网络工程 - 在不同位置使用两个声波墙的点对点 LAN - 吾爱随笔录

在不同位置使用两个声波墙的点对点 LAN

网络工程音墙点对点网络访问

2021-07-15 01:48:45

我们有一个两地的业务，总部在阿灵顿，在达拉斯有一个远程办公室。目前，我们的两个办公室都在运行 sonicwall NSA 2600 并在彼此之间建立 VPN 隧道（使用 sonicwalls）。我们最近从我们的 ISP 购买了两个地点之间的点对点连接。本质上，每个调制解调器都有一个端口，该端口通过专用的 100mb 管道直接链接到另一个调制解调器。

我想用我假设的每个 sonicwall 上指向其他网络子网的附加 LAN 接口替换 VPN 隧道。阿灵顿：10.74.1.1/24 达拉斯：10.74.2.1/24

下面是一个例子：

               +-----------+ X0 ---- LAN 10.74.1.1/24
               |           |
WAN_IP ---- X1 | SonicWall |
               | Arlington |
               +-----------+ X2 -------- X2  +-----------+ X0 ---- 10.74.2.1/24
                                    ^        |           |
                                    |        | Sonicwall | X1 ---- WAN_IP
                                    |        |  Dallas   |
                                    |        +-----------+
                                    |
                           This X2 would traverse
                           the point-to-point connection
                           between each of my ISP's modems

我的问题是，如何配置每个 X2 接口？我的想法是例如：

将 Arlington sonicwall 上的 X2 接口配置为：LAN，地址为 10.74.2.1，掩码为 255.255.255.0。并在Dallas sonicwall 上配置X2 接口为：LAN，地址10.74.1.1，掩码255.255.255.0。另外，我可以在 VPN 隧道仍然存在的情况下测试这样配置的 LAN 接口吗？或者这会导致两个网络之间的路由问题吗？

我们需要这些网络以与现在通过 VPN 隧道相同的方式进行通信。

任何意见，将不胜感激！

3个回答

这是行不通的，因为 10.74.1.0/24 和 10.74.2.0/24 都在使用中。不仅如此，PtP 连接还需要一个相互前缀。

使用不同的 IP 范围和较小的范围。将 10.75.0.1/30 (255.255.255.252) 放在 Arlington X2 上，将 10.75.0.2/30 (255.255.255.252) 放在达拉斯 X2 上。

然后在阿灵顿，添加一条路线：10.74.2.0/24 -> 10.75.0.2，在达拉斯：10.74.1.0/24 -> 10.75.0.1。

我以前从未使用过 SonicWall，所以我不知道 VPN 是否会优先于新安装的路由。我将如何测试它是从每一方的 LAN 中获取一个 IP，然后通过新的 PtP 路由这些 IP。

因此，在一侧设置为 10.74.2.10，另一侧设置为 10.74.1.10 的笔记本电脑上，在阿灵顿，路线 10.74.2.10/32 -> 10.75.0.2 和达拉斯，路线 10.74.1.10 -> 10.75.0.10 同样，我不知道 Sonicwalls 是否会绕过加密来通过 ptp 路由这些，但它可能值得一试。您还可以在每一侧设置一个新的临时前缀，并在上线之前对其进行路由。

最后，在 EOB 之后，设置路由，看看会发生什么，禁用 VPN，看看会发生什么。如果它有效，你就完成了。如果没有，您将获得一份记录在案的已完成工作的有序列表。回溯直到您恢复原来的现状，然后从那里开始。

如果您不直接管理您的路由设备，您需要与您的 ISP 进行分类，并不仅在您的 Sonicwall 上而且在路由器中配置额外的路由和接口。

再定义两个网络：

172.16.100.0/30 达拉斯到阿灵顿 172.16.101.0/30 阿灵顿到达拉斯分配：

达拉斯 X2：172.16.100.1/30 达拉斯路由器 Fe(0/1)：172.16.100.2/30 阿灵顿 X2：172.16.101.1/30 阿灵顿路由器 Fe(0/1)：172.16.101.2/30

