Seitenhistorie

...

Description:

Wenn durch ARF-Tags getrennte Netzwerke über eine VPN-Verbindung voneinander getrennt übertragen werden sollen, musste bisher jedes Netzwerk in einem einzelnen PPTP-, L2TP oder separaten VPN-Tunnel übertragen werden. Dies führte bei einer großen Anzahl von Filialen und ARF-Netzen zu einem hohen Overhead.

If networks separated by ARF tags are to be transmitted separately over a VPN connection, each network previously had to be transmitted via an individual PPTP or L2TP tunnel, or in a separate VPN tunnel. With large numbers of branches and ARF networks, this results in a high overhead.

With the new feature Mit der neuen Funktion HSVPN (High Scalability VPN) können die ARF-Tags der Netzwerke in Form von Routing-Tags in einer VPN-Verbindung hinterlegt werden. Die Pakete werden innerhalb des VPN-Tunnels mit den ARF-Tags markiert und ohne Overhead übertragen.

Wichtig:
Multicast-Routing über HSVPN wird nicht unterstützt. Es muss ein separater VPN-Tunnel für Multicast erstellt werden.

OSPF kann bei Verwendung von HSVPN nicht verwendet werden.

Es können nur Netzwerke kommunizieren, sofern diesen das gleiche ARF-Tag zugewiesen wurde.

Voraussetzungen:

, ARF tags used on the networks can be saved in a VPN connection as routing tags. Packets are marked with the ARF tags within the VPN tunnel and are transmitted without overhead.

Important:
Multicast routing is not supported over HSVPN. This requires the use of a separate VPN tunnel for multicast.

OSPF cannot be used when operating HSVPN.

Networks can only communicate if they have been assigned the same ARF tag.

Requirements:

• LCOS as of version LCOS ab Version 10.40 (download aktuelle Version)
• LANtools ab Version as of version 10.40 (download aktuelle Version)

Scenario:

Zwei Filialen Two branches (Branch Office 1 und and Branch Office 2) bauen jeweils eine VPN-Verbindung zur Headquarter aufeach establish a VPN connection to the Headquarters.

Folgende Netzwerke sind auf den Routern vorhanden

The following networks are available on the routers:

• Headquarter: 
  • INTRANET: 172.23.56.0/24, ARF-Tag 1
  • VOIP: 172.23.57.0/24, ARF-Tag 2
  • SERVER: 172.23.58.0/24, ARF-Tag 3
  • ADMINISTRATION: 172.23.59.0/24, ARF-Tag 4

...

• Branch Office 2:
  • INTRANET: 192.168.4.0/24, ARF-Tag 1
  • VOIP: 192.168.5.0/24, ARF-Tag 2
  • ADMINISTRATION: 192.168.6.0/24, ARF-Tag 4

VorgehensweiseProcedure:

1. Konfiguration der Headquarter) Configuring the Headquarters:

1.1 Einrichten der VPN-Verbindung) Setting up the VPN connection:

1.1.1 Richten Sie die IKEv2 VPN-Verbindungen für die Filiale 1 und Filiale 2 über den Setup-Assistenten ein.Use the setup wizard to set up the IKEv2 VPN connections for Branch Office 1 and Branch Office 2.

Note:
HSVPN only works in conjunction with an Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN -Regel, welche Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet diese VPN-Regel automatisch einrule that permits data traffic between any networks. The setup wizard sets up this VPN rule automatically.

1.2 Ergänzen der Routing-Tabelle:) Adding to the routing table:

Since configuring the VPN connection with the setup wizard creates just one VPN route, the remaining routing entries have to be created manuallyDa bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

1.2.1 Öffnen Sie die Konfiguration des Routers Headquarter in LANconfig und wechseln in das Menü IP Router → ) In LANconfig, open the configuration of the router at the Headquarters and switch to the menu item IP router → Routing → IPv4 routing table.

1.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung BRANCH-OFFICE1 und klicken auf ) Select the routing entry of the VPN connection BRANCH OFFICE1 and click on Edit.

1.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF Tag (in diesem Beispiel das Tag ) Enter the ARF tag used by this network at the remote site (in this example the tag 1).

