Ejemplos de Interfaz BOVPN Virtual

Cuando configura una VPN de sucursal como interfaz virtual, el Firebox envía un paquete a través del túnel basado en la interfaz saliente para el paquete. La interfaz virtual BOVPN se encuentra en la tabla de enrutamiento, y la decisión de enviar tráfico a través del túnel VPN se ve afectada por rutas estáticas y dinámicas, y por enrutamiento SD-WAN. Esto proporciona flexibilidad para la manera en que puede configurar el Firebox para usar un túnel BOVPN.

Dado que la interfaz virtual BOVPN se considera otra interfaz en la configuración, brinda muchas configuraciones flexibles y opciones de enrutamiento. Este tema incluye estas opciones de configuración:

Si cualquiera de los endpoints está detrás de un dispositivo NAT, recomendamos que configure direcciones IP virtuales. Para obtener más información acerca de las direcciones IP virtuales, consulte Configurar Direcciones IP de Interfaz Virtual BOVPN.

En Fireware v12.3 o superior, SD-WAN reemplaza el enrutamiento basado en la política. En Fireware v12.2.1 o anterior, para enrutar el tráfico a una interfaz externa distinta, debe usar el enrutamiento basado en la política. Cuando actualiza a Fireware v12.3 o superior, el enrutamiento basado en la política sin conmutación por error se convierte en una acción SD-WAN con una sola interfaz. El enrutamiento basado en la política con la conmutación por error se convierte a una acción SD-WAN con múltiples interfaces. En Policy Manager, aún está disponible el ajuste del enrutamiento basado en la política para la compatibilidad con versiones anteriores de Fireware OS. Para obtener más información sobre el enrutamiento basado en la política, consulte Configurar Enrutamiento Basado en la Política en Fireware v12.2.1 o inferior en la Base de Conocimiento de WatchGuard.

Conmutación por Error y Conmutación por Recuperación Basadas en Métricas de la Tabla de Enrutamiento

Diagrama de una conexión MPLS y BOVPN entre dos sitios

Objetivo

Para dos sitios que están conectados con un enlace MPLS, habilitar el tráfico para conmutar por error y conmutar por recuperación automáticamente a una conexión VPN de sucursal secundaria sobre una red IP.

Resumen de Configuración

  • Configurar las interfaces externas para la conexión primaria entre dos sitios a través de una red MPLS. La conexión primaria debe usar el enrutamiento dinámico o se debe configurar como una interfaz virtual BOVPN. Esto es necesario para que la ruta primaria obtenga una métrica más alta o para que sea eliminada de la tabla de enrutamiento cuando la conexión primaria no está disponible.
  • Configurar una interfaz virtual BOVPN para el enlace secundario entre dos sitios.
  • Agregar una interfaz virtual BOVPN de ruta estática y establecer una métrica más alta para la ruta (por ejemplo, 200).

Para ver un ejemplo detallado de la configuración, consulte Interfaz BOVPN Virtual con Conmutación por Error Basada en Indicador.

Cómo funciona

Con esta configuración, hay dos rutas entre los dos sitios:

  • Una ruta sobre la red MPLS
  • Otra ruta estática a través de la interfaz virtual BOVPN

Cuando dos rutas están disponibles, la decisión final sobre qué camino toma el paquete está basada en qué ruta tiene la prioridad más alta (una métrica más baja) que la otra. Dado que la ruta de la interfaz virtual BOVPN tiene una métrica alta, Firebox utiliza la ruta primaria a través del enlace MPLS cuando se encuentra disponible. Si el enlace MPLS no está disponible, la ruta primaria se elimina de la tabla de enrutamiento o se le asigna una métrica más alta que a la ruta para la interfaz virtual BOVPN secundaria. El Firebox luego utiliza la ruta para la interfaz virtual BOVPN secundaria porque tiene la métrica de ruta más baja. Cuando la ruta MPLS vuelve a estar disponible, Firebox automáticamente regresa para usar esa ruta, porque tiene una métrica más baja.

Puede usar una configuración similar para permitir la conmutación por error y conmutación por recuperación automáticos entre dos interfaces virtuales BOVPN. Para habilitar la conmutación por error y conmutación por recuperación automáticos, cree dos interfaces virtuales BOVPN, cada una con una ruta estática, y establezca la métrica para la ruta BOVPN preferida más baja que la métrica para la ruta BOVPN de respaldo.

Interfaz BOVPN Virtual con Dynamic Routing

Diagrama de una conexión BOVPN entre dos sitios, cada una con redes locales múltiples

Objetivo

Habilitar dos sitios para que intercambien información de forma dinámica sobre redes locales múltiples a través de un túnel VPN seguro. Con esta configuración, no tendrá que agregar manualmente y mantener explícitamente rutas configuradas entre todas las redes privadas en cada sitio.

Para configurar el enrutamiento dinámico con BGP a Microsoft Azure, debe utilizar Microsoft PowerShell. No se admite el Dynamic routing con OSPF para una red virtual de Microsoft Azure. Para obtener más información, consulte Interfaz Virtual BOVPN para Dynamic Routing a Microsoft Azure.

