网络拓扑:
现状描述:
办公区和IDC之间有防火墙互联的点对点专线实现内网互通,现需要两地防火墙构建IPSec VPN作为专线的热备链路。
解决方案:
飞塔侧
1.按照阶段一、阶段二建立IPSec VPN。
2.新建指向IPSec的路由,目的网段同专线,但路径长度高于专线。 #目的网段相同时,飞塔防火墙会优先匹配路径长度短的路由
3.专线端口建立link monitor
config system link-monitor
edit sdh_alx
set server 10.160.10.1
set failtime 3
4.创建与专线相同的策略。
PA侧
1.按照阶段一、阶段二建立IPSec VPN。
2.针对专线创建PBF(Policy Based Forwarding)
monitor的配置在Network----Network Profiles
即monitor出发后路由即失效
3)创建IPSec的静态路由,专线PBF失效后将启用此路由
4)创建IPSec的策略。