【华北区交付直播】防火墙VPN互备案例

一、网络拓扑

二、客户需求

    客户有防火墙（版本3.0.45）上有两条外联线路，一条互联网线用于上网，一条物理专线用于连接总部，客户现在的总部给分配了一个sangforVPN用户，AF可以使用互联网线路启用IPSecVPN功能连接总部网络，但是客户想要实现专线先走物理专线线路，当物理专线出现问题时再使用IPSec vpn线路通信。

三、配置步骤

    1、检查客户的物理专线与IPSec vpn是否已配置完成。

      2、在【网络】—【IPSecVPN】—【与专线互备路由】，启用VPN与专线互备路由

      3、由于在AF中路由的优先级默认是：【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】，如果IPSecVPN建立连接后，连接总部的网络优先使用的是IPSecVPN，若想要实现VPN专线互备，就需要配置一条优先级大于【VPN路由】的【策略路由】，所以选择【网络】—【路由】—【策略路由】中点击【新增】，

       4、策略路由配置信息：

          源区域：内网区域

          源对象：需要访问总部的内网网段

          目的地址：总部的内网网段

出口方式：选择【接口】，选择物理专线接口

   VPN专线检查：开启，启用ping功能（ping物理专线网关地址）

     5、准备一台电脑使用windows路由追踪功能测试访问专线线路是否优先走物理专线。   

1）下图经过了sangfor VPN

2）下图经过了物理专线

注意事项：

1）、从标准版本AF6.8开始支持与专线互备路由功能，开启该功能后VPN路由优先级会降低，之前版本VPN路由优先级最高暂不支持降低

①标准版本AF8.0.48版本操作路径示例:

1、在【网络】-【IPSecVPN】中配置好基本的VPN配置，并对接上

2、在【网络】-【IPSecVPN】-【与专线互备路由】启用即可

3、在【网络】-【路由】-【策略路由】-【源地址策略路由】，新建一条源地址策略路由并启用【链路故障检测】

②以标准版本AF7.3版本操作路径示例:

1、在【VPN】-【IPSecVPN】中配置好基本的VPN配置，并对接上

2、在【VPN】-【IPSecVPN】-【高级设置】中开启VPN与专线互备功能

3、在【网络配置】-【路由】-【策略路由】中配置去往专线网段的源地址策略路由，开启链路故障检测

③以标准版本AF7.4版本操作路径示例:

1、在【网络】-【IPSecVPN】中配置好基本的VPN配置，并对接上

2、在【网络】-【IPSecVPN】-【高级设置】中开启VPN与专线互备功能

3、在【网络】-【路由】-【策略路由】中配置去往专线网段的源地址策略路由，开启链路故障检测

2）在配置【策略路由】时注意先检查一下【静态路由】中是否有物理专线有关的路由信息，如果有则需要删除。

全面，详细，感谢楼主分享经验

全面，详细，感谢楼主分享经验，打卡学习了。

感谢楼主的精彩分享，有助工作!!!

一起来学习一起来学习

一起来学习一起来学习

一起来学习一起来学习

一起来学习一起来学习

一起来学习一起来学习

一起来学习一起来学习