Interfaz BOVPN Virtual con Conmutación por Error Basada en Indicador

Debido a que utiliza rutas para definir qué tráfico enviar a través de una interfaz virtual BOVPN, puede crear más de una interfaz virtual BOVPN, y establecer diferentes métricas para rutas múltiples en la misma red. Esto le permite configurar rutas de interfaz virtual BOVPN a través de un túnel primario que conmute por error a las rutas de interfaz virtual BOVPN a través de otro túnel si el túnel primario no está disponible.

Situación de ejemplo

Este ejemplo muestra como ajustar las configuraciones para dos interfaces virtuales BOVPN entre Firebox en el Sitio A y el Sitio B. Esta configuración utiliza métricas de ruta diferentes en la configuración de la interfaz virtual BOVPN para controlar qué rutas de interfaz virtual BOVPN son preferidas.

Para este ejemplo, asumimos que el dispositivo en el Sitio A tiene dos interfaces externas, y que una de las interfaces externas es la ruta preferida para el tráfico de salida hacia el Sitio B, ya sea porque esa interfaz es de bajo costo o tiene un rendimiento más rápido. La segunda interfaz externa se utiliza para tráfico VPN solo cuando la interfaz externa primaria no está disponible.

Firebox del Sitio A

Para este ejemplo, el Firebox del Sitio A tiene dos interfaces externas, una red de confianza, y una red opcional.

Interfaz Tipo Nombre Dirección IP
0 Externas Externas 203.0.113.2/24
1 De Confianza De Confianza 10.0.1.1/24
2 Opcional Optional-1 (Opcional-1) 10.0.2.1/24
3 Externas Externa-2 190.0.2.2/24

Firebox del Sitio B

Para este ejemplo, el Firebox del Sitio B tiene una interfaz externa, y una red de confianza.

Interfaz Tipo Nombre Dirección IP
0 Externas Externas 198.51.100.2/24
1 De Confianza De Confianza 10.50.1.1/24

Configuración de Interfaz Virtual BOVPN

Los Fireboxes en cada sitio deberán tener dos interfaces virtuales BOVPN configuradas. Una interfaz virtual BOVPN utiliza la interfaz 0 (Externa) en el dispositivo del Sitio A, y la segunda interfaz virtual BOVPN utiliza la interfaz 3 (Externa-2) en el dispositivo del Sitio A. Debido a que la interfaz 0 es la interfaz preferida para el tráfico VPN entre estos dispositivos, la interfaz virtual BOVPN primaria que utiliza la interfaz 0 posee rutas con métrica baja. Esto le da a las rutas a través de la interfaz virtual BOVPN primaria la más alta prioridad, cuando esa interfaz virtual esté disponible. Las mismas rutas en la interfaz virtual BOVPN que utiliza la interfaz externa menos preferida tiene para cada una métrica más alta, de manera que estas rutas solo sean utilizadas si las rutas a través de las otras interfaces virtuales BOVPN no están disponibles.

Las interfaces virtuales BOVPN en cada Firebox se deben ajustar para que utilicen la misma configuración. Para este ejemplo, asumimos que el Sitio A y el Sitio B concuerdan en utilizar una clave precompartida. El resto de los ajustes de la interfaz virtual BOVPN quedarán con sus valores predeterminados.

Interfaces Virtuales BOVPN del Sitio A

La interfaz virtual BOVPN primaria en el Sitio A utiliza estas configuraciones de puerta de enlace:

  • En Fireware v11.12 o superior, aparece una lista desplegable Tipo de Endpoint Remoto que contiene dos opciones: Firebox y Cloud VPN o Puerta de Enlace de Terceros. Para configurar un túnel entre dos dispositivos Firebox, seleccione el tipo de endpoint Firebox, que usa el protocolo GRE para encapsular el túnel IPSec.
  • El Método de Credencial utiliza la clave precompartida que utilizan los dos sitios.
  • La lista Endpoints de Puerta de Enlace incluye un par de endpoints de puerta de enlace:
    • Interfaz Externa: Externa
    • Puerta de enlace local: 203.0.113.2 (la dirección IP de la primera interfaz externa en el Firebox del Sitio A)
    • Puerta de enlace remota: 198.51.100.2 (la dirección IP de interfaz externa del Firebox del Sitio B)

Screen shot of the Gateway Endpoint configuration for the primary BOVPN virtual interface at Site A
El par de endpoints de puerta de enlace configurados para la interfaz virtual BOVPN primaria del Sitio A en Fireware Web UI

