Назад | Перейти на главную страницу

Как сохранить IP-адрес интерфейса Juniper ScreenOS, когда к нему никто не подключен?

У меня есть VPN-соединение с удаленным сайтом, и всякий раз, когда ничего не подключено к удаленным сайтам LAN bgroup, IP-адрес интерфейса не является управляемым или проверяемым.

Кто-нибудь знает, какую команду я пропустил в CLI для настройки этого? Или, если в веб-интерфейсе есть флажок, я должен нажать?

Правильный ответ - создать петлевой интерфейс. Когда к bgroup LAN ничего не подключено, интерфейс отключается, и все связанные с ним маршруты удаляются из таблицы маршрутизации. На самом деле это именно то поведение, которое вам нужно, поскольку оно помогает при использовании резервных VPN на основе маршрутов - это единственный способ для устройства узнать, что «этот туннель не работает, и теперь я должен перейти к нему».

Итак, что вы делаете:

  • В вашем vrouter - вероятно, trust-vr - отметьте опцию "Ignore Subnet Conflict for Interfaces in This VRouter"
  • Создайте новый интерфейс loopback.1
  • Дайте ему последний адрес в вашей локальной группе bgroup с сетевой маской / 32. Например, если в вашей локальной группе bgroup 192.168.1.0/24, loopback.1 будет 192.168.1.254/32. Аналогично для небольших чистых пространств.
  • Убедитесь, что ваш DHCP-сервер в этой группе bgroup не включает адрес интерфейса обратной связи в свой пул (а) IP.

Теперь вы можете управлять устройством, используя этот IP-адрес обратной петли, который всегда останется доступным; и для этого вам не нужно было выделять дополнительное адресное пространство.

Обеспечение того, чтобы туннель оставался «наверху» - совсем другое дело. В ScreenOS это может быть выполнено с помощью опции «monitor rekey» (и «оптимизировано» для хорошей меры, если вы хотите, с определенным IP-адресом назначения и исходным портом, если внешний пинг не доступен, и, возможно, с интервалом 5 вместо 1, если линии, по которым вы переходите, являются резидентными интернет-провайдерами). Однако это не имеет ничего общего с умением управлять. Это может дать вам хорошую индикацию и заблаговременное предупреждение об отказе VPN, если вы настроите сервер, который получает журналы и отправляет уведомления персоналу в «VPN Down». Кроме того, существует риск того, что ваши сети VPN будут "колебаться", если вы неправильно сконфигурируете - то есть, если адрес, который проверяет монитор, не может быть на самом деле проверен, или если интервал слишком агрессивен для качества / задержки соединения вашего интернет-провайдера ( с). Это может быть выполнено, например, путем проверки связи указанного адреса обратной связи через туннель: вы не будете полагаться на доступность внешнего адреса для проверки связи.

На вашем этапе 2 настройки для VPN (AutoKey IKE), нажми на Продвинутый кнопку, а затем включите (проверьте) VPN-монитор и Rekey. Это откроет туннель, если срок действия ключей истечет или соединение по какой-то причине разорвется. Мы используем это для наших удаленных пользователей, которые часто отключают все подключенное оборудование. Таким образом, у нас все еще есть возможность подключиться к удаленному Netscreen, даже если в VPN нет трафика.

Что ж, мало зная о вашей настройке (было бы хорошо знать, основывается ли она на маршруте или политике и т. продолжай туннель. Таким образом, если у вас нет трафика, идущего в туннель, туннель не будет работать. Это похоже на вашу проблему. Однако есть несколько параметров командной строки для настройки поведения ваших туннелей. Попробуйте главу 10 в Поваренной книге Oreilly ScreenOS или загрузите «Руководство по концепциям и примерам ScreenOS». Это довольно объемный PDF-файл, доступный на веб-сайте Juniper, но он также разбит на несколько томов. Попробуйте посмотреть том 5: Виртуальные частные сети, расширенные возможности виртуальной частной сети. Обратите особое внимание на опцию «Мониторинг VPN», использование «set vpn monitor rekey» должно помочь сохранить активный туннель в различных случаях, но обязательно прочтите. Кроме того, если вы хотите пойти немного дальше, вы можете изучить DPD (обнаружение мертвых узлов) на более новых версиях кода.

Попробуйте создать интерфейс обратной петли и подключить к нему туннель.

Если это VPN-туннель на основе политик и все клиенты не работают, то «интересного» трафика может не хватить для поддержания туннеля. Может быть таймер, чтобы продлить (возможно, до бесконечности) этот тайм-аут, чтобы этого не произошло.

Я не думаю, что ты сможешь. IP-интерфейс зависит от физического интерфейса (или bgroup) из-за таблицы маршрутизации. Таким образом, если физический интерфейс не работает, маршрутизатор предполагает, что вся сеть, включая его самого, недоступна.