如何使用单个 ISP 配置双 VPNFirewall到远程站点
Resolution
拓扑结构
主站点:
- 双 ISP
- 单身的PAN firewall具有双虚拟路由器和双 VPN。
- 一ISP用于所有VPN流量,另一个用于互联网流量,以及备份VPN交通。
远程站点:
- 单身的PAN firewall与一个VR和一个ISP.
- Tunnel156(在 VR2 中)将是主要的VPN隧道。
- 工作站将从 VR1 ping 远程站点。这PBF规则会将数据包路由到 VR2 中的 Tunnel156 接口。
- 当。。。的时候PBF监控失败数据包使用默认路由VPNVR1 中的网络 (tunnel.56)。
VR1 设置
- 配置一个IP隧道接口上的地址PBR监控。
- 设置静态路由VPN/隧道监控流量。
VR2 设置
- 配置IP隧道监控地址。
- 设置静态路由VPN/隧道监控流量。
- 为源创建一条返回路由(路由返回到另一个VR).
PBF Policy
安全 Policy
admin@lab-56-PA500(active)> show pbf rule all
规则ID规则状态动作出口IF/VSYS NextHop NextHop 状态
================================================ ==============
VPNtraffic 4 主动转发 tunnel.156 156.156.156.58 UP
会话流程:
admin@lab-56-PA500(active)> show session id 29290
会议 29290
c2s流程:
来源:192.168.56.30[信任]
夏令时:192.168.57.1
原型:6
运动:3045 dport:443
状态:ACTIVE类型: FLOW
源用户:未知
dst用户:未知
pbf 规则:VPNtraffic 4
S2C流程:
来源:192.168.57.1[vr2-vpn]
夏令时:192.168.56.30
原型:6
运动:443 dport:3045
状态:ACTIVE类型: FLOW
源用户:未知
dst用户:未知
开始时间:2011 年 8 月 8 日星期一 10:16:58
超时:1800 秒
生存时间:1767 秒
总字节数:47632
第 7 层数据包数:129
vsys : vsys1
应用程序:SSL
规则:TrafficVPN
结束时记录的会话:True
会话中的会话 : True
会话同步自HA同行:假
layer7处理:完成
URL启用过滤:假
通过同步 cookie 的会话:False
会话在主机上终止:False
会话遍历隧道:True
强制门户会话:假
入口接口:ethernet1/6
出口接口:tunnel.156
会话 QoS 规则:N /A (第 4 类)
admin@lab-56-PA500(active)> show pbf rule all
规则ID规则状态动作出口IF/VSYS NextHop NextHop 状态
================================================ ==============
VPNtraffic 4 主动转发 tunnel.156 156.156.156.58 DOWN
admin@lab-56-PA500(active)> show session id 61386
会议 61386
c2s流程:
来源: 192.168.56.30[信任]
夏令时: 192.168.57.1
原型:6
运动:512 dport:55042
状态:INIT类型:FLOW
源用户:未知
dst用户:未知
S2C流程:
来源:192.168.57.1[VPN]
夏令时:192.168.56.30
原型:1
运动:55042 dport:512
状态:INIT类型: FLOW
源用户:未知
dst用户:未知
开始时间:2011 年 8 月 8 日星期一 10:49:18
超时:6 秒
总字节数:74
第 7 层数据包计数:1
vsys : vsys1
应用:平
规则:TrafficVPN
结束时记录的会话:True
会话中的会话 : False
会话同步自HA同行:假
layer7 处理:启用
URL启用过滤:假
通过同步 cookie 的会话:False
会话在主机上终止:False
会话遍历隧道:True
强制门户会话:假
入口接口: 以太网 1/6
出口接口:tunnel.56
会话 QoS 规则:N /A (第 4 类)
所有者: panagent