No se admite el Dynamic routing con OSPF a una red virtual de Amazon Web Services. Para obtener más información, consulte Interfaz Virtual BOVPN para Dynamic Routing a Amazon Web Services (AWS).

Resumen de configuración

  • Configurar una VPN de sucursal entre los dos sitios como una interfaz virtual BOVPN. En la pestaña Rutas VPN, configure las direcciones IP virtuales. Asegúrese de marcar la casilla de selección Iniciar túnel Fase 1 cuando esté inactivo.
  • Habilitar el enrutamiento dinámico entre los dos sitios. En la configuración de enrutamiento dinámico, utilice las direcciones IP virtuales como las direcciones IP de red punto.
    • Para OSPF, use el comando red, y configure la dirección IP par virtual con una máscara de red /32.
      Por ejemplo, network <peer_virtual_ip>/32 area 0.0.0.0
    • Para BGP, use el comando vecino y la dirección IP par virtual
      Por ejemplo, neighbor <peer_virtual_ip> remote-as 65535
  • Use comandos de enrutamiento dinámico para configurar para qué redes locales cada dispositivo propaga rutas. Para controlar las rutas dinámicas, puede usar el Costo de Interfaz para OSPF o la Preferencia Local para BGP. Para OSPF, mientras más bajo sea el Costo de Interfaz, más preferida será la ruta. Para BGP, mientras más alta sea la Preferencia Local, más preferida será la ruta.

Para ver ejemplos detallados de la configuración BOVPN con enrutamiento dinámico, consulte:

Cómo funciona

La interfaz virtual BOVPN realiza una conexión entre los dos sitios. Cada sitio propaga rutas para las redes locales, basadas en la configuración de enrutamiento dinámico. El protocolo de enrutamiento dinámico habilita cada una de las puertas de enlace para que aprendan automáticamente las rutas a las redes locales detrás de la puerta de enlace en el otro extremo del túnel BOVPN. El protocolo de enrutamiento dinámico que elija especifica si las rutas tienen preferencia basada en el Costo de Interfaz, Preferencia Local o ambas.

Interfaz Virtual BOVPN con Enrutamiento SD-WAN (Conmutación por Error Basada en Métricas)

Objetivo

Querrá asegurarse de que los usuarios experimenten una alta calidad de servicio para el tráfico sensible a la latencia, como las llamadas VoIP. En Fireware v12.4 o superior, puede lograr esto con el enrutamiento SD-WAN que utiliza métricas de rendimiento para la conmutación por error de la interfaz virtual BOVPN.

Resumen de Configuración

Consulte Conmutación por Error SD-WAN desde un Enlace MPLS a un Túnel de Interfaz Virtual BOVPN y Configurar SD-WAN.

Interfaz Virtual BOVPN con Enrutamiento SD-WAN (Sin Conmutación por Error)

Diagrama de dos sitios conectados por dos enlaces BOVPN, uno con latencia alta y el otro, baja

Objetivo

Un sitio (Sitio A) tiene una sola interfaz externa y dos puertas de enlace de VPN de sucursal a otro sitio (Sitio B) que tiene dos interfaces externas. Las dos conexiones de red en el Sitio B tienen distinta calidad o costo. El objetivo es enviar tráfico sensible a la latencia, tal como VoIP, a través del túnel mediante la red con la latencia más baja, y enviar todo el otro tráfico, como FTP, a través de la otra ruta de túnel.

En Fireware v12.3 o superior, SD-WAN reemplaza el enrutamiento basado en la política. Para obtener información sobre el funcionamiento de SD-WAN, consulte Acerca de SD-WAN.

Resumen de Configuración

En el dispositivo del Sitio A:

  • Configurar una interfaz virtual BOVPN entre la interfaz externa del Sitio A y el Sitio B que usa el enlace de latencia baja. En la pestaña Ruta de VPN no tiene que agregar rutas. La primera interfaz virtual BOVPN es bvpn1. Asegúrese de marcar la casilla de selección Iniciar túnel Fase 1 cuando esté inactivo en la configuración de la interfaz virtual BOVPN.
  • Configurar otra interfaz virtual BOVPN entre el Sitio A y la segunda interfaz Externa en el Sitio B. La segunda interfaz virtual BOVPN es bvpn2. Puede agregar rutas para otro tráfico.
  • Editar la política SIP para tráfico VoIP.
    • En la lista Desde, agregue la dirección de red de la red local donde se origina el tráfico que esta política administra.
    • En la lista Hacia, agrega la dirección de red de la red de confianza u opcional en el sitio remoto a donde se enruta el tráfico administrado por esta política.
    • (Fireware v12.2.1 o inferior) Habilite el enrutamiento basado en políticas. Seleccione la interfaz virtual BOVPN con una latencia más baja para esta política.
    • (Fireware v12.3 o superior) Seleccione o agregue una acción SD-WAN que utilice la interfaz virtual BOVPN con menor latencia.
  • Para el resto del tráfico, puede definir rutas estáticas o dinámicas, y usar la otra interfaz virtual BOVPN que tiene una latencia más alta.

