更新时间:2023-07-03
用户分公司在地市出口使用AC,分公司内网员工有访问省公司内网应用的需求,分公司AC和总部省公司出口设备连接了VPN,同时分公司和省公司连接了专线,现希望专线正常时分公司访问省公司应用走专线,当专线断开的时候,分公司访问总公司应用自动切换到VPN线路。
设备路由模式部署,有两条外网线路一条外网线路用于连接VPN,另外一条专线连接总部。
前置条件
- AC最少有两条外网线路,一条用于连接VPN,一条用于连接专线。
- 分支内网的网段,以及需要访问的总部内网网段要了解,清楚分支和总部的整体部署,总部哪台设备用来提供VPN对接,专线连接总部哪台设备哪个网口。
- 确认总部VPN设备是我们公司自己的VPN设备还是第三方VPN设备,如果是我们自己的VPN设备总部要事先创建好VPN账号供分支VPN连接;如果总部是第三方VPN要知道第三方VPN第一阶段第二阶段对接的相关参数。
预期效果
专线和VPN连接正常时,分支访问总部应用优先走专线,专线断切换走VPN线路。
操作步骤
步骤1.将部署模式配置为路由模式,并且配置好内外网口,以及两条外网线路的地址。
步骤2.静态路由配置。如果分支内网是三层环境,还需要添加内网的回包路由网关指向内网的三层交换机。此环境中内网是二层环境无需添加静态路由。
步骤3.配置VPN连接管理连接总部VPN设备。
步骤4.配置完成VPN连接成功可以看到VPN连接成功,总部内网网段的路由指向VPNTUN口。
:
如果总部VPN设备是第三方VPN产品,非我们自己公司的VPN设备同样是支持的,但是此时配置VPN时要配置第三方VPN对接,并且总部VPN设备或者总部网络要支持分支内网访问总部应用走专线时,总部要从专线回包到分支内网;分支内网访问总部应用走VPN时,总部要从VPN回包到分支内网。
步骤5.配置链路负载,在[对象定义/IP组/IP组列表]栏中定义分支AC内网的IP范围段以及总部的范围段。
步骤6.在[流量管理/链路负载]新增VPN专线备份的多线路负载均衡路由。
步骤7.配置两条外网线路的线路故障检测。
:
线路故障检测,有DNS解析和ping两种链路状态监测方法,可以自行选择:
1.Ping和DNS检测任意一个不通了,则认为不通了。
2.Ping和DNS里可以填多个地址;多个地址之间是或的关系有一个成功即成功。
3.自动检测,表示是否开启了自动检测。如果不开启自动检测,那么只要网口有电,就认为网络是通的。
步骤8.配置总部VPN。总部VPN设备一般事先已经上架好了、部署设置和路由都是配置好的这里以AC的设备来截图配置。
步骤9.检查部署模式,部署模式配置网关模式,有两条外网线路。线路2是专线,连接分支AC。
步骤10.由于此处AC为内网二层环境,没有配置静态路由。配置总部VPN服务端监听的地址和端口并创建账号。
步骤11.在总部AC的[系统管理/对象定义/IP地址库/IP组]定义总部内网IP地址端以及分支的IP 地址段。
步骤12.在[流量管理/链路负载/优先负载策略]中配置优先负载策略。
:
1.总部设备可以是深信服VPN设备也可以是第三方VPN设备,分支专线连接总部可以连接总部VPN设备也可以连接到总部内网其它设备,但是总部要保证,分支内网访问总部应用的数据走专线时总部的回包也从专线回包,分支内网访问总部应用的数据走VPN时总部也会从VPN回包。总部要配置好相关的策略路由或者选路规则。
2.总部配置好选路策略后也可以实现,总部访问分支内网优先走专线,专线断开走VPN线路。
步骤13.验证选路效果。
AC内网测试总部内网的应用正常走专线,查看AC VPN确认有没有流量,正常情况下是没有流量的。
拔掉ETH1口的专线,此使数据切换至VPN线路。再次查看VPN链路上是否有数据。
:
尽量选择不同的应用做拔线切换的测试,如专线正常前测试的是http://172.18.1.10,那么专线断开后可以测试其他服务器的应用。如果拔线切换前后测试的是同一应用那么断开当前应用重新测试。