Configurar una VPN de Sucursal para la Conmutación por Error desde una Línea Concesionada

Puede configurar el Firebox para usar el túnel VPN de la sucursal de IPSec para la conmutación por error si otra ruta (como una línea arrendada privada) ya no está disponible.

Requisitos

Para que failover de VPN funcione correctamente, la configuración debe cumplir estos requisitos:

• Cada sitio debe tener un enrutador conectado a la línea concesionada entre los dos sitios.
• En cada sitio, el enrutador que se conecta a la línea arrendada debe conectarse a un Firebox de confianza o interfaz opcional. La interfaz a la cual se conecta debe ser diferente de la interfaz que usa para el túnel VPN para sucursales.
• Los dos enrutadores conectados a la línea concesionada deben configurarse para usar un Dynamic routing (OSPF, BGP o RIP).
• Dynamic routing también debe estar habilitado en los Firebox en ambos sitios.
• La configuración Global VPN Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec debe estar habilitada en los Firebox en ambos sitios.

Para usar esta función para la conmutación por error desde una línea concesionada, debe usar el Dynamic routing.

Con esta configuración, el tráfico de internet es gestionado por Firebox basado en las políticas regulares de firewall. Esta configuración no crea ninguna limitación sobre el uso de WAN múltiples en la configuración de su dispositivo.

Resumen de la configuración

Los pasos generales para configurar la conmutación por error de una línea arrendada a una VPN de sucursal son:

1. Configure dynamic routing y agregue la política de RIP, OSPF o BGP asociadas en cada sitio para crear una ruta sobre la línea arrendada.
   Para obtener más información, consulte Acerca del Dynamic Routing.
2. Configure la VPN de la sucursal para conectar ambos sitios.
3. Establezca la configuración de VPN global para habilitar la característica de conmutación por error en cada sitio.
   En los ajustes globales de VPN, marque la casilla de selección Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec.

Para dos ejemplos con pasos detallados de configuración, consulte:

• Usar una VPN para Sucursales para la Conmutación por Error de una Línea Concesionada (BGP)
• Usar una VPN para Sucursales para la Conmutación por Error de una Línea Concesionada (OSPF)

Para un archivo de configuración de ejemplo, consulte:

• Ejemplo de configuración: Failover de VPN de sucursal desde un vínculo de red privada

Cómo funciona la Conmutación por Error en la VPN para Sucursales

Cuando habilita el dynamic routing, Firebox automáticamente actualiza la tabla de enrutamiento basada en el estado de la conexión. Si la conexión al enrutador de la línea arrendada falla, Firebox quita dinámicamente esa ruta de la tabla de enrutamiento. Puede ver la tabla de enrutamiento en el Informe de Estado en el Firebox System Manager.

El Firebox de cada oficina envía tráfico a la otra oficina a través de la interfaz de confianza conectada con la línea arrendada privada, si hay presente una ruta dinámica a ese sitio. Si una ruta dinámica no está presente en la tabla de enrutamiento, el Firebox en cada sitio envía tráfico a través del túnel IPSec BOVPN en la interfaz externa. Cuando se restablece la ruta dinámica por la línea concesionada, los dispositivos envían nueva y automáticamente tráfico por la línea concesionada privada.

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.