1.2.4 Markieren Sie den in Schritt ) Mark the routing entry modified in step 1.2.3 angepassten Routing-Eintrag und klicken auf and click on Copy.

1.2.5 Passen Sie folgende Parameter an) Modify the following parameters:

• IP adress: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Branch Office 1, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk address: Enter the network address of thesecond network at branch office 1, to which communication is to take place via the VPN connection (in this example the network VOIP).
• Netmask: Passen Sie gegebenenfalls die Netzmaske anIf necessary, adjust the Netmask.
• Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag Enter the ARF tag that belongs to the network (in this example, tag 2).

1.2.6 Markieren Sie den in Schritt 6) Mark the routing entry modified in step 1.2.5 angepassten Routing-Eintrag und klicken auf and click on Copy.

1.2.7 Passen Sie folgende Parameter an7) Modify the following parameters:

• IP adress: Hinterlegen Sie die Netzadresse des dritten Netzwerks in der Branch Offiice 1, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk address: Enter the network address of thethird network at branch office 1, to which communication is to take place via the VPN connection (in this example the network SERVER).
• Netmask: Passen Sie gegebenenfalls die Netzmaske anIf necessary, adjust the Netmask.
• Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag Enter the ARF tag that belongs to the network (in this example, tag 3).

1.2.8 Wiederholen Sie die Schritte ) Repeat the steps 1.2.2 - – 1.2.7 für die VPN-Verbindung BRANCH-OFFICE2. for the VPN connection BRANCH OFFICE2,

1.2.9 Die ) The IPv4 routing table muss anschließend wie folgt aussehen should then look like this.

1.3 Einrichten und Zuweisen des HSVPN-Profils) Setting up and assigning the HSVPN profile:

1.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → ) Switch to the menu VPN → IKEv2/IPsec → Extended settings.

1.3.2 Wechseln Sie in das Menü ) Switch to the menu HSVPN profiles.

1.3.3 Erstellen Sie ein neues Profil für die VPN-Verbindung BRANCH-OFFICE1 und hinterlegen folgende Parameter) Create a new profile for the VPN connection BRANCH OFFICE1 and enter the following parameters:

• Name: Vergeben Sie einen aussagekräftigen NamenEnter a descriptive name.
• Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung BRANCH-OFFICE1 übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werdenEnter the ARF tags of the networks to be transmitted via the VPN connection BRANCH OFFICE1. Multiple ARF tags can be comma separated.

1.3.4 Erstellen Sie ein neues Profil für die VPN-Verbindung BRANCH-OFFICE2 und hinterlegen folgende Parameter4) Create a new profile for the VPN connection BRANCH OFFICE2 and enter the following parameters:

• Name: Vergeben Sie einen aussagekräftigen NamenEnter a descriptive name.
• Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung BRANCH-OFFICE2 übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werdenEnter the ARF tags of the networks to be transmitted via the VPN connection BRANCH OFFICE2. Multiple ARF tags can be comma separated.

1.3.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → ) Navigate to the menu VPN → IKEv2/IPsec → Connection list.

1.3.6 Markieren Sie die VPN-Verbindung BRANCH-OFFICE1 und klicken auf ) Select the VPN connection BRANCH OFFICE1 and click on Edit.

1.3.7 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt ) For HSVPN, use the drop-down menu to select the HSVPN profile created for the BRANCH OFFICE1 in Step 1.3.3 erstellte HSVPN profile für die BRANCH-OFFICE1 aus.

1.3.8 Markieren Sie die VPN-Verbindung BRANCH-OFFICE2 und klicken auf 8) Select the VPN connection BRANCH OFFICE2 and click on Edit.

1.3.9 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt 9) For HSVPN, use the drop-down menu to select the HSVPN profile created for the BRANCH OFFICE2 in Step 1.3.4 erstellte HSVPN profile für die BRANCH-OFFICE2 aus.

1.3.10 Die Konfiguration der Headquarter ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.) This concludes the configuration at the headquarters. Write the configuration back to the router.

2) Configuring 2. Konfiguration der Branch Office 1:

2.1 Einrichten der VPN-Verbindung) Setting up the VPN connection:

2.1.1 Richten Sie die IKEv2 VPN-Verbindung zur Zentrale über den Setup-Assistenten ein.) Use the setup wizard to set up the IKEv2 VPN connection to the headquarter.