Screen shot of the Gateway Endpoints configuration for the primary BOVPN virtual interface at Site A
El par de endpoints de puerta de enlace configurados para la interfaz virtual BOVPN primaria del Sitio A en Policy Manager

La interfaz virtual BOVPN primaria en el Sitio A tiene una ruta VPN hacia la red de confianza en el Sitio B:

  • Ruta hacia 10.50.1.0/24, Métrica 1

Screen shot of the VPN routes for the primary BOVPN virtual interface on the Site A device
La ruta VPN configurada para la interfaz virtual BOVPN primaria del Sitio A en Fireware Web UI

Screen shot of the VPN routes for the primary BOVPN virtual interface on the Site A device
La ruta VPN configurada para la interfaz virtual BOVPN primaria del Sitio A en Policy Manager

La interfaz virtual BOVPN secundaria en el Sitio A utiliza estas configuraciones de puerta de enlace:

  • En Fireware v11.12 o superior, aparece una lista desplegable Tipo de Endpoint Remoto que contiene dos opciones: Firebox y Cloud VPN o Puerta de Enlace de Terceros. Para configurar un túnel entre dos dispositivos Firebox, seleccione el tipo de endpoint Firebox, que usa el protocolo GRE para encapsular el túnel IPSec.
  • El Método de Credencial utiliza la clave precompartida que utilizan los dos sitios.
  • La lista Endpoints de Puerta de Enlace incluye un par de endpoints de puerta de enlace:
    • Interfaz Externa: Externa-2
    • Puerta de enlace local: 190.0.2.2 (la dirección IP de la segunda interfaz externa en el Firebox del Sitio A)
    • Puerta de enlace remota: 198.51.100.2 (la dirección IP de la interfaz externa en el Firebox del Sitio B)

Screen shot of the Gateway Endpoints configuration for the secondary BOVPN virtual interface at Site A
El par de endpoints de puerta de enlace configurados para la interfaz virtual BOVPN secundaria del Sitio A en Fireware Web UI

Screen shot of the Gateway Endpoints configuration for the secondary BOVPN virtual interface at Site A
El par de endpoints de puerta de enlace configurados para la interfaz virtual BOVPN secundaria del Sitio A en Policy Manager

La interfaz virtual BOVPN secundaria en el Sitio A tiene una ruta VPN hacia la red de confianza en el Sitio B:

  • Ruta hacia 10.50.1.0/24, Métrica 200

Screen shot of the VPN routes for the secondary BOVPN virtual interface on the Site A device
La ruta VPN configurada para la interfaz virtual BOVPN secundaria del Sitio A en Fireware Web UI

Screen shot of the VPN routes for the secondary BOVPN virtual interface on the Site A device
La ruta VPN configurada para la interfaz virtual BOVPN secundaria del Sitio A en Policy Manager

Interfaces Virtuales BOVPN del Sitio B

El dispositivo en el Sitio B tiene dos interfaces virtuales BOVPN.

La interfaz virtual BOVPN primaria en el Sitio B utiliza estas configuraciones de puerta de enlace:

  • En Fireware v11.12 o superior, aparece una lista desplegable Tipo de Endpoint Remoto que contiene dos opciones: Firebox y Cloud VPN o Puerta de Enlace de Terceros. Para configurar un túnel entre dos dispositivos Firebox, seleccione el tipo de endpoint Firebox, que usa el protocolo GRE para encapsular el túnel IPSec.
  • El Método de Credencial utiliza la clave precompartida que utilizan los dos sitios.
  • La lista Endpoints de Puerta de Enlace incluye un par de endpoints de puerta de enlace:
    • Puerta de enlace local: 198.51.100.2 (la dirección IP de la interfaz externa en el Firebox del Sitio B)
    • Puerta de enlace remota: 203.0.113.2 (la dirección IP de la primera interfaz externa en el Firebox del Sitio A)

Screen shot of the Gateway Endpoint configuration for the primary BOVPN virtual interface at Site B
El par de endpoints de puerta de enlace para la interfaz virtual BOVPN primaria del Sitio B en Fireware Web UI

Screen shot of the Gateway Endpoints configuration for the primary BOVPN virtual interface at Site B
El par de endpoints de puerta de enlace para la interfaz virtual BOVPN primaria del Sitio B en Policy Manager

La interfaz virtual BOVPN primaria en el Sitio B tiene dos rutas VPN hacia la red de confianza y las redes opcionales en el Sitio A:

