1. 需求分析

  • 本案例将展示用户场景为两端防火墙分别为单出口与双出口情况下,并对接两条IPSecVPN,最终实现冗余效果,方便用户快速部署。

2. 组网拓扑

3. 解决方案

3.1 软硬件信息

FW1软件版本 SG-6000-CloudEdge-5.5R7P2
硬件平台 SG-6000-VM01
FW2软件版本 SG6000-CloudEdge-5.5R7P2
硬件平台 SG-6000-VM01

3.2 配置

  • 前提条件:FW1和FW2均已经配置基础上网,并且两端内网终端用户能够正常上网。
  • 单出口和双出口建立IPSecVPN,可能会遇到因双出口端的路由问题,例如:两条负载默认路由、两条冗余的默认路由,导致协商报文转发至错误接口,IPSecVPN无法建立。
  • 所以可以使用关闭接口逆向路由和规定VPN发起者的办法来规避相关问题。

3.2.1 FW1配置

  • FW1公网接口配置:

图1

  • FW1配置两条IPSecVPN,因为FW1是单出口的一端,所以设置为发起者。

【e0/1-e0/1VPN】

图2

图3

图4

图5

【e0/1-e0/2VPN】

图6

图7

图8

图9

  • FW1隧道接口配置(记得在隧道接口中绑定VPN实例):

图10

图11

  • FW1目的路由配置:

图12

  • FW1策略放行(根据内网接口的安全域和tunnel口的安全域放行,本地内网接口安全域为trust,tunnel接口安全域为VPNHub):

图13

3.2.2 FW2配置

  • FW2公网接口配置:

图14

图15

  • FW2配置两条IPSecVPN,因为FW2是双出口的一端,所以选择为响应者,这样关闭公网接口的逆向路由之后,回包匹配会话,不会匹配路由,就规避了多出口路由带来的影响。

【e0/1-e0/1VPN】

图16

图17

图18

图19

【e0/1-e0/2VPN】

图20

图21

图22

图23

  • FW2隧道接口配置(记得在隧道接口中绑定VPN实例):

图24

图25

  • FW2目的路由配置:

图26

  • FW2策略放行(根据内网接口的安全域和tunnel口的安全域放行,本地内网接口安全域为trust,tunnel接口安全域为VPNHub):

图27

4. 结果验证

  • 点击网络–VPN–IPSecVPN,右上角的 查看FW1端VPN协商结果,如下图28所示:

图28

  • 点击网络–VPN–IPSecVPN,右上角的IPSec VPN监控查看FW2端VPN协商结果,如下图29所示:

图29

  • 在FW1端内网ping FW2端内网,如下图30所示:

图30

  • 在FW2端内网ping FW1端内网,如下图31所示: