今天一客戶H3C-ER3200希望能實現(xiàn)雙WAN口�,無論哪個WAN口斷網(wǎng)��,都能繼續(xù)連上同一個 IPSec 的VPN ;較好能實現(xiàn)無間斷零中斷IPSecVPN;
為此我們給出兩個建議參考:
ER G2系列
1�、采用ipsec over gre隧道嵌套方式部署�,首先部署兩個ACL匹配ipsec感興趣數(shù)據(jù)流匹配總部與分支VPN網(wǎng)關(guān)上的某個Loopback口IP,分別通過兩個不同的分支WAN口與總部形成ipsec隧道后����,再部署gre,其Tunnel接口的源目IP就是ipsec感興趣數(shù)據(jù)流匹配的Loopback口��。較后設(shè)置靜態(tài)路由或路由協(xié)議���,通過選路的方式優(yōu)先從某一個WAN口承載的GRE隧道跑數(shù)據(jù)����,該WAN口故障后再自動實現(xiàn)路由備份�,靜態(tài)場景可以結(jié)合BFD或NQA技術(shù)防止廣域網(wǎng)間接故障,導(dǎo)致浮動靜態(tài)路由不感知���,數(shù)據(jù)無法回切
該方式WAN口故障后�,業(yè)務(wù)切換不會造成丟包
ER 系列
2����、直接采用ipsec vpn通過不同的WAN口向?qū)Ψ娇偛堪l(fā)起IPSEC vpn建立��,感興趣數(shù)據(jù)流匹配的就是總部與分支需互訪的數(shù)據(jù)流�����,只不過分支需要通過路由控制(比如靜態(tài)路由)����,優(yōu)先將訪問總部私網(wǎng)數(shù)據(jù)流的數(shù)據(jù)牽引到哪個WAN口���,進(jìn)行IPSEC vpn觸發(fā)����,當(dāng)當(dāng)前WAN口故障后���,再切換到另一個WAN繼續(xù)觸發(fā)新的IPSEC vpn隧道���,承載業(yè)務(wù)。
該方式WAN口故障后�,業(yè)務(wù)切換會造成些許丟包!
