Einführung
Das Virtual Router Redundancy Protocol (VRRP) beseitigt den Single-Point-of-Failure, der in der statischen Standard-Routing-Umgebung entsteht. Der VRRP legt ein Wahlprotokoll fest, das einem der VPN-Konzentratoren in einem LAN die Verantwortung für einen virtuellen Router (ein Concentrator-Cluster der Serie VPN 300) dynamisch zuweist. Der VRRP VPN Concentrator, der die IP-Adresse(n) steuert, die einem virtuellen Router zugeordnet ist, wird als "Primär" bezeichnet und leitet Pakete weiter, die an diese IP-Adressen gesendet werden. Wenn das primäre Gerät nicht mehr verfügbar ist, ersetzt ein Backup-VPN-Konzentrator das primäre Gerät.
Hinweis: Weitere Informationen finden Sie unter "Konfiguration | System | IP-Routing | Redundanz" im Benutzerhandbuch zur VPN Concentrator Serie 300 oder in der Online-Hilfe für diesen Abschnitt des VPN 300 Concentrator Manager finden Sie vollständige Informationen zum VRRP und dessen Konfiguration.
Voraussetzungen
Anforderungen
Für dieses Dokument bestehen keine speziellen Anforderungen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf dem Cisco VPN Concentrator der Serie 3000.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Wie implementiert der VPN 3000-Konzentrator VRRP?
-
Redundante VPN-Concentrators werden nach Gruppe identifiziert.
-
Für die Gruppe wird eine primäre Gruppe ausgewählt.
-
Ein oder mehrere VPN-Konzentratoren können Backups des primären Bereichs der Gruppe sein.
-
Das primäre System kommuniziert seinen Zustand mit den Backup-Geräten.
-
Wenn das primäre System seinen Status nicht kommuniziert, versucht das VRRP jede Sicherung in der Rangfolge. Das antwortende Backup übernimmt die Rolle des primären.
Hinweis: VRRP ermöglicht Redundanz nur für Tunnelverbindungen. Wenn ein VRRP-Failover auftritt, überwacht die Sicherung daher nur Tunnelprotokolle und den Datenverkehr. Das Pingen des VPN-Concentrators funktioniert nicht. Teilnehmer von VPN Concentrators müssen über identische Konfigurationen verfügen. Die für den VRRP konfigurierten virtuellen Adressen müssen mit den für die Schnittstellenadressen des primären Geräts konfigurierten Adressen übereinstimmen.
Konfigurieren von VRRP
VRRP wird in dieser Konfiguration auf den öffentlichen und privaten Schnittstellen konfiguriert. VRRP gilt nur für Konfigurationen, bei denen zwei oder mehr VPN-Konzentratoren parallel betrieben werden. Alle teilnehmenden VPN-Konzentratoren haben identische Benutzer-, Gruppen- und LAN-zu-LAN-Einstellungen. Wenn das primäre Objekt fehlschlägt, beginnt das Backup-Programm, den Datenverkehr zu servicebasiert, der zuvor vom primären Gerät verarbeitet wurde. Dieser Switchover erfolgt in 3 bis 10 Sekunden. Während IPsec- und PPTP-Clientverbindungen (Point-to-Point Tunnel Protocol) während dieser Übergangsphase getrennt werden, müssen Benutzer nur eine erneute Verbindung herstellen, ohne die Zieladresse ihres Verbindungsprofils zu ändern. Bei einer LAN-zu-LAN-Verbindung erfolgt der Switchover nahtlos.
In diesem Verfahren wird veranschaulicht, wie diese Beispielkonfiguration implementiert wird.
Auf den primären und Backup-Systemen:
-
Wählen Sie Konfiguration > System > IP Routing > Redundanz aus. Ändern Sie nur diese Parameter. Behalten Sie alle anderen Parameter im Standardzustand bei:
-
Geben Sie im Feld Group Password (Gruppenkennwort) ein Kennwort (maximal 8 Zeichen) ein.
