1.原理介绍
链路备份:细分为主备链路冗余备份、多链路冗余备份。
设备备份:细分为主备备份、负载分担。
1链路备份:主备链路冗余备份方案
部署前提如图:
部署点各一台防火墙。
总部两个公网地址,分支一个公网地址。
实现效果:正常使用主链路,当主链路故障,切换到备份链路。
2链路备份:多链路冗余备份方案
部署前提如图:
部署点各一台防火墙。
总部三个公网地址,分支一个公网地址。
实现效果:基于路由状态来实现链路探测。
3设备备份:主备备份方式
部署前提如图:
总部两台防火墙,分支一台防火墙。
总部三个公网地址,分支一个公网地址。
实现效果:基于防火墙主/备的高可用,来实现VPN的高可用。
4设备备份:负载分担方式
部署前提如图:
总部两台防火墙,分支一台防火墙。
总部四个公网地址,分支一个公网地址。
实现效果:基于防火墙主/备的高可用,来实现VPN的高可用。
2.实验
2.1两个网关之间配置IPSecVPN主备链路备份
2.1.1IP地址规划
PC1
ip 5.1.1.1/24 5.1.1.10
2
ip 5.1.5.1/24 5.1.5.20
save
Internet
IPSec高可用性基本概念
链路冗余
“主主”、“主备”链路冗余
全网状链路备份
隧道化链路备份(推荐)
设备冗余
二层设备冗余
三层设备冗余
IPSec高可用性基本概念
简介
为了保证IPSec隧道的高可用性,就要防止保障设备和链路出现单点故障
高可用实现方法
链路冗余、设备冗余
链路冗余
通过多条物理链路实现高可靠性
“主主”、“主备”链路冗余
主IPSec通道链路固定IP接入,备IPSec通道链路采用固定或拨号接入(需要建立多个IPSec)
全网状链路备份
分支与分支,分支与总部都建立IPSec
隧道化链路备份(推荐)
将IPSec策略应用到Tunnel接口中,然后多个物理接口做备份(只需要建立一个IPSec)
设备冗余
通过多个设备实现高可靠性
二层设备冗余
冗余的两台FW做双机热备,在物理口上引用IPSec安全策略(正常配置)
对端FW的对端地址指的时VRRP虚拟IP地址(公网地址)
三层设备冗余