【原创分享计划】+ 使用动态路由实现专线与VPN互为备份

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

【实验目的】

     现实生活中，企业专线由于部署灵活、速度快、稳定且不受互联网影响，成为不差钱的企业首选。为了提高链路可靠性，他们往往还需要架设VPN作为专线备份。本实验正是利用动态路由技术（OSPF）来实现专线与VPN互备的效果。

【实验设备】

某公司防火墙一台

某公司IMG一台

H3C三层交换机一台

【实验规划】

总部业务网段：192.168.1.0/24

总部专线通讯IP：172.16.1.1/30

分部业务网线：192.168.20.0/24

分部专线通讯IP：172.16.1.2/30

分部网关与交换机互联段：10.0.0.0/24

【实验拓扑】

【实验步骤】

1.在防火墙上新建专线端口，并配置通信地址

2.在交换机上建三层接口，并配置通信地址

3.测试是否能正常通讯

4.在防火墙上启用OSPF服务

5.把通讯地址和业务地址都宣告OSPF

6.在交换机上也配置OSPF并宣告通讯地址和业务地址

7.一切就绪后，在防火墙上查看邻居是否建立成功

8.在交换机上也看一下邻居建立

9.在防火墙上看路由是否已经同步过来

10.在交换机上也检查一下路由是否同步

11.测试一下对端的主机是否能正常访问

12.至此，专线部分已完成。接下来分别设置两端VPN （过程略）

13.防火墙必须调一下路由优先级。因为某公司防火墙默认是【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】。需要启用【VPN与专线互备路由】功能，把路由优先级调整为：【静态路由/动态路由】>【策略路由】>【VPN路由】>【默认路由】

14.由于对端MIG设备与业务段不在同一网段，因此还需要增加本地子网

15.完成上述步骤后。在防火墙路由表上已经能看到两条去往对端的路由了。其中一条下一跳是专线，另一条下一跳是VPN接口。并且OSPF的度量值为2，VPN路由度量值为0，默认是走专线的

16.在接上专线时路由跟踪一下

17.把专线拨掉，再路由跟踪一下

18.最后，长ping对端地址，在ping过程中拨掉专线模拟中断，发现只丢两个包，效果非常好

感谢楼主分享，很多价值的一遍专线与vpn互备的案例，这种场景目前在项目中还是比较多的，用户有专线，有互联网线路，正常情况业务数据走专线，上网业务走互联网。但当专线故障时，又可以保障业务数据的连续性。这个就是典型的专线与vpn互备。
同样楼主所提到的如果希望业务优先走专线（总部分支互联一般都是静态或者动态路由），就必须开启vpn高级配置里的“vpn与专线互备路由”，来调整不同类型路由的优先级。只是有一点需要注意的是，这个时候vpn和ospf不是看度量值来进行路由优先级的选择的。这是不同类型的路由，开启“vpn与专线互备路由”后，ospf类型的路由就会比vpn路由的优先级要高。

讲解得很详细，感谢分享。

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

内容详细 学习一下

感谢分享

学习了动态路由实现专线与VPN互为备份，这个灾备对于信息机房来说很重要

谢谢分享

谢谢分享

内容很详细，帮助很大