-
Geben Sie die IP-Adressen in der Gruppe "Gemeinsam genutzte Adressen" (1 privat) von Primär- und allen Backup-Systemen ein. In diesem Beispiel lautet die Adresse 10.10.10.1.
-
Geben Sie die IP-Adressen in der Gruppe "Gemeinsam genutzte Adressen" (2 öffentliche Adressen) von Primär- und allen Backup-Systemen ein. In diesem Beispiel lautet die Adresse 63.67.72.155.
-
Wechseln Sie in allen Einheiten zurück zu den Fenstern Konfiguration > System > IP Routing > Redundanz, und aktivieren Sie Enable VRRP.
Hinweis: Wenn Sie zuvor Load Balancing zwischen den beiden VPN-Concentrators konfiguriert haben und VRRP für diese konfiguriert haben, achten Sie darauf, dass Sie die Konfiguration des IP-Adresspools übernehmen. Wenn Sie denselben IP-Pool wie zuvor verwenden, müssen Sie ihn ändern. Dies ist erforderlich, da der Datenverkehr von einem IP-Pool in einem Lastenausgleichsszenario nur an einen der VPN-Konzentratoren geleitet wird.
Synchronisieren der Konfigurationen
Dieses Verfahren zeigt, wie die Konfiguration von Primär zu Sekundär synchronisiert wird, indem entweder Load Balancing durchgeführt wird oder von Primär zu Sekundär bei VRRP.
-
Wählen Sie unter Primär die Option Administration > File Management aus, und klicken Sie in der Reihe CONFIG auf View (Ansicht).
-
Wenn der Webbrowser mit der Konfiguration geöffnet wird, markieren und kopieren Sie die Konfiguration (Strg-a, Strg-c).
-
Fügen Sie die Konfiguration in WordPad ein.
-
Wählen Sie Bearbeiten > Ersetzen, und geben Sie die IP-Adresse der öffentlichen Schnittstelle Primär im Feld Suchen nach ein. Geben Sie im Feld Ersetzen durch die IP-Adresse ein, die Sie für die Sekundäre oder Sicherung zuweisen möchten.
Führen Sie das Gleiche für die private IP-Adresse und die externe Schnittstelle aus, wenn Sie diese konfiguriert haben.
-
Speichern Sie die Datei, und geben Sie einen Namen, den Sie auswählen. Stellen Sie jedoch sicher, dass Sie das Dokument als "Textdokument" speichern (z. B. synconfig.txt).
Sie können nicht als .doc (die Standardeinstellung) speichern und die Erweiterung später ändern. Der Grund hierfür ist, dass das Format gespeichert wird und der VPN Concentrator nur Text akzeptiert.
-
Wählen Sie in der Sekundären Registerkarte Administration > File Management > File Upload aus.
-
Geben Sie config.bak in das Feld Datei des VPN 3000 Concentrator ein, und navigieren Sie zur gespeicherten Datei auf Ihrem PC (synconfig.txt). Klicken Sie anschließend auf Hochladen.
Der VPN-Concentrator lädt diesen hoch und ändert die Datei synconfig.txt automatisch in config.bak.
-
Wählen Sie Administration > File Management > Swap Configuration Files und klicken Sie auf OK, damit der VPN Concentrator mit der hochgeladenen Konfigurationsdatei bootet.
-
Wenn Sie zum Fenster Systemneustart umgeleitet wurden, lassen Sie die Standardeinstellungen unverändert, und klicken Sie auf Übernehmen.
Nach der Aktivierung hat sie dieselbe Konfiguration wie die primäre Adresse, mit Ausnahme der zuvor geänderten Adressen.
Hinweis: Ändern Sie im Fenster Load Balancing or Redundancy (VRRP) die Parameter. Wählen Sie Konfiguration > System > IP-Routing > Redundanz aus.
Hinweis: Sie können auch Configuration > System > Load Balancing auswählen.
Zugehörige Informationen