双隧道VPN冗余配置要点和注意

发布时间:  2012-07-17 浏览次数:  89 下载次数:  0
问题描述
某公司A地和B地均采用双运营商接入,分别建立两条隧道,希望某运营商链路中任何一点出现故障,均可自动将业务流量切换到备份运营商链路,组网如下:
告警信息
处理过程

配置要点:

1、双VPN隧道策略的配置

      两条链路上分别建立普通的VPN策略,并在两条链路上均协商建立隧道。对VPN内网流量,通过两条不同优先级静态路由的配置,优先选择某一条运营商链路为主用隧道,另外一个运营商链路为备用隧道(具体配置略)

2、静态路由的IP-Link track配置

      完成1的配置后,仍然存在一个较大的问题即,当主用VPN隧道中间链路出现故障后,无法保障两端防火墙将内网流量同时切换到另外一条隧道。

      因此需要在两端防火墙同时开启关联静态路由的IP-Link track功能,互相探测该链路对端的设备网关IP,具体配置命令如下:

#
 ip-link check enable
 ip-link 1 destination 200.1.1.1 interface GigabitEthernet0/0/1 mode icmp
#
 ip route-static 192.168.1.0 255.255.255.0 200.1.1.1 track ip-link 1
#

      当某条链路中的任何一点出现故障,两设备均无法通过该链路探测到对方网关IP,IP-link检测失败同时将静态路由失效,启用备用静态路由,从而将内网流量自动切换到备用的VPN隧道

根因
华赛防火墙的VPN隧道的冗余性主要通过路由的备份和切换来实现
建议与总结
如要满足如上组网需求,需支持两个前提
1、网络中允许设备采用IP-link的ping探测方式,对对端网关进行探测,即没有禁止icmp协议,一般满足
2、两端设备均支持关联静态路由的IP-link track探测,一些老的设备IP-link功能只支持下一跳的探测,无法支持该组网需求。建议需通过查设备版本配套手册,来确认相关设备是否支持此类组网

END