本帖最后由 李一凡16713 于 2023-12-28 08:40 编辑
一、网络拓扑
二、客户需求 客户有防火墙(版本3.0.45)上有两条外联线路,一条互联网线用于上网,一条物理专线用于连接总部,客户现在的总部给分配了一个sangforVPN用户,AF可以使用互联网线路启用IPSecVPN功能连接总部网络,但是客户想要实现专线先走物理专线线路,当物理专线出现问题时再使用IPSec vpn线路通信。
三、配置步骤 1、检查客户的物理专线与IPSec vpn是否已配置完成。
2、在【网络】—【IPSecVPN】—【与专线互备路由】,启用VPN与专线互备路由
3、由于在AF中路由的优先级默认是:【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】,如果IPSecVPN建立连接后,连接总部的网络优先使用的是IPSecVPN,若想要实现VPN专线互备,就需要配置一条优先级大于【VPN路由】的【策略路由】,所以选择【网络】—【路由】—【策略路由】中点击【新增】,
4、策略路由配置信息: 源区域:内网区域 源对象:需要访问总部的内网网段 目的地址:总部的内网网段
出口方式:选择【接口】,选择物理专线接口 VPN专线检查:开启,启用ping功能(ping物理专线网关地址)
5、准备一台电脑使用windows路由追踪功能测试访问专线线路是否优先走物理专线。
1)下图经过了sangfor VPN
2)下图经过了物理专线
注意事项: 1)、从标准版本AF6.8开始支持与专线互备路由功能,开启该功能后VPN路由优先级会降低,之前版本VPN路由优先级最高暂不支持降低 ①标准版本AF8.0.48版本操作路径示例: 1、在【网络】-【IPSecVPN】中配置好基本的VPN配置,并对接上 2、在【网络】-【IPSecVPN】-【与专线互备路由】启用即可 3、在【网络】-【路由】-【策略路由】-【源地址策略路由】,新建一条源地址策略路由并启用【链路故障检测】 ②以标准版本AF7.3版本操作路径示例: 1、在【VPN】-【IPSecVPN】中配置好基本的VPN配置,并对接上 2、在【VPN】-【IPSecVPN】-【高级设置】中开启VPN与专线互备功能 3、在【网络配置】-【路由】-【策略路由】中配置去往专线网段的源地址策略路由,开启链路故障检测 ③以标准版本AF7.4版本操作路径示例: 1、在【网络】-【IPSecVPN】中配置好基本的VPN配置,并对接上 2、在【网络】-【IPSecVPN】-【高级设置】中开启VPN与专线互备功能 3、在【网络】-【路由】-【策略路由】中配置去往专线网段的源地址策略路由,开启链路故障检测
2)在配置【策略路由】时注意先检查一下【静态路由】中是否有物理专线有关的路由信息,如果有则需要删除。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-27 23:17
