【简介】当多个分部连接总部的时候,我们可以使用点对多的IPsec VPN,但是缺点就是,如果总部的这条宽带临时出现问题,所有的VPN将会断开,严重影响业务,解决的办法就是用二条宽带做冗余IPsec VPN,这样一条宽带出现故障,另一条宽带的VPN还是可以正常使用。
我们在做点对多IPsec VPN的时候知道,总部是不用建立返程路由的,都是由分部拨号连接VPN后自动产生。
当建立第二条IPsec VPN后,将会同样建立一条返回路由,而且与第一条IPsec VPN的路由完全一样,我们知道,防火墙不可能建立两条一模一样的路由,这样产生的最终结果就是,第二条IPsec VPN拨号连接上后,第一条会断开,反之第一条拨上,第二条会断开,两条IPsec VPN不能同时存在,这就无法做到VPN冗余了。
我们用两条宽带,一条电信,一条联通,分别从一个分部向总部建立两条IPsec VPN。
第一条IPsec VPN,我们用正常的方法连接总部,总部的VPN设置就不讲了,直接介绍分部防火墙IPsec VPN设置。
② 我们已经知道了,接口模式下的IPsec VPN会有一条静态路由和两条策略,第一个IPsec VPN的静态路由是这样的,当有访问172.0.3.0时,流量走隧道。
③ 建立和第一条IPsec VPN同样的静态路由,只要有172.0.3.0的访问就走联通IPsec VPN,默认的优先级都是0,两条路由优先级相同的话,两条路都可以同时走。
验证
总部的两条IPsec VPN的设置除了接口不同外都是一样的,这里不再介绍。
③ 点击IPsec VPN接口,可以看到有哪些内网在走这条IPsec VPN访问总部。
飞塔技术 - 老梅子 QQ:573522
