其他DNS请求拆分到另一个DNS服务器。当路由器收到地址解析请求时,它会检查域名。如果域名与“拆分DNS”设置中的域名匹配,它会将请求传递到VPN服务器网络中的指定DNS服务器。否则,请求将传递到WAN接口设置中指定的DNS服务器(即ISP DNS服务器)。
分割DNS会分为同一域的两个区域。一个供内部网络使用,另一个供外部网络使用。拆分DNS将内部主机定向到内部DNS进行名称解析,而外部主机定向到外部DNS进行名称解析。
如果已启用Split DNS,请输入要用于指定域的DNS服务器的IP地址。或者,在DNS Server 2字段中指定辅助DNS服务器。在域名1-6中,输入DNS服务器的域名。对域的请求会传递到指定的DNS服务器。
步骤14.单击“应用”。
步骤1.导航至System Configuration > User Groups。
步骤2.单击加号图标添加新用户组。
步骤3.在Group Name字段中输入名称,然后按Apply。在本例中,输入SiteGroupTest作为组名。
重要说明:请将默认管理员帐户保留在管理员组中,并为Shrew Soft创建新用户帐户和用户组。如果将管理员帐户移至其他组,则会阻止您登录路由器。
步骤1.导航至System Configuration > User Accounts。
步骤2.向下滚动页面到Local Users(本地用户)。单击加号图标以添加新的本地用户。
步骤3.将打开“添加用户帐户”页。在Username字段中输入用户名。在本例中,输入VPNuser作为用户名。
步骤4.在New Password and Confirm Password字段中输入密码。在本例中,CiscoTest123!的上界。
注意:此密码用作示例,但建议使用更复杂的密码。
步骤5.选择一个组,然后按Apply创建新用户帐户。在本例中,选择SiteGroupTest作为组。
要启用站点到站点故障切换,必须在“高级设置”选项卡上启用保持连接。
步骤1.单击Failover(故障转移)选项卡以配置故障转移。
步骤2.选中Tunnel Backup以启用。当主隧道关闭时,此功能使路由器能够通过使用远程对等体的备用IP地址或备用本地WAN重新建立VPN隧道。此功能仅在启用DPD时可用。
步骤3.在远程备份IP地址字段中,输入远程对等体的IP地址,或重新输入已为远程网关设置的WAN IP地址。然后从下拉列表中选择本地接口(WAN1、WAN2、USB1或USB2)。
步骤4.单击“应用”。
现在,您应该已在RV160和RV260上成功配置了站点到站点VPN的高级设置和故障切换。您的站点到站点VPN仍应连接。