如何使用虚拟路由器和基于策略的转发配置 GlobalProtect VPN 的双 ISP 网络

101475

Created On 09/25/18 17:46 PM - Last Modified 05/08/20 23:25 PM

Resolution

概述

本文档说明如何配置具有双 ISP 连接的帕洛阿尔托网络防火墙, 并与 GlobalProtect VPN 结合使用。一个 ISP 链接用于非 vpn 通信, 另一个用于 GlobalProtect vpn 通信专用。

配置目标：

与 VPN 隧道结合使用的双 ISP 连接。
简单的全局保护 VPN 网关/门户和客户端
1 ISP 首选局域网到互联网流量-默认路由到 ISP1
用于 GP VPN 通信的其他 ISP 链接

详细

ISP1 用作主 ISP。 ISP2 是 GlobalProtect VPN 通信 ISP。

帕洛阿尔托网络防火墙版本: 5.0.6 (任何版本 > 4.1.x 可以使用)

2_isp_gp_1vr_pbf (1). jpg

接口配置

配置四接口:

以太网 1/1-10.193.19.1/23-LAN 区域接口
以太网 1/2-192.168.2. 11/24 区域 ISP 1 接口
以太网 1/3-10.193.17.1/23 区域 ISP 2 接口
隧道. 1-172.16.1. 1/24 区 VPN 接口

屏幕截图2013-10-15 在 10.51.23. png

屏幕截图2013-10-15 在 11.31.48. png

VPN 区域

GlobalProtect VPN 将很快配置。VPN 的功能要求是隧道层3接口。此接口是一个虚拟接口, 它具有物理接口的所有功能。因此, 它可以在自己的区域中进行配置。

在此配置中,隧道. 1接口放置在区域 VPN 中. 每当客户启动 VPN 通信时, 防火墙将会将此通信视为从隧道中的出口. 1 接口和 VPN 区域。VPN 通信需要到达 ISP2 区域。

网络安全配置

配置基本网络和安全策略以允许在下列情况之间进行通信:

LAN 和 ISP1
VPN 和 ISP2

6036_1. png

添加默认路由 0.0. 0.0/0 到 ISP1:

使用 NAT 规则允许通信到 2 isp

为了将传出通信从内部 ip 地址转换为外部 ip 地址, 我们需要使用某种源 NAT。在本示例中, 正在使用动态 IP 和端口 NAT。全局 ip 将是传出接口 ip。

NAT 到 ISP1:

源区域: 任何
目的地区域: ISP1
NAT 类型: 源 nat
源翻译: 动态 IP 和端口;接口: 以太网 1/2;IP 地址: 192.168.2.11

NAT 到 ISP2:

源区域: 任何
目的地区域: ISP2
NAT 类型: 源 nat
源翻译: 动态 IP 和端口;接口: 以太网 1/3;IP 地址: 10.193.17。1

屏幕截图2013-10-15 在 11.44.56. png

此时, 通信量应该能够从 LAN 和 ISP2 的 ISP1 到尚未配置的 GlobalProtect VPN。

ISP1 连接测试

ping-isp1。png. png

屏幕截图2013-10-15 在 2.18.29 PM. png

基于策略的转发

由于我们正在将默认路由 0.0. 0.0/0 传递给 GlobalProtect 客户端, 因此防火墙的默认行为是将数据包路由到 ISP1, 因为虚拟路由器的静态路由中设置了默认路由。

PBF 将通过以下方式修改路由行为:

从接口隧道启动的所有数据包. 1 是标题为任何其他地址以外的直接连接 LAN 子网或直接连接的 ISP1 子网应该转发到接口以太网 1/3, 去 ISP2。下一跃点是指向 Internet 的 ISP2 路由器的 IP。无需对称返回, 因为 NAT 将识别 NATed 会话并将其转换回最初的内部 IP。这将覆盖所有要发送到来自 GlobalProtect 隧道接口的未知地址的数据包。

屏幕截图2013-10-15 在 2.00.01 PM. png