в предлагаемой схеме 2 DFL - Master & Slave
настраиваем адресную книгу Master dfl Master_lannet - 192.168.1.0/24 Master_wan1 - 1.1.1.10 Master_wan2 - 2.2.2.20 Slave_wan1 - 3.3.3.30 Slave_wan2 - 4.4.4.40 Slave_lannet 192.168.2.0/24 remote_GRE1 - 192.168.22.1 remote_GRE2 - 192.168.22.2 remote_GRE3 - 192.168.22.3 remote_GRE4 - 192.168.22.4 local_GRE1 - 192.168.11.1 local_GRE2 - 192.168.11.2 local_GRE3 - 192.168.11.3 local_GRE4 - 192.168.11.4 remote_IPSec_1 - 192.168.2.221 remote_IPSec_2 - 192.168.2.222 remote_IPSec_3 - 192.168.2.223 remote_IPSec_4 - 192.168.2.224 local_IPSec_1 - 192.168.1.221 local_IPSec_2 - 192.168.1.222 local_IPSec_3 - 192.168.1.223 local_IPSec_4 - 192.168.1.224 делаем группу адресов LOCAL_NETS, добавляем туда Master_lannet и Slave_lannet
настраиваем адресную книгу Slave dfl Slave_wan1 - 3.3.3.30 Slave_wan2 - 4.4.4.40 Slave_lannet 192.168.2.0/24 Master_lannet - 192.168.1.0/24 Master_wan1 - 1.1.1.10 Master_wan2 - 2.2.2.20 remote_GRE1 - 192.168.11.1 remote_GRE2 - 192.168.11.2 remote_GRE3 - 192.168.11.3 remote_GRE4 - 192.168.11.4 local_GRE1 - 192.168.22.1 local_GRE2 - 192.168.22.2 local_GRE3 - 192.168.22.3 local_GRE4 - 192.168.22.4 remote_IPSec_1 - 192.168.1.221 remote_IPSec_2 - 192.168.1.222 remote_IPSec_3 - 192.168.1.223 remote_IPSec_4 - 192.168.1.224 local_IPSec_1 - 192.168.2.221 local_IPSec_2 - 192.168.2.222 local_IPSec_3 - 192.168.2.223 local_IPSec_4 - 192.168.2.224 делаем группу адресов LOCAL_NETS, добавляем туда Master_lannet и Slave_lannet
далее для каждого DFL создаем по две дополнительные таблицы маршрутизации, называем их WAN1 и WAN2 WAN1: interface WAN1, Network All-nets, gateway Wan1_gw, metric 80 WAN2: interface WAN2, Network All-nets, gateway Wan2_gw, metric 80 смысл в том, чтобы весь трафик при использовании этой таблицы шел в жестко заданный WAN. Мониторинг тут не нужен.
создаем 4 GRE тоннеля, галки добавления маршрута в таблицу и динамического маршрута везде отключаем. Master DFL: GRE1: IP address local_GRE1, Remote network не указываем, Remote endpoint - Slave_wan1, Outgoing Routing Table - WAN1 GRE2: IP address local_GRE2, Remote network не указываем, Remote endpoint - Slave_wan2, Outgoing Routing Table - WAN2 GRE3: IP address local_GRE3, Remote network не указываем, Remote endpoint - Slave_wan2, Outgoing Routing Table - WAN1 GRE4: IP address local_GRE4, Remote network не указываем, Remote endpoint - Slave_wan1, Outgoing Routing Table - WAN2 Slave DFL: GRE1: IP address local_GRE1, Remote network не указываем, Remote endpoint - Master_wan1, Outgoing Routing Table - WAN1 GRE2: IP address local_GRE2, Remote network не указываем, Remote endpoint - Master_wan2, Outgoing Routing Table - WAN2 GRE3: IP address local_GRE3, Remote network не указываем, Remote endpoint - Master_wan1, Outgoing Routing Table - WAN2 GRE4: IP address local_GRE4, Remote network не указываем, Remote endpoint - Master_wan2, Outgoing Routing Table - WAN1
добавляем созданные каналы в Interface Groups»LOCAL_Group вместе с LAN добавляем оба WAN в Interface Groups»WANS_Group
в Main IP Rules добавляем правила LOCAL_LANs_to_core: Action: allow, Source Interface: LOCAL_Group, Source Network: LOCAL_NETS, Destination Interface: core, Destination Network: LOCAL_NETS, Service: all_tcpudpicmp InternalRule: Action: allow, Source Interface: LOCAL_Group, Source Network: LOCAL_NETS, Destination Interface: LOCAL_Group, Destination Network: LOCAL_NETS, Service: all_tcpudpicmp allow_standard: Action: NAT, Source Interface: LOCAL_Group, Source Network: LOCAL_NETS, Destination Interface: WANS_Group, Destination Network: all-nets, Service: all_tcpudpicmp, NAT action: Use interface address
в таблицу Main добавляем маршруты для GRE: Interface: GRE1, Network: remote_GRE1, Gateway: (None), Local IP address: (None), Metric 10 Interface: GRE2, Network: remote_GRE2, Gateway: (None), Local IP address: (None), Metric 10 Interface: GRE3, Network: remote_GRE3, Gateway: (None), Local IP address: (None), Metric 10 Interface: GRE4, Network: remote_GRE4, Gateway: (None), Local IP address: (None), Metric 10 смысл в том, чтобы при обращении к IP-адресу GRE-канала завернуть трафик именно в него.
далее создаем 4 IPSec канала, убираем галки автоматического добавления маршрута IPSec1: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE1, Outgoing Routing Table: main, Local Endpoint: local_GRE1, Incoming Interface Filter: any, IP Address: local_IPSec_1 IPSec2: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE2, Outgoing Routing Table: main, Local Endpoint: local_GRE2, Incoming Interface Filter: any, IP Address: local_IPSec_2 IPSec3: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE3, Outgoing Routing Table: main, Local Endpoint: local_GRE3, Incoming Interface Filter: any, IP Address: local_IPSec_3 IPSec4: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE4, Outgoing Routing Table: main, Local Endpoint: local_GRE4, Incoming Interface Filter: any, IP Address: local_IPSec_4
в таблицу Main добавляем маршруты для IPSec: Interface: IPSec1, Network: remote_IPSec_1 , Gateway: (None), Local IP address: (None), Metric 10 Interface: IPSec2, Network: remote_IPSec_2 , Gateway: (None), Local IP address: (None), Metric 10 Interface: IPSec3, Network: remote_IPSec_3 , Gateway: (None), Local IP address: (None), Metric 10 Interface: IPSec4, Network: remote_IPSec_4 , Gateway: (None), Local IP address: (None), Metric 10 эти маршруты создаются для правильной работы мониторинга каналов, который мы сейчас сделаем:
в таблицу Main добавляем маршруты для Slave_lannet: Interface: IPSec1, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 21, мониторинг пингом хоста remote_IPSec_1 Interface: IPSec2, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 22, мониторинг пингом хоста remote_IPSec_2 Interface: IPSec3, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 23, мониторинг пингом хоста remote_IPSec_3 Interface: IPSec4, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 24, мониторинг пингом хоста remote_IPSec_4
то же самое на Slave DFL, только для Master_lannet
собственно, это всё. Каналы подняты постоянно, мониторинг работает, пропажа линка быстро отрабатывается. все настройки IPSec не стал приводить, там все стандартно, написал только ключевые параметры.
|