Trỏ tới điểm LAN bằng cách sử dụng hai sonicwalls tại các vị trí riêng biệt

Chúng tôi có một doanh nghiệp hai địa điểm với các trụ sở của chúng tôi ở Arlington và một văn phòng từ xa ở Dallas. Hiện tại, cả hai văn phòng của chúng tôi đều đang chạy sonicwall NSA 2600 và giữ một đường hầm VPN giữa nhau (sử dụng sonicwalls). Gần đây chúng tôi đã mua một kết nối điểm-điểm từ ISP của chúng tôi giữa hai địa điểm. Về cơ bản, mỗi modem có một cổng là một liên kết trực tiếp với nhau với một ống 100mb chuyên dụng.

Tôi muốn thay thế đường hầm VPN bằng cái mà tôi cho là sẽ có giao diện LAN bổ sung trên mỗi sonicwall chỉ về phía mạng con khác. Arlington: 10.74.1.1/24 Dallas: 10.74.2.1/24

Đây là một ví dụ:

               +-----------+ X0 ---- LAN 10.74.1.1/24
               |           |
WAN_IP ---- X1 | SonicWall |
               | Arlington |
               +-----------+ X2 -------- X2  +-----------+ X0 ---- 10.74.2.1/24
                                    ^        |           |
                                    |        | Sonicwall | X1 ---- WAN_IP
                                    |        |  Dallas   |
                                    |        +-----------+
                                    |
                           This X2 would traverse
                           the point-to-point connection
                           between each of my ISP's modems 

Câu hỏi của tôi sẽ là, làm cách nào để định cấu hình mỗi giao diện X2? Suy nghĩ của tôi sẽ là ví dụ:

Định cấu hình giao diện X2 trên sonicwall Arlington là: LAN, Địa chỉ 10.74.2.1, mặt nạ 255.255.255.0. Và cấu hình giao diện X2 trên sonicwall Dallas là: LAN, địa chỉ 10.74.1.1, mặt nạ 255.255.255.0. Ngoài ra, tôi có thể kiểm tra các giao diện LAN được định cấu hình như thế này KHI đường hầm VPN vẫn còn sống không? Hoặc điều đó sẽ gây ra một số vấn đề với định tuyến giữa hai mạng?

Chúng tôi cần các mạng này để giao tiếp giống như cách họ thực hiện qua đường hầm VPN ngay bây giờ.

Lời khuyên nào sẽ được đánh giá cao!

Điều đó sẽ không hoạt động, bởi vì cả 10.74.1.0/24 và 10.74.2.0/24 đều đang được sử dụng. Không chỉ vậy, kết nối PtP yêu cầu tiền tố lẫn nhau.

Sử dụng một dải IP khác nhau và một dải nhỏ hơn. Đặt 10,75.0.1/30 (255.255.255.252) trên Arlington X2 và 10,75.0.2/30 (255.255.255.252) trên Dallas X2.

Sau đó, trên Arlington, thêm một tuyến đường: 10.74.2.0/24 -> 10.75.0.2 và trên Dallas: 10.74.1.0/24 -> 10.75.0.1.

Tôi chưa bao giờ sử dụng SonicWall trước đây, vì vậy tôi không biết liệu VPN có được ưu tiên hơn các tuyến đường mới được cài đặt hay không. Làm thế nào tôi có thể kiểm tra điều này là lấy một IP duy nhất từ ​​mỗi LAN LAN và định tuyến chúng qua PtP mới.

Vì vậy, trên một máy tính xách tay được đặt là 10.74.2.10 ở một bên và 10.74.1.10 ở bên kia, trên Arlington, tuyến 10.74.2.10 / 32 -> 10,75.0.2 và ở Dallas, tuyến 10.74.1.10 -> 10.75.0.1. Một lần nữa, tôi không biết liệu Sonicwalls sẽ bỏ qua tiền điện tử để định tuyến những thứ này qua ptp hay không, nhưng nó có thể đáng để thử. Bạn cũng có thể thiết lập tiền tố tạm thời mới ở mỗi bên và định tuyến trước khi đi vào hoạt động.

Cuối cùng, sau EOB, hãy thiết lập các tuyến đường, xem điều gì xảy ra, vô hiệu hóa VPN và xem điều gì sẽ xảy ra. Nếu nó hoạt động, bạn đã hoàn thành. Nếu không, bạn đã có một danh sách theo thứ tự tài liệu về những gì đã được thực hiện. Quay lại cho đến khi bạn có được hiện trạng ban đầu hoạt động trở lại, và đi từ đó.

Nếu bạn không trực tiếp quản lý các thiết bị định tuyến của mình, bạn cần sắp xếp thứ này với ISP và định cấu hình định tuyến và giao diện bổ sung không chỉ trên Sonicwalls mà còn trong các bộ định tuyến.

Xác định hai mạng nữa:

172.16.100.0/30 Dallas-to-Arlington 172.16.101.0/30 Chỉ định Arlington-to-Dallas:

Dallas X2: 172.16.100.1/30 Bộ định tuyến Dallas Fe (0/1): 172.16.100.2/30 Arlington X2: 172.16.101.1/30 Bộ định tuyến Arlington Fe (0/1): 172.16.101.2/30

Trên Bộ định tuyến Dallas của bạn: tuyến đường 10.74.2.0/24 cổng 172.16.100.1 (lưu lượng truy cập từ A. đến D. được định tuyến đến Sonicwall) tuyến đường 10.74.1.0/24 cổng MPLS của bạn

Trên tuyến đường Arlington 10.74.1.0/24 cổng 172.16.101.1 (lưu lượng truy cập từ D. đến A. định tuyến đến Sonicwall) tuyến 10.74.2.0/24 cổng MPLS của bạn

Trên sonicwall bạn cũng cần tắt NAT đích.

