Utilizar una VPN de Sucursal para la Conmutación por Error de una Línea Concesionada (BGP)

Este tema proporciona un ejemplo de cómo configurar la conmutación por error desde una línea arrendada que usa BGP a una VPN de sucursal. Para ver una vista general acerca de cómo funciona la conmutación por error de una VPN de sucursal, consulte Configurar una VPN de Sucursal para la Conmutación por Error desde una Línea Arrendada.

En este ejemplo, una organización tiene una línea arrendada privada que se conecta con Firebox en dos sucursales. La línea arrendada está conectada a una interfaz de confianza de Firebox en cada sitio. El administrador de red desea configurar una conexión de VPN de sucursal entre las dos oficinas, para usarla para la conmutación por error si la conexión de la línea arrendada no está disponible.

Este diagrama muestra la configuración que se aplica a cada sitio para este ejemplo.

Diagrama de conmutación por error de red

Ejemplo de Configuración de Red

Para este ejemplo, las dos oficinas usan estas direcciones IP.

  Firebox de Oficina Principal Oficina Regional Firebox
Dirección IP de la interfaz externa 203.0.113.2/24 198.51.100.2/24
Dirección IP de la puerta de enlace predeterminada 203.0.113.1 198.51.100.1
Dirección IP de la interfaz de confianza conectada con la red de confianza 10.0.1.1/24 10.50.1.1/24

Dirección IP de la red de confianza

 10.0.1.0/24 10.50.1.0/24
Dirección IP de la interfaz de confianza conectada con la línea arrendada 192.168.100.1/30 192.168.100.2/30

Configurar Dynamic Routing en la Oficina Principal

Para usar la conexión de VPN de sucursal para la conmutación por error, debe habilitar el enrutamiento dinámico en el Firebox en cada sitio. Puede usar cualquier protocolo de enrutamiento dinámico admitido (RIPv1, RIPv2, OSPF o BGP v4). Para este ejemplo, se usa BGP.

Para configurar el enrutamiento dinámico en la sede social de Firebox, desde Fireware Web UI o el Policy Manager:

  1. Seleccione Red > Dynamic Routing.
    Aparece la página Configurar Dynamic Routing.
  2. Seleccione la casilla de selección Habilitar Dynamic Routing.
  3. Seleccione la pestaña BGP.
  4. Marque la casilla de selección Habilitar.
  5. Pegue el archivo de configuración del demonio de enrutamiento en el cuadro de texto de la pestaña BGP.

Para la oficina principal, el archivo de configuración del demonio de enrutamiento de BGP contiene el siguiente texto:

router bgp 65534
network 10.0.1.0/24
neighbor 192.168.100.2 remote-as 65535

Configurar Dynamic Routing en la Oficina Regional

Para habilitar el enrutamiento dinámico con BGP en el Firebox en la oficina regional, repita los pasos de la sección anterior.

Para la oficina regional, el archivo de configuración del demonio de enrutamiento de BGP contiene el siguiente texto:

router bgp 65534
network 10.50.1.0/24
neighbor 192.168.100.1 remote-as 65535

Configurar la VPN en la Oficina Principal

Para este ejemplo, usamos los ajustes predeterminados de la Fase 1 y Fase 2.

En la Oficina Principal, Configure la Puerta de Enlace de VPN a la Oficina Regional

  1. Seleccione VPN > VPN de Sucursal.
  2. A un costado de la lista Puertas de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva puerta de enlace.Aparece la página de configuraciones de Puerta de Enlace.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta de enlace.

    Para este ejemplo, ingrese MO-RO-GWY.
  4. Seleccione Usar Clave Precompartida. Introduzca una clave compartida para usar en ambos dispositivos.
  5. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace

Screen shot of the Gateway Endpoint Settings dialog box, Local Gateway tab

  1. En la lista desplegable Interfaz Externa, seleccione la interfaz externa.
  2. Seleccione Por Dirección IP. En el cuadro de texto adyacente, ingrese la dirección IP de interfaz externa para el Firebox de la oficina principal, 203.0.113.2.
  3. Seleccione la pestaña Puerta de Enlace Remota.

Screen shot of the Gateway Endpoint Settings dialog box, Remote Gateway tab

  1. En la sección Puerta de Enlace Remota, para la dirección IP de la puerta de enlace remota, ingrese la dirección IP de la interfaz externa para el Firebox en la oficina regional, 198.51.100.2.
  2. En la sección Puerta de Enlace Remota, para el ID de la puerta de enlace, ingrese la dirección IP de la interfaz externa para el Firebox en la oficina regional, 198.51.100.2.
  3. Haga clic en Aceptar.
    Los Endpoints de la Puerta de Enlace que agregó aparecen en el cuadro de diálogo Nueva Puerta de Enlace.
  4. Haga clic en Guardar.
  1. Seleccione VPN > Puertas de Enlace de Sucursal.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva puerta de enlace.Aparece la página de configuraciones de Puerta de Enlace.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta de enlace.
    Para este ejemplo, ingrese MO-RO-GWY.
  4. Seleccione Usar Clave Precompartida. Introduzca una clave compartida para usar en ambos dispositivos.
  5. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Endpoints de la Nueva Puerta de Enlace.

