【简介】当多个分部连接总部的时候,我们可以使用点对多的IPsec VPN,但是缺点就是,如果总部的这条宽带临时出现问题,所有的VPN将会断开,严重影响业务,解决的办法就是用二条宽带做冗余IPsec VPN,这样一条宽带出现故障,另一条宽带的VPN还是可以正常使用。
冗余 VPN 问题
我们在做点对多IPsec VPN的时候知道,总部是不用建立返程路由的,都是由分部拨号连接VPN后自动产生。
那么问题来了,当第一条IPsec VPN连接成功后,防火墙产生一条回程路由,只要是本地内网地址,就通过隧道返回。
当建立第二条IPsec VPN后,将会同样建立一条返回路由,而且与第一条IPsec VPN的路由完全一样,我们知道,防火墙不可能建立两条一模一样的路由,这样产生的最终结果就是,第二条IPsec VPN拨号连接上后,第一条会断开,反之第一条拨上,第二条会断开,两条IPsec VPN不能同时存在,这就无法做到VPN冗余了。
要解决两条IPsec VPN同时存在的问题,每条VPN必须各建一条返程路由,那么返回IP地址必须不同,这样就需要用到虚拟IP功能了。
我们用两条宽带,一条电信,一条联通,分别从一个分部向总部建立两条IPsec VPN。
第一条 IPsec VPN
第一条IPsec VPN,我们用正常的方法连接总部,总部的VPN设置就不讲了,直接介绍分部防火墙IPsec VPN设置。
① 第一条IPsec VPN,我们连接总部的电信宽带,本地地址是172.8.1.0,访问总部172.0.3.0地址。
② 我们已经知道了,接口模式下的IPsec VPN会有一条静态路由和两条策略,第一个IPsec VPN的静态路由是这样的,当有访问172.0.3.0时,流量走隧道。
③ 流出策略,允许内网172.8.1.0访问通过隧道访问总部172.0.3.0。不启用NAT,直接用本地地址访问。
④ 流入策略,允许总部172.0.3.0通过隧道访问分部172.8.1.0。不启用NAT,直接用本地地址访问。这样第一条IPsec VPN就OK了。
第二条 IPsec VPN
第二条IPsec VPN,我们就不能再直接使用内网地址172.8.1.0了,而需要变成一个没有用过的IP地址网段。
① 第二条IPsec VPN,我们连接总部的联通宽带,访问总部还是172.0.3.0地址。但本地地址是一个实际不存在的 172.38.1.0网段。
② 建立一个虚拟IP,接口选择第二条IPsec VPN接口,外部地址输入并不存在的172.38.1.1-254,映射地址为真实存在的172.8.1.1-254。注意一定要是1-254,不要是1-1,这样只映射了一个IP。
③ 建立和第一条IPsec VPN同样的静态路由,只要有172.0.3.0的访问就走联通IPsec VPN,默认的优先级都是0,两条路由优先级相同的话,两条路都可以同时走。
④ 第二条IPsec VPN 流出策略,与第一条IPsec VPN的流出策略不同的是,启用了NAT。也就是隐藏了真实的内网地址172.8.1.0,而是用隧道接口地址172.38.1.0在进行访问。
⑤ 第二条IPsec VPN流入策略,与第一条IPsec VPN流入策略不同的地方是目标地址,选择了前面建立的虚拟IP,这条策略的作用是,总部访问分部地址是172.38.1.0网段,在这里再转换成实际地址172.8.1.0。也就是说,总部访问172.8.1.0时,会走第一条IPsec VPN,总部访问172.38.1.0时,会走第二条IPsec VPN,最终都是访问172.8.1.0分部设备。
验证
总部的两条IPsec VPN的设置除了外网接口不同外都是一样的,这里不再介绍。
① 分部的两条IPsec VPN连接到总部后,在总部可以看到生成两条不同IP的返程路由。总部访问分部,可以用两个不同的IP地址走两条IPsec VPN访问。
② 分部访问总部,只能用一个IP地址段,具体走哪条IPsec VPN,由防火墙决定。分部点击菜单【FortiView】-【接口】,可以看到各个接口的进出情况。
③ 点击IPsec VPN接口,可以看到有哪些内网在走这条IPsec VPN访问总部。
【提示】星状网格,如果分部的内网IP地址网段相同,就会出现部分能通,部分不能通的情况,用这种方法也可以解决子网重叠问题。
飞塔技术 - 老梅子 QQ:57389522