本帖最后由 三胖 于 2021-1-25 13:14 编辑
环境如下,直接上图。 
一,背景介绍: 1.1客户原有环境为专线接在核心交换机上,与分支通过专线互联,现想通过woc实现VPN与专线互备,不涉及加速,正常情况下优先走专线进行访问,专线断开后自动切换线路通过VPN进行访问。
1.2规划: 将WOC网关部署,专线接入在WOC的WAN2口,LAN口正常接入核心,关键的来了,此时由于网关部署的特性,必须将设备的另一个WAN1口也接入核心交换机,配置为和LAN不同段的地址。然后在AF上将4009端口映射到WOC接核心的那个WAN1口地址。
1.3:IP地址规划(本贴为模拟环境) 总部AF和网关---wan:10.10.1.1/30 GAW:10.10.1.2/30 总部AFLAN:11.11.1.1/30 对端核心:11.11.1.2/30 (VPN端口)WAN1: 11.11.1.5/30 GA:11.11.1.6/30 专线WAN2 20.20.20.20/24 对端分支:20.20.20.21/24 总部WOC LAN 11.11.1.10/252 GA:1.9 pc:30.1.1.0/24
分支AF wan和网关--- 100.100.1.1/30 100.100.1.2/30 分支AFLAN:110.110.1.1/30 对端110.110.1.2/30 (VPN)WAN1 110.110.1.5/30 GA:110.110.1.6/30 专线WAN2 20.20.20.21/24 GA:20.20.20.20/24 分支WOC LAN 110.110.1.10/30 GA:1.9 pc:40.1.1.0/24
二,配置思路: 1.woc 网关部署,wan1口和lan口接内网核心交换机,wan2口接专线(这有个坑,wan2口无法做VPN) 2.多线路配置 3.策略路由配置 4.静态路由配置 5.本地子网 6.sangfor VPN配置 7.woc前置设备引流配置 9.总部出口设备做端口映射到woc的wan1口IP
三,具体配置与问题说明:
1.部署模式 经过多次测试,发现VWOC(9.5.3)的wan2口无法建立VPN,本地测试4009端口不通。客户那边的物理设备9.5.8没次bug。
2.多线路配置
3.策略路由配置 分别建立专线和VPN的策略路由,注意需要开启链路故障检测,因为只有检测到链路异常才会匹配下一条策略路由,从而达到主备的目的。 3.1策略路由规则配置 3.2对象-IP组
4.VPN配置 4.1总部 基本配置 用户创建 本地子网 4.2分支 连接管理 本地子网
VPN状态
5.WOC前置设备如核心交换机做引流,目的为对端子网,下一跳为本地woc lan IP。 5.1 总部woc前置设备做引流,目的为分支需要被访问的网段,下一跳为woc lan IP
5.2 分支woc前置设备做引流,目的为分支需要被访问的网段,下一跳为woc lan IP
6.端口映射,映射到woc的wan1口上
至此,配置以全部完成,下面开始测试。 1,正常情况下,访问分支通过专线访问。 2,此时,拔掉专线,通过长ping分支观察切换和丢包现象。
查看策略路由状态,发现专线显示故障,所以在丢了2个包后切换到了VPN策略路由进行通信。
路由跟踪
测试专线恢复后的情况 专线恢复后专线的策略并不会马上抢占VPN路由,由于会话保持的原因,VPN隧道会一直处理与抢占状态,此时停止长ping等会话失效后即可切换回专线。
片刻后继续测试则显示恢复 策略路由显示正常  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-1-26 13:21
技术员1级