如何配置帕洛阿尔托网络Firewall双 ISP 和自动VPN故障转移
Resolution
概述
本文档解释了如何配置帕洛阿尔托网络firewall有一个双ISP连接结合VPN隧道。
配置目标:
- A 具有两个互联网连接的单个设备(高可用性)
- 静态站点到站点 VPN
- 互联网连接的自动故障转移和 VPN
设置
此设置经常用于提供分支机构和总部之间的连接。ISP1 用作主要ISP在 Ethernet1/3 上。 ISP2 是备份ISP在 Ethernet1/4 上。
配置
两个防火墙的配置相同,所以只有一个firewall配置进行了讨论。 在这个例子中,有两个虚拟路由器(VR ).
接口配置
配置两个接口:
- Eth 1/3:10.185.140.138/24(连接ISP1)在untrust区
- Eth 1/4:10.80.40.38/24(连接ISP2)在untrust区
虚拟路由器
有两个虚拟路由器:
- VR1:主要 (ISP1) (Ethernet1/3)
- VR2:辅助 (ISP2) (Ethernet1/4)
每个VR有一个ISP接口已连接,但所有其他接口将保持连接VR次要的,以及所有未来的接口。 目的是让所有接口都被连接的路由和路由知道VR作为他们的路由方法,当 MainISP下跌降落。
- 基本的VR附有 Ethernet1/3 接口
- 首要的VRroutes 包括所有私有地址返回到 Secondary 的默认路由和返回路由VR,其中实际接口作为连接路由。 当流量通过接口被强制流出时PBF,流量将知道如何返回到次级VR接口所在的位置。
- 中学VR将 Ethernet1/4 连接到所有其他接口,如下所示:
- 中学VR所有连接接口的路由将作为连接路由显示在路由表中,隧道路由将由Policy-基于转发(PBF ).
- 强制流量流出主节点ISP接口,使用PBF从信任区采购:
- 这firewall告诉PBF不要转发发往专用网络的流量,因为它无法在 Internet 上路由专用地址(因为可能有专用网络地址需要转发出去)。 单击否定。
- 如下例所示,设置从主接口转发出去,如果被监控的目的地不可用,则监控禁用规则。 恢复流量以使用辅助节点的路由表VR所有连接的路线都存在的地方。
- 配置源NAT policy对于两个 ISP。 确保在“原始数据包”选项卡上为两个源定义目标接口NAT规则。
多个 VR 的原因是因为两个隧道同时启动和运行。 如果连接到 ISP1,它将尽快故障转移到 ISP2。 如果备份VPN通过 ISP2 已经协商,这将加快故障转移过程。
第一阶段配置
对于每个VPN隧道,配置一个IKE网关。
第二阶段配置
对于每个VPNtunnel,配置IPSec隧道。 在 IPSec 隧道上,如果将隧道配置为连接到另一个帕洛阿尔托网络,则通过操作故障转移启用监控firewall. 否则,设置PBF具有监控和辅助隧道的路由。
隧道监控(帕洛阿尔托网络firewall连接到另一个帕洛阿尔托网络firewall)
- 带监控的主隧道。
- 带监控的二级隧道。
- 在操作中,将监视器配置文件配置为故障转移。
- 使用这种方法,使用隧道监控,路由表中有两条路由,第一条路由的度量为 10,用于主路由VPN流量,第二个对于辅助节点的度量为 20VPN . 由于隧道终止于辅助节点VR,路线将被放置在VR.
Policy-基于转发(帕洛阿尔托网络firewall连接到不同的firewall小贩)
- 当连接在两个防火墙之间时,可以使用此方法。
- 说明来自哪个源区。
- 指示流量何时发往隧道另一侧的网络(在本例中为 192168.10.0/24)。
- 沿着隧道转发流量。
- 当。。。的时候PBF被禁用,因为目的地不可达,另一个VPN将开始使用具有相同目的地但正在使用其他已配置隧道的路由的路由表。
笔记:在上面的示例中,探测被发送到 192.168.10.2 以检查它是否可达。 探头必须有源IP地址,并将使用IP出口接口,这将是IP接口“隧道”的地址。 如果IP隧道接口上没有配置地址,PBF永远不会启用规则。 在这种情况下,任意IP需要配置,比如172.16.0.1/30。A目的地 192.168.10.2 的静态路由必须添加下一跳作为隧道接口。 否则PBF将始终失败,因为从firewall不会撞到PBF规则。 确保远程设备知道如何返回数据包。 与思科合作时ASA, 确保它知道如何将流量返回到 172.16.0.1/30。 此外,配置代理ID对于帕洛阿尔托网络设备的 IPSec 隧道配置上的此网络。
拥有者:rvanderveken