1 IPsec VPN链路备份组网配置

1.1 适用的产品和版本

表1-1 配置示例使用的产品和版本

设备类型	设备型号	版本
防火墙	RG-WALL 1600-CF系列防火墙	适用于NGFW_NTOS 1.0R13或更高版本

1.2 业务需求

为了保证IPsec VPN隧道的高可靠性，防止链路出现单点故障导致业务中断，可通过多条物理链路建立主备隧道。当主链路故障不通时，自动切换到另一备份链路建立IPsec VPN隧道。当主链路恢复时，再自动回切到主链路建立IPsec VPN隧道。

图1-1 链路备份的IPsec VPN组网图

1.3 配置限制与说明

l 隧道两端设备支持通过IP地址或者域名通信，使用IP地址建立隧道时，必须是固定的公网IP地址；若IP地址不固定（如通过DHCP、PPPoE等方式获取IP），可使用域名建立隧道，此时，需要先配置DDNS策略。

l 支持分支使用不同的预共享密钥和中心协商，但分支配置的密钥要和总部对应，假如总部给1分支配置的密钥是123456，则在1分支上配置的密钥也要为123456。

l 在主备隧道场景，分支配置隧道的本端地址时必须选择接口，不能手动输入IP地址。

l 分支的本端地址如果使用DHCP/PPPoE拨号接口，主备隧道都需要配置相同的IKE本端ID值，如FQDN类型的字符串“spoke1”等。

1.4 前置条件

已完成两个站点的接口IP、默认路由等基本网络配置，配置时注意以下几点：

l 中心的IP地址或者域名必须是固定的。在本例中，以固定IP地址为例。

l 所有分支通过带外方式获取中心端配置的预共享密钥。

1.5 配置步骤（向导方式）

1.5.1 配置总部主隧道

1. 基本配置

(1) 点击[网络]>>[VPN管理]>>[IPsec VPN]>>[配置向导]，等待配置检测完成后，点击<下一步>，进入配置向导的基本配置页面。

(2) 按如下参数配置，部署场景选择“点到多点（总部）”。

(3) 配置完成，点击<下一步>进入认证配置。

2. 认证配置

(1) 设置预共享密钥。总部与分支设备需配置相同的预共享密钥。

(2) 配置完成，点击<下一步>进入感兴趣流配置。

3. 感兴趣流配置

(1) 点击<新增>按钮，按如下参数新增感兴趣流。

(2) 配置完成，点击<下一步>进入配置确认页面。

4. 配置确认

确认配置是否正确，确认无误后，点击<完成>。

1.5.2 配置总部备隧道

1. 基本配置

(1) 点击[网络]>>[VPN管理]>>[IPsec VPN]>>[配置向导]，等待配置检测完成后，点击<下一步>，进入配置向导的基本配置页面。

(2) 按如下参数配置，部署场景选择“点到多点（总部）”。

(3) 配置完成，点击<下一步>进入认证配置。

2. 认证配置

(1) 设置预共享密钥。总部与分支设备需配置相同的预共享密钥。

(2) 配置完成，点击<下一步>进入感兴趣流配置。

3. 感兴趣流配置

(1) 点击<新增>按钮，按如下参数新增感兴趣流。

(2) 配置完成，点击<下一步>进入配置确认页面。

4. 配置确认

(1) 确认配置是否正确，确认无误后，点击<完成>。

(2) 查看总部已配置的IPsec隧道如下：

1.5.3 配置分支主备隧道组

1. 基本配置

(1) 点击[网络]>>[VPN管理]>>[IPsec VPN]>>[配置向导]，等待配置检测完成后，点击<下一步>，进入配置向导的基本配置页面。

(2) 按如下参数配置，部署场景选择“点到点（分支）”。

(3) 配置完成，点击<下一步>进入认证配置。

2. 认证配置

(1) 输入预共享密钥。分支与总部设备的预共享密钥需要相同。

(2) 配置完成，点击<下一步>进入感兴趣流配置。

3. 感兴趣流配置

(1) 点击<新增>按钮，按如下参数新增感兴趣流。

(2) 配置完成，点击<下一步>进入配置确认页面。

4. 配置确认

确认配置是否正确，确认无误后，点击<完成>。