請將 Omada 路由器更新至適用於控制器 5.8 或以上版本的韌體。
使用者應用情境
IPsec Failover(故障移轉) 提供 IPsec VPN 連線容錯機制。假如 ISP1 網路連線失效時,failover ISP2 網路連線將接管。
備註:USB 連接埠無法作為 VPN 連線使用,因此也無法作為 IPsec 故障移轉使用。
所有介於 192.168.0.1/24 和 192.168.0.1/24 的網路流量皆透過 IPsec 點對點 VPN 通道加密。
透過 ISP1 的 VPN 通道為主要通道。如果 ISP1 連線故障,則透過 ISP2 的 VPN 通道將會自動建立和轉發流量。
一旦 ISP1 連線恢復後,流量將會轉發回主要 VPN 通道。
設定
步驟1:在路由器 1 設定 IPSsec VPN
備註:路由器 1 可以是任何支援 IPsec VPN 的路由器,在此我們使用 Omada 路由器為例。
1. 請至 VPN > IPsec > IPsec Policy > IPsec Policy List,點擊 Add 並輸入相關參數:
- Policy Name: test
- Mode: LAN-to-LAN
- Remote Gateway: 0.0.0.0
- WAN: WAN
- Local Subnet: 192.168.0.1/24
- Remote Subnet: 192.168.10.1/24
- Pre-shared Key: tplink
- Status: Enable
2. 點擊 Advanced Settings,Negotiation Mode 選擇為 Responder Mode,並將 Phase-1 和 Phase-2 維持預設值。
備註:您也可以將 Phase-1 和 Phase-2 指定為您所需要的值,只要確認 Router1 的 Negotiation Mode 為 Responder Mode,且其他參數設定和 Router2 相同。
步驟2:在 Router2 設定 IPsec VPN
1. 在設定 Router2 IPsec VPN 之前,請確認 Router2 上已啟用了兩個 WAN 連接埠,且 WAN 連接埠皆與 ISP 連上。
2. 至 VPN > IPsec > IPsec Policy > IPsec Policy List,點擊 Add 建立 IPsec VPN Tunnel 1,並輸入如下參數:
- Policy Name: test_1
- Mode: LAN-to-LAN
- Remote Gateway: 192.168.1.114
- WAN: WAN
- Local Subnet: 192.168.10.1/24
- Remote Subnet: 192.168.0.1/24
- Pre-shared Key: tplink
- Status: Enable
3. 點擊 Advanced Settings,將 Negotiation Mode 選擇為 Initiator Mode,其他 Phase-1 與 Phase-2 參數則與 Router1 相同。
4. 點擊 Add 建立 IPsec VPN Tunnel 2,並輸入以下參數:
- Policy Name: test_2
- Mode: LAN-to-LAN
- Remote Gateway: 192.168.1.114
- WAN: WAN/LAN1
- Local Subnet: 192.168.10.1/24
- Remote Subnet: 192.168.0.1/24
- Pre-shared Key: tplink
- Status: Enable
5. 點擊 Advanced Settings,其他 Phase-1 與 Phase-2 參數則與 Tunnel1 相同。
6. 至 VPN > IPsec > IPsec SA 可看到 Tunnel 1 建立完成。
步驟3:在 Router2 設定 IPsec Failover
1. 至 VPN > IPsec > IPsec Policy > Failover Group,點擊 Add 建立 failover 群組,並設定如下參數:
- Group Name: test_failover
- Primary IPsec: test_1
- Secondary IPsec: test_2
- Automatic Failback: Enable
- Gateway failover time-out: 10
- Status: Enable
備註:自動 Failback 用於當連線可用時能自動切換回主要的連線,如您想了解此功能,需要確認遠端站點的 WAN 連接埠是可以 ping 通的。
通常遠端站點的路由器預設會將 Ping from WAN 功能阻擋,需要先行將此設定取消。
以 Router1 為例:
至 Firewall > Attack Defense > Packet Anomaly Defense,取消勾選 Block Ping from WAN,,並點擊 Save。
驗證流程
1. 拔除 Router2 WAN 連接埠的網路線以模擬 IPS1 斷開網際網路連線。至 System Tools > System Log 檢視主要通道切換至次要通道過程。
2. 至 VPN > IPsec > IPsec SA 查看目前的通道是否為次要通道。
3. 重新接回 Router2 的 WAN 連接埠以模擬 ISP1 重新連線的情況。至 System Log 檢視次要通道切換回主要通道過程。
4. 至 VPN > IPsec > IPsec SA 檢視目前通道是否為主要通道。
了解更多細節及相關資訊,請至 Download Center 下載產品手冊。