×

防火墙内网部署/非出口部署的VPN多线路方案
  

新手182831 1212

{{ttag.title}}
本VPN多线路案例适用场景举例:

1、AF非出口部署,运营商线路和IP不落在AF上,比如前置有路由器/负载等三层设备场景,比如:运营商-AD/路由器-AF
2、AF单臂部署

正文:
拓扑
客户当前拓扑:
总部AD做出口,双运营商,下联AFADAF之间只有一条线或者做了链路聚合
分支AF做出口,双运营商出口
总部出口AD将联通的线路做地址转换,将AF上联口地址端口4009发布,分支以此作为webagent和总部建立sangfor VPN,当前只能建立1*2VPN,只能实现单边,也就是分支侧的线路主备

当前问题:总部的联通线路不稳定,经常出现丢包、长时间中断情况,这样VPN隧道也会跟着中断,对业务造成极大影响

需求:总部分支之间建立稳定可靠的VPN隧道,避免单条运营商线路故障导致的VPN隧道中断

方案一:主备webagent方式
总部出口AD将电信和联通的出口都配置地址转换,将AF地址映射出去,分支配置主备webagent
效果是正常以主webagent建立vpn,主webagent故障后通过备建立
方案缺陷:中断时间过长,业务中断时间=vpn故障检测时间+新连接建立时间(虚拟化测试环境最短40S最长100S
最终隧道效果如下,总部一条线路对应分支两条线路,总部当前出口线路中断后会触发vpn的隧道状态监测,触发备用线路重连


方案二:总部AF双线路
总部AF和出口AD之间新加一条线路连接,实现AFWAN多线路
每个运营商单独映射一个AFWAN口,分支配置主备webagent
最终隧道效果如下,总部和分支已经建立了2*2的隧道数,总部和分支可以接受各自中断一条运营商线路
当总部其中一条线路中断后,还剩下另一条线路建立的隧道可用,不需要临时再去建立新连接,业务中断时间极短(虚拟化测试环境长ping丢一个)

案例二配置步骤(AF8026举例):
按如图所示将总部AFAD之间加一条新线路,AD上将电信公网IP端口映射给AF新接口IP
新线路IP地址用私网互联地址即可
接口配置如图:
1、勾选WAN口;
2、设置IPSec VPN出口线路;
3、下一跳网关
多线路配置中,设备可能自带几条多线路配置,也可能没有,有的话直接编辑已有线路,设置下图中的几次参数即可
1、出口线路
2、勾选具有固定IP
3、配置固定IPAD上映射给新线路的公网IP
4、注意将之前的线路一也进行以上三点配置(因为单线路情况下一般不勾选固定IP
分支配置:
主备webagent分别写电信联通线路

检查隧道建立状态即可


结合BBC配置:
BBC纳管
先在BBC新增设备,此处分支不是真的代表分支,仅仅是个名字,总部和分支设备都在这里添加,设置必填项后,需要记录两个信息
1、如下图中的设备名和接入密码
2AF中填写对接参数,BBC的接入地址+端口、设备接入名称(就是上一步的设备名)、接入密码。
所有AF都按照以上步骤,先在BBC新建设备信息,然后AF上接入集中管理,接入后检查设备状态是否正常
进入VPN界面添加拓扑,设置总部分支信息,填写总部的webagentAD映射的公网地址和端口)主备webagent有两种配置形式,如下图,可以分别卸载主备上,也可以写在一行,格式:IP;IP:端口

Q:总部加了新线路需要写路由吗?
A:不需要新配置任何路由条目,静态、策略路由都不需要,只要保证新WAN口的下一跳网关写对即可,下一跳网关的作用是:为VPN建立提供选路条件,VPN隧道的通信根据此参数决定,VPN隧道报文不会根据静态或者策略路由选择。下一跳网关生成的路由如下图,此路由不可删除更改,只要配了WAN口的下一跳网关就有。此VPN路由不会影响业务流量的通信,此路由只对VPN隧道的报文有效

Q:多线路怎么配置?
A:多线路配置需要以下几点:
1、需要WAN口配置和IPsec线路匹配,确定线路和接口的绑定关系
2、检查多线路设置中的线路状态,如果此页面一条多线路都没有,可以手动新增
(1) 注意检查出口线路绑定的线路几
(2) 固定Internet IP怎么配?
① 什么情况下需要勾选
1) 本案例中多线路方案中,需要每条运营商线路对应一个AFWAN口时,需要勾选并且地址写DNAT后的公网出口地址,如果写了DNAT前,也就是AFWAN口上的私网互联地址,则会出现如下图情况,隧道可以建立,但是没有线路,日志显示反复成功然后中断,告警信息为请检查端口映射规则
② 什么情况下不用勾选
1) 本案例分支这种,固定公网IP直接落在AF上,就不用勾选(即使勾选了,VPN隧道也不会按照固定设置的地址去发起连接,默认发起连接的IP是接口上配置的第一个IP
2) 本案例中主备webagent方案,总部AF一条线对应两个公网出口时不勾选,如果勾选了,那就只能通过这个地址建立邻居,如果建立时用了其他的地址(比如固定IP写的是联通的,联通线路断开后会用电信公网IP建立),此时隧道可以建立,但是线路为空,日志显示隧道反复建立成功--中断--成功,告警信息为请检查端口映射规则

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

牛风喜 发表于 2024-5-11 09:19
  
每日一积累慢慢变专家
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
干货满满
技术笔记
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人