在您的达拉斯路由器上：路由 10.74.2.0/24 网关 172.16.100.1（从 A. 到 D. 的流量路由到 Sonicwall）路由 10.74.1.0/24 网关您的 MPLS

在阿灵顿路由 10.74.1.0/24 网关 172.16.101.1（从 D. 到 A. 的流量路由到 Sonicwall）路由 10.74.2.0/24 网关你的 MPLS

在 sonicwall 上，您还需要禁用目标 NAT。

一如既往，备份，备份，备份！:)

正如其他人所说，您不能使用已在使用中的 IP。您应该使用一个单独的子网，您可以通过该子网路由（到另一个网络）。

我建议使用大于 /30 块的东西（以防您添加其他位置）——例如，/29 将允许您扩展到 6 个位置。

我会使用与你现有的网络分开的东西（所以它很突出）但不是相邻的（以防你扩展）。我会建议像10.99.9.0/29这样的东西。

如果您想进行测试，则应首先将现有 VPN 转换为基于隧道的 VPN：https : //support.software.dell.com/kb/sw7902 或：https : //support.software.dell.com/ KB/SW11606

这样做的好处是，与基于策略的 IPsec VPN 相比，您可以更轻松地创建要测试的路由。在停机期间执行此操作，因为当您切换到 VPN 中的隧道接口然后创建路由时，VPN 将关闭。

然后使用点对点范围内的 1 个 IP 在每个路由器上配置 X2：

Arlington X2 = 10.99.9.1 /29
Dallas X2 = 10.99.9.2 /29

都在 LAN 区域，都在静态 IP 模式下。将 X2 连接到 ISP 设备（例如 MPLS）的 PtP 接口。这假设链路只是第 2 层链路，ISP 没有进行路由。

然后，您应该能够使用来自每个路由器的诊断 Ping（或 CLI ping）命令来 ping另一台路由器的 X2 接口（例如，阿灵顿应该能够 ping 10.99.9.2。

如果一切正常，那么您可以创建一个路由策略来测试：所以在阿灵顿路由器上：

Source: Some 10.74.1.x test IP in Arlington
Destination: Some 10.74.2.x test IP in Dallas
Service: Any
Gateway: 10.99.9.2 (Dallas' X2 IP -- the other side)
Interface: X2 (the interface Arlington needs to use)
Metric: make lower than whatever you used for your Tunnel VPN metric.

在达拉斯路由器上做一个类似的路由（但交换所有 IP，所以从达拉斯 IP 到阿灵顿 IP，这次网关将是 10.99.9.1）。

我建议使用 LAN Speed Test（甚至是免费版本）之类的东西：http : //www.totusoft.com/lanspeed.html

若要从试验机通过VPN测试速度/第一，然后再后把航线。你应该可以看到一个速度差为交通越过MPLS。

如果可行，则更改路由，以便： Source is: Any 并且 Destination 是：另一端的网络（而不仅仅是 IP）——所以从 Arlington 开始，Destination 将是：10.74.2.0/24。指标：仍低于 VPN 隧道路由。

每个人的所有流量都将通过 MPLS。这可以在午餐时间完成，因为中断非常少。

只要 X2 的区域与您的 X0 网络相同，那么如果您为 LAN 区域启用了接口信任，则不需要防火墙规则。我认为您不需要对 NAT 进行任何更改，因为所有内容都将被路由（相对于内部网络）。

然后，您可以禁用 VPN，或者保留它并在路由上配置探测器，以便在探测失败时禁用 MPLS 的路由（允许它回退到 VPN。如果在这两种情况下它是相同的 ISP，则不太有用。 ..)

是的：首先备份您的配置，然后再备份:)

其它你可能感兴趣的问题

上一篇负载平衡 NIC、交换机和路由器（冗余）下一篇如何在 Cisco ASR 路由器中查看附加到前缀的 BGP 社区？