- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-VPN链路备份典型配置举例
本章节下载 (323.55 KB)
目 录
本文档介绍F1000-C8102设备IPSEC备份链路配置举例。支持IPSEC-VPN链路备份功能,满足在一条IPSEC-VPN链路不通的情况下,启用另一条IPSEC-VPN链路。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如图1所示,某公司内网存在两个网段,IP地址分别为20.1.1.0/24和30.1.1.0/24。使用两台F1000-C8102设备的对接部署在网络中,在两台F1000-C8102上启用VPN备份链路功能。
图1 VPN链路备份组网图
· 两台设备分别配置主备两条链路。
· 主备链路都正常连接时,备链路断开。
· 主链路断开后,备链路自动连接。
(1) 新建设备A主链路IKE
如图2所示,进入“VPN>IPsec-VPN>IPsec第三方对接”,点击<新建IKE>。
(2) 新建设备A主链路ipsec
如图3所示,点击<新建IPSEC>。
(1) 新建设备A备链路IKE
如图4所示.,点击<新建IKE>。
(2) 新建设备A备链路IPSEC
如图5所示,点击<新建IPSEC>。
如图6所示.,点击<新建IKE>。
根据组网图按照设备A的配置方法配置设备B。
如图7所示,点击<路由>。
根据组网图按照设备A的配置方法配置设备B。
· 在未配置DPD检测的情况下,当主链路故障后,需要等待IPSEC SA老化,同时需要等待一个切换延迟时间周期后备链路才会发起协商。
· 在配置DPD检测的情况下,这样在主链路故障后,等待DPD检测周期(DPD检测失败清除IPSEC SA的时间周期)加切换延迟时间后备链路才会发起协商。
· 主备路由切换是通过监控tunnel口的up/down来实现的,当主链路故障后,主链路对应的tunnel口会down掉,主链路上配置的路由会自动失效,备链路协商成功后,对应的tunnel口会变为up状态,对应的路由会变成生效状态,所以配置时分支和中心端设备主链路都必须选择自动连接的方式,备链路必须选择监控链路故障自动连接的方式才能实现。
· 主链路故障检测机制:备链路每10s会检测一次主链路的IPSEC SA来判断主链路是否正常,当主链路IPSEC SA不存在时,就认为主链路故障,在等待切换延迟时间后备链路会发起连接,当主链路恢复后,备链路会自动清掉对应的IPSEC SA,业务切换到主链路上继续转发。
(1) 验证主链路断开后,备份链路自动连接
如图8所示,进入“VPN>IPsec-VPN>IPsec第三方对接>IPsec SA”查看,发现连接为备链路。
(2) 验证主链路重新连接后,备份链路自动断开连接
如图9所示,进入“VPN>IPsec-VPN>IPsec第三方对接>IPsec SA”查看,发现连接为主链路。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
