Konfigurieren von Dual-VPNs mit Dual-ISPs mit einem Single-to-a-Remote-Standort Firewall
Resolution
Topologie
Hauptseite:
- Dual ISPs
- Single PAN firewall mit zwei virtuellen Routern und zwei VPNs.
- Eines wird für den gesamten Datenverkehr und das andere für den ISP VPN Internetverkehr sowie eine Sicherung für den VPN Datenverkehr verwendet.
Entfernte Seite:
- Single PAN firewall mit einem Einzel und einem einzigen VR ISP .
- Tunnel156 (in VR2) wird der VPN Haupttunnel sein.
- Die Workstation wird die entfernte Seite von VR1.Die PBF Regel leitet das Paket an die Schnittstelle von Tunnel156 in VR2 weiter.
- Wenn der PBF Monitor ausfällt, verwendet das Paket die Standardroute des VPN Netzwerks (tunnel.56) in VR1.
VR1 Setup
- Konfigurieren Sie eine IP Adresse auf der Tunnelschnittstelle für die PBR Überwachung.
- Richten Sie die statische Route für VPN den /tunnel-Überwachungsverkehr ein.
VR2 Setup
- Konfigurieren Sie IP die Adresse für die Tunnelüberwachung.
- Richten Sie die statische Route für VPN den /tunnel-Überwachungsverkehr ein.
- Erstellen Sie eine Rückroute für die Quelle (Route zurück zur anderen VR ).
PBF Policy
Sicherheit Policy
admin @ Lab-56-PA500 (Active) > Pbf-Regel alle anzeigen
IDRegelregelzustandsaktion Egress IF / VSYS NextHop NextHop-Status
==== == ========== ====== ============== ============== ==============
VPNtraffic 4 Aktiver Vorwärtstunnel.156 156.156.156.58 UP
Sitzungs Ablauf:
admin @ Lab-56-PA500 (Active) > Show Session ID 29290
Session 29290
c2s-Fluss:
Quelle: 192.168.56.30[Vertrauen]
Dst: 192.168.57.1
Proto: 6
Sport: 3045 dport: 443
Status: Typ: ACTIVE FLOW
src Benutzer: unbekannt
dst Benutzer: unbekannt
pbf-Regel: VPNtraffic 4
s2c-Durchfluss:
Quelle: 192.168.57.1[vr2-vpn]
Dst: 192.168.56.30
Proto: 6
Sport: 443 dport: 3045
Zustand: ACTIVE Typ: FLOW
src Benutzer: unbekannt
dst Benutzer: unbekannt
Startzeit : Mo Aug 8 10:16:58 2011
Timeout : 1800 Sek.
Lebenszeit : 1767 sec
Gesamtzahl der Byte: 47632
Layer7 Paketanzahl : 129
vsys : vsys1
Anwendung : ssl
Regel : TrafficVPN
Sitzung, die am Ende protokolliert werden soll : True
Sitzung in Session ager : True
Sitzung vom HA Peer synchronisiert: False
layer7-Verarbeitung : abgeschlossen
URL Filterung aktiviert: False
Sitzung über syn-cookies: False
Sitzung auf dem Host beendet : False
Sitzung sdurchqueret Tunnel : True
Captive-Portalsitzung : False
Eingangsschnittstelle : ethernet1/6
Egress-Schnittstelle : tunnel.156
SitzungQoS-Regel : N / A (Klasse 4)
admin @ Lab-56-PA500 (Active) > Pbf-Regel alle anzeigen
IDRegelregelzustandsaktion Egress IF / VSYS NextHop NextHop-Status
==== == ========== ====== ============== ============== ==============
VPNtraffic 4 Aktiver Vorwärtstunnel.156 156.156.156.58 DOWN
admin @ Lab-56-PA500 (Active) > Show Session ID 61386
Session 61386
c2s-Fluss:
Quelle: 192.168.56.30[Vertrauen]
Dst: 192.168.57.1
Proto: 6
Sport: 512 dport: 55042
Zustand: INIT Typ: FLOW
src Benutzer: unbekannt
dst Benutzer: unbekannt
s2c-Durchfluss:
Quelle: 192.168.57.1[vpn]
Dst: 192.168.56.30
Proto: 1
Sport: 55042 dport: 512
Status: Typ: INIT FLOW
src Benutzer: unbekannt
dst Benutzer: unbekannt
Startzeit : Mo Aug 8 10:49:18 2011
Timeout : 6 Sek.
Gesamtzahl der Byte: 74
Layer7 Paketanzahl : 1
vsys : vsys1
Anwendung : ping
Regel : TrafficVPN
Sitzung, die am Ende protokolliert werden soll : True
Sitzung in Session ager : False
Sitzung vom Peer synchronisiert HA : False
Layer7-Verarbeitung : aktiviert
URL Filterung aktiviert: False
Sitzung über syn-cookies: False
Sitzung auf dem Host beendet : False
Sitzung sdurchqueret Tunnel : True
Captive-Portalsitzung : False
Eingangsschnittstelle : ethernet1/6
Egress-Schnittstelle : tunnel.56
SitzungQoS-Regel : N / A (Klasse 4)
Besitzer: Panagent