Như mọi khi, sao lưu, sao lưu, sao lưu! :)

Như những người khác đã nói bạn không thể sử dụng IP đã được sử dụng. Bạn nên sử dụng một mạng con riêng biệt mà bạn có thể định tuyến qua (đến mạng khác).

Tôi sẽ đề nghị sử dụng một cái gì đó lớn hơn một khối / 30 (trong trường hợp bạn từng thêm các vị trí bổ sung) - a / 29 sẽ cho phép bạn mở rộng đến 6 vị trí chẳng hạn.

Tôi sẽ sử dụng một cái gì đó tách biệt với các mạng hiện có của bạn (để nó nổi bật) nhưng không liền kề (trong trường hợp bạn mở rộng). Tôi sẽ đề nghị một cái gì đó như 10.99.9.0/29 .

Nếu bạn muốn có thể kiểm tra thì trước tiên bạn nên chuyển đổi VPN hiện có của mình sang VPN dựa trên đường hầm: https://support.software.dell.com/kb/sw7902 HOẶC: https://support.software.dell.com/ kb / sw11606

Điều này có lợi thế là sau đó bạn có thể dễ dàng thực hiện các tuyến đường để kiểm tra hơn so với VPN IPsec dựa trên Chính sách. Thực hiện việc này trong thời gian ngừng hoạt động vì VPN sẽ ngừng hoạt động trong khi bạn chuyển sang giao diện Đường hầm trong VPN và sau đó tạo các tuyến.

Sau đó định cấu hình X2 trên mỗi bộ định tuyến với 1 IP từ phạm vi Điểm-Điểm của bạn:

Arlington X2 = 10.99.9.1 /29
Dallas X2 = 10.99.9.2 /29

Cả trong vùng LAN, cả ở chế độ IP tĩnh. Kết nối X2 với các giao diện PtP của thiết bị ISP của bạn (ví dụ: MPLS). Giả định liên kết này chỉ là liên kết Lớp 2, không có định tuyến nào được thực hiện bởi ISP.

Sau đó, bạn có thể sử dụng các lệnh Chẩn đoán Ping (hoặc CLI ping) từ mỗi bộ định tuyến để ping giao diện X2 của bộ định tuyến khác (ví dụ: Arlington sẽ có thể ping 10.99.9.2.

Nếu mọi thứ đang hoạt động thì bạn có thể tạo chính sách Định tuyến để kiểm tra: Vì vậy, trên bộ định tuyến Arlington:

Source: Some 10.74.1.x test IP in Arlington
Destination: Some 10.74.2.x test IP in Dallas
Service: Any
Gateway: 10.99.9.2 (Dallas' X2 IP -- the other side)
Interface: X2 (the interface Arlington needs to use)
Metric: make lower than whatever you used for your Tunnel VPN metric.

Thực hiện một tuyến đường tương tự trên bộ định tuyến Dallas (nhưng hoán đổi tất cả các IP, do đó, từ IP Dallas sang IP Arlington, Gateway sẽ là 10.99.9.1 lần này).

Tôi sẽ đề nghị sử dụng một cái gì đó như LAN Speed ​​Test (ngay cả phiên bản miễn phí): http://www.totusoft.com/lanspeed.html

Để kiểm tra tốc độ đến / từ các máy kiểm tra của bạn qua VPN trước và sau đó một lần nữa sau khi đặt các tuyến đường. Bạn sẽ thấy sự khác biệt về tốc độ khi lưu lượng truy cập qua MPLS.

Nếu điều đó hoạt động thì hãy thay đổi các tuyến đường để: Nguồn là: Bất kỳ và Đích là: Mạng ở phía bên kia (thay vì chỉ là một IP) - vì vậy, từ Arlington, Điểm đến sẽ là: 10.74.2.0/24. Số liệu: vẫn thấp hơn tuyến đường hầm VPN.

Tất cả lưu lượng sẽ đi qua MPLS cho mọi người. Điều này có thể được thực hiện thời gian ăn trưa vì sự gián đoạn là rất nhỏ.

Miễn là các Vùng cho X2 giống với các mạng X0 của bạn thì không cần quy tắc Tường lửa nếu bạn bật Giao diện ủy thác cho Vùng LAN. Tôi không tin rằng bạn sẽ cần thực hiện bất kỳ thay đổi nào đối với NAT vì mọi thứ sẽ được định tuyến (đối với các mạng nội bộ).

Sau đó, bạn có thể vô hiệu hóa VPN hoặc để nó và định cấu hình Probes trên các tuyến, để các tuyến của MPLS bị vô hiệu hóa nếu đầu dò không thành công (cho phép nó quay trở lại VPN. Ít hữu ích hơn nếu đó là cùng một ISP trong cả hai trường hợp. ..)

Và có: sao lưu cấu hình của bạn ĐẦU TIÊN, và một lần nữa sau :)