拓扑
客户当前拓扑:
总部AD做出口,双运营商,下联AF,AD和AF之间只有一条线或者做了链路聚合
分支AF做出口,双运营商出口
总部出口AD将联通的线路做地址转换,将AF上联口地址端口4009发布,分支以此作为webagent和总部建立sangfor VPN,当前只能建立1*2条VPN,只能实现单边,也就是分支侧的线路主备
当前问题:总部的联通线路不稳定,经常出现丢包、长时间中断情况,这样VPN隧道也会跟着中断,对业务造成极大影响
需求:总部分支之间建立稳定可靠的VPN隧道,避免单条运营商线路故障导致的VPN隧道中断
方案一:主备webagent方式
总部出口AD将电信和联通的出口都配置地址转换,将AF地址映射出去,分支配置主备webagent
效果是正常以主webagent建立vpn,主webagent故障后通过备建立
方案缺陷:中断时间过长,业务中断时间=vpn故障检测时间+新连接建立时间(虚拟化测试环境最短40S最长100S)
最终隧道效果如下,总部一条线路对应分支两条线路,总部当前出口线路中断后会触发vpn的隧道状态监测,触发备用线路重连
方案二:总部AF双线路
总部AF和出口AD之间新加一条线路连接,实现AF多WAN多线路
每个运营商单独映射一个AF的WAN口,分支配置主备webagent
最终隧道效果如下,总部和分支已经建立了2*2的隧道数,总部和分支可以接受各自中断一条运营商线路
当总部其中一条线路中断后,还剩下另一条线路建立的隧道可用,不需要临时再去建立新连接,业务中断时间极短(虚拟化测试环境长ping丢一个)
案例二配置步骤(AF8026举例):
按如图所示将总部AF和AD之间加一条新线路,AD上将电信公网IP端口映射给AF新接口IP
新线路IP地址用私网互联地址即可
接口配置如图:
1、勾选WAN口;
2、设置IPSec VPN出口线路;
3、下一跳网关
多线路配置中,设备可能自带几条多线路配置,也可能没有,有的话直接编辑已有线路,设置下图中的几次参数即可
1、出口线路
2、勾选具有固定IP
3、配置固定IP(AD上映射给新线路的公网IP)
4、注意将之前的线路一也进行以上三点配置(因为单线路情况下一般不勾选固定IP)
分支配置:
主备webagent分别写电信联通线路
检查隧道建立状态即可
结合BBC配置:
BBC纳管
先在BBC新增设备,此处分支不是真的代表分支,仅仅是个名字,总部和分支设备都在这里添加,设置必填项后,需要记录两个信息
1、如下图中的设备名和接入密码
2、AF中填写对接参数,BBC的接入地址+端口、设备接入名称(就是上一步的设备名)、接入密码。
所有AF都按照以上步骤,先在BBC新建设备信息,然后AF上接入集中管理,接入后检查设备状态是否正常
进入VPN界面添加拓扑,设置总部分支信息,填写总部的webagent(AD映射的公网地址和端口)主备webagent有两种配置形式,如下图,可以分别卸载主备上,也可以写在一行,格式:IP;IP:端口
Q:总部加了新线路需要写路由吗?
A:不需要新配置任何路由条目,静态、策略路由都不需要,只要保证新WAN口的下一跳网关写对即可,下一跳网关的作用是:为VPN建立提供选路条件,VPN隧道的通信根据此参数决定,VPN隧道报文不会根据静态或者策略路由选择。下一跳网关生成的路由如下图,此路由不可删除更改,只要配了WAN口的下一跳网关就有。此VPN路由不会影响业务流量的通信,此路由只对VPN隧道的报文有效
Q:多线路怎么配置?
A:多线路配置需要以下几点:
1、需要WAN口配置和IPsec线路匹配,确定线路和接口的绑定关系
2、检查多线路设置中的线路状态,如果此页面一条多线路都没有,可以手动新增
(1) 注意检查出口线路绑定的线路几
(2) 固定Internet IP怎么配?
① 什么情况下需要勾选
1) 本案例中多线路方案中,需要每条运营商线路对应一个AF的WAN口时,需要勾选并且地址写DNAT后的公网出口地址,如果写了DNAT前,也就是AF的WAN口上的私网互联地址,则会出现如下图情况,隧道可以建立,但是没有线路,日志显示反复成功然后中断,告警信息为请检查端口映射规则
② 什么情况下不用勾选
1) 本案例分支这种,固定公网IP直接落在AF上,就不用勾选(即使勾选了,VPN隧道也不会按照固定设置的地址去发起连接,默认发起连接的IP是接口上配置的第一个IP)
2) 本案例中主备webagent方案,总部AF一条线对应两个公网出口时不勾选,如果勾选了,那就只能通过这个地址建立邻居,如果建立时用了其他的地址(比如固定IP写的是联通的,联通线路断开后会用电信公网IP建立),此时隧道可以建立,但是线路为空,日志显示隧道反复建立成功--中断--成功,告警信息为请检查端口映射规则
楼主
工程师2级 
