Trong môi trường thực tế, đôi lúc ta cần kết nối VPN với hệ thống cho chia nhiều VLAN hoặc kết nối nhiều chi nhánh với nhau mà mỗi chi nhánh lại có nhiều VLAN. Để thuận tiện cấu hình và chỉnh sửa sau này đồng thời đáp ứng nhu cầu tất cả các lớp mạng đều thông nhau, ta có thể cấu hình kết hợp định tuyến động BGP giúp quảng bá các lớp mạng qua VPN
Ưu điểm:
- Cấu hình nhanh, chỉ cấu hình BGP lúc đầu, không cần phải vào từng router thực hiện more route tất cả các lớp mạng như truyền thống
- Cập nhật tự động bảng route khi có nhu cầu thay đổi lớp mạng
Nhược điểm: Trong trường hợp có nhiều chi nhánh, việc trao đổi dữ liệu của tất cả các VLAN của chi nhánh đều thực hiện trên kênh VPN. Nếu có một liên kết bất kì giữa các site mất kết nối, một số chi nhánh có thể không truy cập lẫn nhau được.
Giả sử có mô hình kết nối VPN giữa các site như sau:
- Site A:
- WAN kết nối Internet trực tiếp có IP Tĩnh hoặc sử dụng tên miền động
- LAN gồm 4 VLAN với 4 lớp mạng như hình
- Site B:
- WAN có thể kết nối internet trực tiếp hoặc nhận tín hiệu Internet từ router nhà mạng
- LAN gồm 4 VLAN với 4 lớp mạng như hình
Thực hiện
Do site A có IP tĩnh hoặc kết nối internet trực tiếp nên sẽ làm Dial-in, Site B sẽ làm Dial Out.
Thực hiện VPN giữa 2 site với lớp mạng LAN 1 như hướng dẫn:
https://www.anphat.vn/lan-to-lan-site-to-site/ipsec-vpn-/-lan-to-lan-ket-noi-2-van-phong-voi-nhau
Vào VPN and Remote Access >> Connection Management để kiểm tra kết nối, ta có kết nối VPN như sau:
Site A:
Site B:
Cần thực hiện trên cả 2 router A và B
- Thực hiện
Trên Site A
- Quy định AS Number của site A
Vào Routing >> BGP, tại tab Basic Setting
- Enable BGP
- Local AS Number: Điền AS của Site A (ví dụ 10)
- Router ID: Điền IP lớp mạng LAN1 site A thực hiện kết nối VPN (ví dụ 10.10.11.1)
- Nhấn OK
- Cấu hình Neighbor BGP cho site A
Trong mô hình trên, Site B chính là neighbor của site A và ngược lại
Vào Routing >> BGP, tại tab Basic Setting, kéo xuống bảng Neighbor chọn index 1
- Check Enable
- Profile Name: Đặt tên Profile
- AS Number: Điền AS của site B (ví dụ AS của site B là 20)
- IP Address: Điền IP lớp mạng LAN 1 của site B
- Nhấn OK
Kiểm tra lại bảng Neighbor
- Lưu ý: trường hợp hệ thống có nhiều Site, cần phải thêm tất cả các site tham gia BGP
- Quy định các lớp mạng trên Site A được phép tham gia định tuyến động BGP
Vào Routing >> BGP, tại tab Static Network thêm tất các lan LAN 2,3,4 còn lại của site A >> nhấn OK
Trên site B
Thực hiện tương tự site A với thông tin của site B, trong đó
- Local AS Number site B là 20
- Lớp mạng chính kết nối là LAN1: 172.16.21.1/24
- Lớp mạng tham giam BGP là
- LAN 2: 172.16.22.1/24
- LAN 3: 172.16.23.1/24
- LAN 2: 172.16.24.1/24
- Kiểm tra trạng thái kết nối
- Kiểm tra trạng thái BGP, Vào Routing >> BGP, tại tab Basic Setting, kéo xuống bảng Neighbor sẽ thấy trạng thái của từng Neighbor, khi Status báo “Established” là đã kết nối thành công.
- Kiểm tra trong Routing Table,
Trong Routing BGP, nhấn View routing table ở góc trên bên Phải
Ta sẽ thấy các trong bảng routing table site A xuất hiện các lớp mạng site B được kết nối qua VPN và ngược lại
- Ping trực tiếp các lớp mạng ở site còn lại
Dùng một máy tính thuộc lớp mạng bất kì site A (ví dụ máy tính LAN 4 có IP 10.10.14.1/24) ping qua router đầu xa