Note:
HSVPN only works in conjunction with an Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN -Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet eine solche VPN-Regel automatisch einrule that permits data traffic between any networks. The setup wizard sets up this VPN rule automatically.

2.2. Ergänzen der Routing-Tabelle:) Adding to the routing table:

Since configuring the VPN connection with the setup wizard creates just one VPN route, the remaining routing entries have to be created manuallyDa bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

2.2.1 Öffnen Sie die Konfiguration des Routers Branch Office 1 in LANconfig und wechseln in das Menü IP Router → Routing → ) In LANconfig, open the configuration of the router at the branch office 1 and switch to the menu item IP router → Routing → IPv4 routing table.

2.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung HEADQUARTER und klicken auf ) Select the routing entry of the VPN connection HEADQUARTER and click on Edit.

2.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF Tag (in diesem Beispiel das Tag ) Enter the ARF tag used by this network at the remote site (in this example the tag 1).

2.2.4 Markieren Sie den in Schritt ) Mark the routing entry modified in step 2.2.3 angepassten Routing-Eintrag und klicken auf and click on Copy.

2.2.5 Passen Sie folgende Parameter an) Modify the following parameters:

• IP adress: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk address: Enter the network address of thesecond network at Headquarters, to which communication is to take place via the VPN connection (in this example the network VOIP).
• Netmask: Passen Sie gegebenenfalls die Netzmaske anIf necessary, adjust the Netmask.
• Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag Enter the ARF tag that belongs to the network (in this example, tag 2).

2.2.6 Markieren Sie den in Schritt 6) Mark the routing entry modified in step 2.2.5 angepassten Routing-Eintrag und klicken auf and click on Copy.

2.2.7 Passen Sie folgende Parameter an7) Modify the following parameters:

• IP adress: Hinterlegen Sie die Netzadresse des dritten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk address: Enter the network address of thethird network at Headquarters, to which communication is to take place via the VPN connection (in this example the network SERVER).
• Netmask: Passen Sie gegebenenfalls die Netzmaske anIf necessary, adjust the Netmask.
• Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag Enter the ARF tag that belongs to the network (in this example, tag 3).

2.2.8 Die ) The IPv4 routing table muss anschließend wie folgt aussehen should then look like this.

2.3 Einrichten und Zuweisen des HSVPN-Profils) Setting up and assigning the HSVPN profile:

2.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → ) Switch to the menu VPN → IKEv2/IPsec → Extended settings.

2.3.2 Wechseln Sie in das Menü ) Switch to the menu HSVPN profiles.

2.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter) Create a new profile and enter the following parameters:

• Name: Vergeben Sie einen aussagekräftigen NamenEnter a descriptive name.
• Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung HEADQUARTER übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden. Enter the ARF tags of the networks to be transmitted via the VPN connection HEADQUARTERS. Multiple ARF tags can be comma separated

2.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → ) Navigate to the menu VPN → IKEv2/IPsec → Connection list.

2.3.5 Markieren Sie die VPN-Verbindung HEADQUARTER und klicken auf ) Select the VPN connection HEADQUARTER and click on Edit.

2.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt ) For HSVPN, use the drop-down menu to select the HSVPN profile created in Step 2.3.3 erstellte HSVPN profile aus.

2.3.7) This concludes the configuration at the branch office 1. Write the configuration back to the router.

3) Configuring Die Konfiguration der Branch Office 1 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.3. Konfiguration der Branch Office 2:

3.1. Einrichten der VPN-Verbindung) Setting up the VPN connection:

3.1.1 Richten Sie die IKEv2 VPN-Verbindung zur Zentrale über den Setup-Assistenten ein.) use the setup wizard to set up the IKEv2 VPN connection to the headqarter.

Note:
HSVPN only works in conjunction with an Info:
HSVPN funktioniert nur in Verbindung mit einer ANY-TO-ANY VPN -Regel, die Datenverkehr zwischen beliebigen Netzwerken erlaubt. Der Setup-Assistent richtet eine solche VPN-Regel automatisch einrule that permits data traffic between any networks. The setup wizard sets up this VPN rule automatically.