Screen shot of the New Gateway Endpoint Settings MO-BO-GWY dialog box

  1. En la sección Puerta de Enlace Local, seleccione Por Dirección IP.
  2. En el cuadro de texto Dirección IP, ingrese la dirección IP de interfaz externa para el Firebox de la oficina principal, 203.0.113.2.
  3. En la sección Puerta de Enlace Remota, seleccione dirección IP Estática.
  4. En el cuadro de texto Dirección IP adyacente, ingrese la dirección IP de interfaz externa para el Firebox de la oficina regional, 198.51.100.2.
  5. Para la ID de la puerta de enlace, seleccione Por Dirección IP. Escriba la dirección IP de la interfaz externa para el Firebox en la oficina regional, 198.51.100.2.
  6. Haga clic en Aceptar.
    Los Endpoints de la Puerta de Enlace que agregó aparecen en el cuadro de diálogo Nueva Puerta de Enlace.
  7. Haga clic en Aceptar.

En la Oficina Principal, Configure el Túnel de VPN a la Oficina Regional

Después de haber configurado la puerta de enlace VPN en la sede social de Firebox, configure el túnel VPN a la oficina regional.

  1. Seleccione VPN > VPN de Sucursal.
  2. En la sección Túneles, haga clic en Agregar.
    Aparece el cuadro de diálogo Nuevo Túnel.
  3. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  4. En la lista desplegable Puerta de Enlace, seleccione la puerta de enlace que agregó.
    Para este ejemplo, seleccione MO-RO-GWY.
  5. Haga clic en Agregar.

    Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings page

  1. En la sección IP Local, en la lista desplegable Elegir Tipo, seleccione Red IPv4.
  2. En el cuadro de texto IP de Red, ingrese la dirección IP de la red de confianza en la oficina principal, 10.0.1.0/24.
  3. En la sección IP Remota, en la lista desplegable Elegir Tipo, seleccione Red IPv4.
  4. En el cuadro de texto IP de Red, ingrese la dirección IP de la red de confianza en la oficina regional, 10.50.1.0/24.
  5. Haga clic en Aceptar.

    La ruta del túnel aparece en el cuadro de diálogo Nuevo Túnel.
  1. Seleccione VPN > Túneles de Sucursal.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nuevo Túnel.
  3. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  4. En la lista desplegable Puerta de Enlace, seleccione la puerta de enlace que agregó.
    Para este ejemplo, seleccione MO-RO-GWY.
  5. Haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings dialog box

  1. En el cuadro de texto Local, ingrese la dirección IP de la red de confianza en la oficina principal, 10.0.1.0/24.
  2. En el cuadro de texto Remoto, ingrese la dirección IP de la red de confianza en la oficina regional, 10.50.1.0/24.
  3. Haga clic en Aceptar.
    La ruta del túnel aparece en el cuadro de diálogo Nuevo Túnel.

En la Oficina Principal, Establezca la Configuración de VPN Global para Habilitar la Conmutación por Error

  1. Seleccione VPN > Configuraciones Globales.
    Aparece el cuadro de diálogo Configuración de VPN Global.

Screen shot of the Global VPN Settings page

  1. Seleccione la casilla de selección Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec.
  2. Haga clic en Guardar.
  1. Seleccione VPN > Configuraciones de VPN.
    Aparece el cuadro de diálogo Configuraciones de VPN.

Screen shot of the IPSec Settings section of the VPN Settings dialog box

  1. Seleccione la casilla de selección Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec.
  2. Haga clic en Aceptar.
  3. Guarde la configuración en el dispositivo.

Configurar la VPN en la Oficina Regional

Configure la VPN en la oficina regional con la configuración que corresponde a la configuración de la oficina principal.

En la Oficina Regional, Configure la Puerta de Enlace de la VPN a la Oficina Principal

  1. Seleccione VPN > VPN de Sucursal.
  2. En la sección Puertas de enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva Puerta de Enlace.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta de enlace.

    Para este ejemplo, ingrese RO-MO-GWY.
  4. Seleccione Usar Clave Precompartida. Introduzca una clave compartida para usar en ambos dispositivos.
  5. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.

    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.

Screen shot of the Gateway Endpoint Settings dialog box, Local Gateway tab

  1. En la lista desplegable Interfaz Externa, seleccione la interfaz externa.
  2. Seleccione Por Dirección IP.
  3. En el cuadro de texto adyacente, ingrese la dirección IP de interfaz externa para el Firebox de la oficina regional, 198.51.100.2.
  4. Seleccione la pestaña Puerta de Enlace Remota.

