Как сохранить IP-интерфейс интерфейса Juniper ScreenOS, если к нему никто не подключен?
У меня есть VPN-подключение к удаленному сайту, и всякий раз, когда ничего не подключено к локальной сети удаленных сайтов, IP-интерфейс интерфейса не может быть управляемым или проверяемым.
Кто-нибудь знает, какую команду я пропустил в CLI для ее настройки? Или, если на веб-интерфейсе есть флажок, я должен нажать?
5 ответов
Правильный ответ - создать петлевой интерфейс. Когда ничто не подключено к локальной группе, интерфейс отключается, и все связанные с ним маршруты удаляются из таблицы маршрутизации. Это поведение, которое вы хотите, на самом деле, поскольку оно помогает при использовании избыточных VPN на основе маршрутов - это единственный способ для устройства узнать, "что туннель не работает, и теперь я должен направиться к нему".
Итак, что вы делаете, это:
- В вашем vrouter - скорее всего, trust-vr - установите флажок "Игнорировать конфликт подсети для интерфейсов в этом VRouter"
- Создать новый интерфейс loopback.1
- Присвойте ему последний адрес в вашей группе локальных сетей, используя маску /32. Например, если ваша группа локальной сети имеет 192.168.1.0/24, loopback.1 будет 192.168.1.254/32. Аналог для небольших чистых пространств.
- Убедитесь, что ваш DHCP-сервер в этой bgroup не включает адрес интерфейса обратной связи в свой пул IP-адресов.
Теперь вы можете управлять устройством, используя тот IP-адрес обратной связи, который всегда будет доступен; и вам не нужно было выделять дополнительное адресное пространство для этого.
Обеспечение того, чтобы туннель оставался "открытым", - это совсем другое дело. В ScreenOS это может быть достигнуто с помощью параметра "Monitor Rekey" (и "Optimized" для хорошей меры, если вы хотите, с определенным IP-адресом назначения и портом источника, если внешняя сторона не пингуется, и, возможно, с интервалом 5 вместо 1, если линии, по которым вы переходите, являются жилыми интернет-провайдерами). Это не имеет ничего общего с возможностью управлять, однако. Он может дать вам хорошую индикацию и заблаговременное предупреждение о сбое VPN, если вы настроите сервер, который получает журналы и рассылает уведомления персоналу при "VPN Down". Это также может привести к тому, что ваши VPN будут "зависать" в случае неправильной настройки, то есть, если адрес, который проверяет Monitor, фактически не может быть проверен, или если интервал слишком агрессивен для качества / задержки вашего соединения с провайдером (с). Это может быть выполнено, например, путем пинга указанного адреса обратной связи через туннель: вы не будете полагаться на внешний адрес, доступный для проверки связи.
В настройках фазы 2 для VPN (AutoKey IKE) нажмите кнопку " Дополнительно", а затем включите (установите флажок) " VPN-монитор и повторный ввод". Это откроет туннель, если срок действия ключей истечет или соединение по какой-то причине оборвется. Мы используем это для наших удаленных пользователей, которые часто отключают все подключенное оборудование. Таким образом, у нас все еще есть возможность связаться с удаленным Netscreen, даже если в VPN нет трафика.
Попробуйте создать петлевой интерфейс и подключить к нему туннель.
Если это VPN-туннель на основе политик и все клиенты не работают, то "интересного" трафика может не хватить для поддержания туннеля. Может быть таймер, чтобы продлить (возможно, до бесконечности) этот тайм-аут, чтобы предотвратить это.
Ну, не зная много о вашей настройке (было бы хорошо знать, если это маршрут на основе политики и т. Д.), Вы должны иметь в виду, что ScreenOS обычно требует трафика, перенаправленного или перенаправленного политикой в туннель, чтобы инициировать туннель или продолжай туннель Таким образом, если у вас нет движения в туннель, туннель не будет спать. Это звучит как ваша проблема. Тем не менее, есть несколько параметров командной строки для настройки поведения ваших туннелей. Попробуйте главу 10 в книге рецептов Oreilly ScreenOS или загрузите ScreenOS "Руководство по концепциям и примерам". Это довольно здоровенный PDF-файл, доступный на веб-сайте Juniper, но он также разбит на несколько томов. Попробуйте посмотреть том 5: Виртуальные частные сети, Расширенные функции виртуальных частных сетей. Обратите особое внимание на параметр "Мониторинг VPN", использование "set vpn monitor rekey" должно помочь поддерживать туннель активным в разных случаях, но обязательно прочитайте. Кроме того, если вы хотите пойти немного дальше, вы можете изучить DPD (Dead-peer Detection) в более новых версиях кода.
Я не думаю, что ты можешь. Интерфейс IP зависит от физического интерфейса (или bgroup) из-за таблицы маршрутизации. Таким образом, если физический интерфейс не работает, маршрутизатор предполагает, что вся сеть, включая себя, недоступна.