3.2. Ergänzen der Routing-Tabelle:) Adding to the routing table:

Since configuring the VPN connection with the setup wizard creates just one VPN route, the remaining routing entries have to be created manuallyDa bei Konfiguration der VPN-Verbindung über den Setup-Assistenten nur eine VPN-Route angelegt wird, müssen die restlichen Routing-Einträge händisch angelegt werden.

3.2.1 Öffnen Sie die Konfiguration des Routers Branch Office 2 in LANconfig und wechseln in das Menü IP Router → Routing → ) In LANconfig, open the configuration of the router at the branch office 2 and switch to the menu item IP router → Routing → IPv4 routing table.

3.2.2 Markieren Sie den Routing-Eintrag der VPN-Verbindung HEADQUARTER und klicken auf ) Select the routing entry of the VPN connection HEADQUARTERS and click on Edit.

3.2.3 Hinterlegen Sie das zu diesem Netzwerk auf der Gegenseite zugehörige ARF Tag (hier die ) Enter the ARF tag used by this network at the remote site (in this example tag 1).

3.2.4 Markieren Sie den in Schritt ) Mark the routing entry modified in step 3.2.3 angepassten Routing-Eintrag und klicken auf and click on Copy.

3.2.5 Passen Sie folgende Parameter an) Modify the following parameters:

• IP adress: Hinterlegen Sie die Netzadresse des zweiten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk address: Enter the network address of thesecond network at Headquarters, to which communication is to take place via the VPN connection (in this example the network VOIP).
• Netmask: Passen Sie gegebenenfalls die Netzmaske anIf necessary, adjust the Netmask.
• Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag Enter the ARF tag that belongs to the network (in this example, tag 2).

3.2.6 Markieren Sie den in Schritt 6) Mark the routing entry modified in step 3.2.5 angepassten Routing-Eintrag und klicken auf and click on Copy.

3.2.7 Passen Sie folgende Parameter an7) Modify the following parameters:

• IP adress: Hinterlegen Sie die Netzadresse des vierten Netzwerks in der Headquarter, zu dem die Kommunikation über die VPN-Verbindung erfolgen soll (in diesem Beispiel das Netzwerk address: Enter the network address of thefourth network at the Headquarters, to which communication is to take place via the VPN connection (in this example the network ADMINISTRATION).
• Netmask: Passen Sie gegebenenfalls die Netzmaske anIf necessary, adjust the Netmask.
• Routing tag: Hinterlegen Sie das ARF Tag, welches zu dem Netzwerk gehört (in diesem Beispiel das Tag Enter the ARF tag that belongs to the network (in this example, tag 4).

3.2.8 Die ) The IPv4 routing table muss anschließend wie folgt aussehen should then look like this.

3.3 Einrichten und Zuweisen des HSVPN-Profils) Setting up and assigning the HSVPN profile:

3.3.1 Wechseln Sie in das Menü VPN → IKEv2/IPSec → ) Switch to the menu VPN → IKEv2/IPsec → Extended settings.

3.3.2 Wechseln Sie in das Menü ) Switch to the menu HSVPN profiles.

3.3.3 Erstellen Sie ein neues Profil und hinterlegen folgende Parameter) Create a new profile and enter the following parameters:

• Name: Vergeben Sie einen aussagekräftigen NamenEnter a descriptive name.
• Routing tag list: Hinterlegen Sie die ARF Tags, deren Netzwerke über die VPN-Verbindung HEADQUARTER übertragen werden sollen. Mehrere ARF-Tags können durch ein Komma getrennt werden Enter the ARF tags of the networks to be transmitted via the VPN connection HEADQUARTERS. Multiple ARF tags can be comma separated.

3.3.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → ) Navigate to the menu VPN → IKEv2/IPsec → Connection list.

3.3.5 Markieren Sie die VPN-Verbindung HEADQUARTER und klicken auf ) Select the VPN connection HEADQUARTERS and click on Edit.

3.3.6 Wählen Sie im Dropdownmenü bei HSVPN das in Schritt ) For HSVPN, use the drop-down menu to select the HSVPN profile created in Step 3.3.3 erstellte HSVPN-Profil aus.

3.3.7 Die Konfiguration der Branch Office 2 ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück) This concludes the configuration at the branch office 2. Write the configuration back to the router.