Screen shot of the Gateway Endpoint Settings dialog box, Remote Gateway tab

  1. Seleccione Dirección IP Estática.
  2. En el cuadro de texto adyacente, ingrese la dirección IP de interfaz externa para el Firebox de la oficina principal, 203.0.113.2.
  3. Para la ID de la puerta de enlace, seleccione Por Dirección IP.
  4. En el cuadro de texto adyacente, ingrese la dirección IP de interfaz externa para el Firebox de la oficina principal, 203.0.113.2.
  5. Haga clic en Aceptar.
    Los Endpoints de la Puerta de Enlace que agregó aparecen en el cuadro de diálogo Nueva Puerta de Enlace.
  6. Haga clic en Guardar.
  1. Seleccione VPN > Puertas de Enlace de Sucursal.
  2. Haga clic en Agregar.

    Aparece el cuadro de diálogo Nueva Puerta de Enlace.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta de enlace.
    Para este ejemplo, ingrese RO-MO-GWY.
  4. Seleccione Usar Clave Precompartida. Introduzca una clave compartida para usar en ambos dispositivos.
  5. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.

Screen shot of the New Gateway Endpoints Settings RO-MO-GWY dialog box

  1. En la lista desplegable Interfaz Externa, seleccione la interfaz externa.
  2. En el cuadro de texto adyacente, ingrese la dirección IP de interfaz para el Firebox de la oficina regional, 198.51.100.2.
  3. En la sección Puerta de Enlace Remota, seleccione Dirección IP Estática.
  4. En el cuadro de texto adyacente, ingrese la dirección IP de interfaz externa para el Firebox de la oficina principal, 203.0.113.2.
  5. Para la ID de la puerta de enlace, introduzca la dirección IP de interfaz externa para el Firebox en la oficina principal, 203.0.113.2.
  6. Haga clic en Aceptar.
    Los Endpoints de la Puerta de Enlace que agregó aparecen en el cuadro de diálogo Nueva Puerta de Enlace.
  7. Haga clic en Aceptar.

En la Oficina Regional, Configure el Túnel de VPN para la Oficina Principal

  1. Seleccione VPN > VPN de Sucursal.
  2. En la sección Túneles, haga clic en Agregar.
    Aparece el cuadro de diálogo Nuevo Túnel.
  3. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  4. En la lista desplegable Puerta de Enlace, seleccione la puerta de enlace que agregó.
    Para este ejemplo, seleccione RO-MO-GWY.
  5. Haga clic en Agregar.

    Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings page

  1. En la sección IP Local, en la lista desplegable Elegir Tipo, seleccione Red IPv4.
  2. En el cuadro de texto IP de Red, ingrese la dirección IP de la red de confianza en la oficina regional, 10.50.1.0/24.
  3. En la sección IP Remota, en la lista desplegable Elegir Tipo, seleccione Red IPv4.
  4. En el cuadro de texto IP de Red, ingrese la dirección IP de la red de confianza en la oficina principal, 10.0.1.0/24.
  5. Haga clic en Aceptar.

    La ruta del túnel aparece en el cuadro de diálogo Nuevo Túnel.
  1. Seleccione VPN > Túneles de Sucursal.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nuevo Túnel.
  3. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  4. En la lista desplegable Puerta de Enlace, seleccione la puerta de enlace que agregó.
    Para este ejemplo, seleccione RO-MO-GWY.
  5. Haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings dialog box

  1. En el cuadro de texto Local, ingrese la dirección IP de la red de confianza en la oficina regional, 10.50.1.0/24.
  2. En el cuadro de texto Remoto, ingrese la dirección IP de la red de confianza en la oficina principal, 10.0.1.0/24.
  3. Haga clic en Aceptar.
    La ruta del túnel aparece en el cuadro de diálogo Nuevo Túnel.

En la Oficina Regional, Establezca la Configuración de VPN Global para Habilitar la Conmutación por Error

  1. Seleccione VPN > Configuraciones Globales.
    Aparece el cuadro de diálogo Configuración de VPN Global.

Screen shot of the Global VPN Settings page

  1. Seleccione la casilla de selección Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec.
  2. Haga clic en Guardar.
  1. Seleccione VPN > Configuraciones de VPN.
    Aparece el cuadro de diálogo Configuraciones de VPN.

Screen shot of the IPSec Settings section of the VPN Settings dialog box

  1. Seleccione la casilla de selección Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec.
  2. Haga clic en Aceptar.
  3. Guarde la configuración en el dispositivo.

Para obtener más información acerca de cómo configurar BGP, consulte Configurar Enrutamiento IPv4 y IPv6 con BGP.

Ver También

Configurar una VPN de Sucursal para la Conmutación por Error desde una Línea Arrendada

Utilizar una VPN de Sucursal para la Conmutación por Error de una Línea Concesionada (OSPF)