En el dispositivo del Sitio B:

  • Configure una interfaz virtual BOVPN entre la primera interfaz Externa en el Sitio B y en el Sitio A. No tiene que agregar rutas en la pestaña Ruta VPN. Esta es bvpn1 y es el enlace de latencia baja en este ejemplo. Asegúrese de marcar la casilla Iniciar túnel Fase 1 cuando esté inactivo.
  • Configurar otra interfaz virtual BOVPN entre el Sitio A y la segunda interfaz Externa en el Sitio B. Esta es bvpn2. Puede agregar rutas para otro tráfico.
  • Editar la política SIP para tráfico VoIP.
    • En la lista Desde, agregue la dirección de red de la red local donde se origina el tráfico que esta política administra.
    • En la lista Hacia, agrega la dirección de red de la red de confianza u opcional en el sitio remoto a donde se enruta el tráfico administrado por esta política.
    • (Fireware v12.2.1 o inferior) Habilite el enrutamiento basado en políticas. Seleccione la interfaz virtual BOVPN con una latencia más baja para esta política.
    • (Fireware v12.3 o superior) Seleccione o agregue una acción SD-WAN que utilice la interfaz virtual BOVPN con menor latencia.
  • Para el resto del tráfico, puede definir rutas estáticas o dinámicas, y usar la otra interfaz virtual BOVPN que tiene una latencia más alta.

Cómo Funciona

Cada una de las dos interfaces virtuales BOVPN realizan una conexión entre los dos sitios. Las direcciones de origen y destino están especificadas por la política, que es la política SIP en este ejemplo. A pesar de que las rutas no están definidas en las configuraciones de la interfaz virtual BOVPN, la política SIP emplea enrutamiento SD-WAN (en Fireware v12.3 o superior) o basado en la política (en Fireware v12.2.1 o inferior) para redirigir el tráfico a través del túnel que tiene la conexión con latencia más baja. Esto cifra los paquetes y envía el tráfico a través del túnel.

Debe configurar en ruta inversa en el Sitio B. Por ejemplo, si una conexión SIP se origina en el Sitio A y va al Sitio B a través del túnel, el tráfico de respuesta se envía a través del mismo túnel del cual se recibió solo si en el Sitio B existe una ruta al sitio A.

Este ejemplo de configuración no proporciona conmutación por error al otro túnel. Sin embargo, en Fireware v12.4 o superior, puede usar SD-WAN para configurar la conmutación por error entre las interfaces virtuales BOVPN basada en las métricas de pérdida, latencia y oscilación. Consulte Acerca de SD-WAN y Configurar SD-WAN.

Interfaz Virtual BOVPN a un Firebox Administrado en la Nube

Para configurar una BOVPN en un Firebox administrado en la nube, agregue una interfaz virtual BOVPN con estos ajustes:

  • Tipo de Endpoint Remoto — Seleccione Cloud VPN o Puerta de Enlace de Tercero.
  • Ajustes de la Fase 1 — En los ajustes de la fase 1, seleccione IKEv2.

Configure todos los demás ajustes para que coincidan con los ajustes de VPN en el Firebox administrado en la nube.

  • Puerta de enlace remota — Especifique el nombre de dominio externo o la dirección IP del Firebox administrado en la nube.
  • Clave precompartida — Especifique la clave precompartida configurada en los ajustes de BOVPN del Firebox administrado en la nube.
  • Direcciones IP virtuales — Las direcciones IP virtuales especificadas en los ajustes de BOVPN del Firebox administrado en la nube.
  • Ajustes de la fase 1 — Configure el endpoint remoto para que use IKEv2, y especifique los ajustes de autenticación, cifrado, Duración de la SA y vencimiento de la clave especificados en los ajustes de BOVPN del Firebox administrado en la nube.
  • Ajustes de fase 2 — Configure el endpoint remoto para que use ESP (Encapsulating Security Payload), y especifique los ajustes de autenticación, cifrado y vencimiento de la clave especificados en la configuración de BOVPN del Firebox administrado en la nube.
  • Recursos de red — Configure el endpoint remoto para enrutar el tráfico a través de la VPN a los recursos de red del Firebox.

Desde la configuración de la VPN del Firebox administrado en la nube, puede ver una Guía de VPN que muestra los ajustes de la VPN que se va a configurar.

Para obtener información sobre cómo configurar la VPN en el Firebox administrado en la nube y ver la Guía BOVPN, consulte Configurar una BOVPN para un Firebox Administrado Localmente o un Endpoint de VPN de Terceros.

Integraciones de Terceros

Para configurar una conexión de interfaz virtual BOVPN desde un Firebox a un endpoint de terceros, consulte:

Microsoft Azure

Amazon AWS

Cisco

Otros endpoints de terceros

Ver También

Acerca de Data Loss Prevention

Acerca del Dynamic Routing

Acerca de SD-WAN

Configurar SD-WAN

Configurar el enrutamiento basado en políticas en Fireware v12.2.1 o inferior en la Base de Conocimiento de WatchGuard

Guías de Integración de Fireware