如何在 Nebula 站點對站點 VPN 上設定 VPN 區域和 VPN 拓撲
Zyxel Employee
首先,您需要擁有 Nebula Professional Pack 才能實作此功能。Nebula VPN Orchestrator 提供軟體定義設計,以在組織內建構可擴展的 VPN 拓撲。我們可以在組織內建立多個 VPN 區域,每個區域都有自己的站點和 VPN 拓撲。使用者需要 Nebula Pro Pack 才能實作此功能。
我們可以使用的拓撲有兩種:完全網狀和 Hub-and-Spoke。完全網狀:每個站點都有一個站點對站點 VPN 隧道連接到 VPN 區域中的每個站點,站點能夠直接與其他站點通訊。Hub-and-spoke:每個 spoke 站點都有一個站點對站點 VPN 隧道連接到 hub 站點。spoke 站點之間的流量必須通過 hub 站點。如果 hub 站點發生故障,則 VPN 區域發生故障,您可以指定多個站點作為 hub 站點以避免這種情況發生。
VPN 拓撲配置步驟
前往 Organization-wide manage > VPN orchestrator > Smart VPN,啟用 Nebula 站點對站點 VPN 後,該站點將會出現在 VPN 區域「Default」的選單中。預設區域的預設 VPN 拓撲為站點對站點,這表示 VPN 連線是完全網狀的。
選擇 Hub-and-Spoke 作為 VPN 拓撲,並至少選擇一個站點作為 Hub 站點。勾選站點 (North) 並點選 Hub 按鈕,然後儲存。
您將會看到該站點 (North) 變成 Hub 站點。
VPN 區域配置步驟
前往 Organization-wide manage > VPN orchestrator > Smart VPN,點選 + Create VPN area,然後輸入 VPN 區域名稱 VPNarea2。
前往 Configure > Firewall > Site-to-Site VPN,然後選擇 VPNarea2 作為 VPN 區域。
由於我選擇 VPNarea2 作為 North 和 South 的區域。我們可以看見預設 VPN 區域只剩下 west 和 east。North 和 South 已變更為 VPNarea2。
預設情況下,每個 VPN 區域都無法與其他 VPN 區域通訊。若要實現區域通訊,請為閘道啟用區域通訊。在站點對站點拓撲中,我們必須指派一個區域領導者,該領導者將成為與其他 VPN 區域通訊的中心。在 Hub-and-spoke 拓撲中,如果區域中的任何站點啟用區域通訊,則 hub 站點將自動成為區域領導者。