  • Ruta hacia 10.0.1.0/24, Métrica 1
  • Ruta hacia 10.0.2.0/24, Métrica 1

Screen shot of the VPN routes for the primary BOVPN virtual interface on the Site B device
Las rutas VPN configuradas para la interfaz virtual BOVPN primaria del Sitio B en Fireware Web UI

Screen shot of the VPN routes for the primary BOVPN virtual interface on the Site B device
Las rutas VPN configuradas para la interfaz virtual BOVPN primaria del Sitio B en Policy Manager

La interfaz virtual BOVPN secundaria en el Sitio B utiliza estas configuraciones de puerta de enlace:

  • En Fireware v11.12 o superior, aparece una lista desplegable Tipo de Endpoint Remoto que contiene dos opciones: Firebox y Cloud VPN o Puerta de Enlace de Terceros. Para configurar un túnel entre dos dispositivos Firebox, seleccione el tipo de endpoint Firebox, que usa el protocolo GRE para encapsular el túnel IPSec.
  • El Método de Credencial utiliza la clave precompartida que utilizan los dos sitios.
  • La lista Endpoints de Puerta de Enlace incluye un par de endpoints de puerta de enlace:
    • Puerta de enlace local: 198.51.100.2 (la dirección IP de la interfaz externa en el Firebox del Sitio B)
    • Puerta de enlace remota: 190.0.2.2 (la dirección IP de la segunda interfaz externa en el Firebox del Sitio A)

Screen shot of the Gateway Endpoints configuration for the secondary BOVPN virtual interface at Site B
El par de endpoints de puerta de enlace configurados para la interfaz virtual BOVPN secundaria del Sitio B en Fireware Web UI

Screen shot of the Gateway Endpoints configuration for the secondary BOVPN virtual interface at Site B
El par de endpoints de puerta de enlace configurados para la interfaz virtual BOVPN secundaria del Sitio B en Policy Manager

La interfaz virtual BOVPN secundaria en el Sitio B tiene dos rutas VPN hacia la red de confianza y las redes opcionales en el Sitio A:

  • Ruta hacia 10.0.1.0/24, Métrica 200
  • Ruta hacia 10.0.2.0/24, Métrica 200

Screen shot of the VPN routes for the secondary BOVPN virtual interface on the Site B device
Las rutas VPN configuradas para la interfaz virtual BOVPN secundaria del Sitio B en Fireware Web UI

Screen shot of the VPN routes for the secondary BOVPN virtual interface on the Site B device
Las rutas VPN configuradas para la interfaz virtual BOVPN secundaria del Sitio B en Policy Manager.

Cómo Funciona esta Configuración

En este ejemplo, cada Firebox tiene dos interfaces virtuales BOVPN hacia un par Firebox. Las rutas configuradas para las dos interfaces virtuales BOVPN son las mismas, con excepción de las métricas. El Firebox utiliza la ruta con la métrica más baja (prioridad más alta). Esto significa que:

Si ambas interfaces BOVPN están disponibles

El Firebox utiliza las rutas a través de la interfaz virtual BOVPN primaria, debido a que esas rutas tienen la prioridad más alta (métrica más baja).

Si la interfaz virtual BOVPN primaria no está disponible, pero la interfaz virtual BOVPN secundaria sí lo está

El Firebox cambia automáticamente las métricas para las rutas que utilizan la interfaz virtual BOVPN primaria a 255, para darle a estas rutas la prioridad más baja. Luego, el Firebox utiliza las rutas a través de la segunda interfaz virtual BOVPN, debido a que esas rutas con una métrica de 200 son ahora las rutas de más alta prioridad hacia ese destino.

Cuando la interfaz virtual BOVPN primaria vuelve a estar disponible

El Firebox cambia automáticamente las métricas de las rutas para que las rutas a través de la interfaz virtual BOVPN primaria vuelvan a la métrica de ruta configurada, en este caso 1. El tráfico entre los dos sitios utiliza automáticamente las rutas a través de la interfaz virtual BOVPN primaria debido a que esas rutas ahora tienen la más alta prioridad.

Puede configurar de manera opcional el Firebox para que elimine la ruta completamente, en vez de incrementar la métrica cuando la ruta no esté disponible. Para más información, consulte Acerca de las Configuraciones de VPN Global.

Ver También

Configurar una Interfaz BOVPN Virtual

Configurar Rutas VPN

Ejemplos de Interfaz BOVPN Virtual