为你为爱 2007-12-13 15:47
VPN通路与广域网通路的自动切换功能
[table=98%][tr][td][size=3]希望关键业务走稳定可靠的WAN通路,当WAN出现故障后,通路能立即自动(不需要人为操作)切换到VPN上,业务能继续通过VPN网络通讯。如图所示:[/size][/td][/tr][tr][td][size=1][img]http://junipers.cn/upload_files/70/7Ib9T__chanpinkuaidiimages1.jpg[/img][/size][/td][/tr][tr][td][list=1][*][size=3]通过防火墙设备,可以让某些应用在正常状况下走WAN链路,如果 WAN 链路发生故障不可到达远端目的地时,防火墙能够自动检测到WAN通路故障,并将这些应用自动切换到VPN链路上通行。 [/size][*][size=3]通过防火墙设备,可以让某些应用在正常状况下走VPN链路,如果 VPN 链路发生故障不可到达远端目的地时,防火墙能够自动检测到VPN通路故障,并将这些应用自动切换到WAN链路上通行。 [/size][/list][/td][/tr][tr][td][size=3] 传统的VPN配置方法无法实现通路的自动切换,需要人手工的修改防火墙配置和VPN策略,因此做不到及时、自动的切换,增加了维护复杂度。[/size][/td][/tr][tr][td][size=3] 原因: 传统的VPN配置方法是“基于策略的VPN”(policy based vpn),两省内的关键业务之间通讯是否走 VPN,已经被策略写死,如上面的图例,“基于策略的 VPN”的配置写法是:[/size][/td][/tr][tr][td][size=3] [color=#e94c00]VPN策略:省A关键业务 [img]http://junipers.cn/upload_files/70/e9oxQ__chanpinkuaidiimages2.gif[/img] 省 B 关键业务 启用 VPN隧道传输[/color][/size][/td][/tr][tr][td][size=3] 这样,两省的关键业务之间如果通讯就必须走VPN隧道,没有其它的选择。因此当internet链路出现问题时VPN就会中断,VPN中断后关键业务也就中断了。如果要恢复关键业务的通讯,必须人工将防火墙上的这条 VPN策略删除,并且增加一条配置,使关键业务从WAN链路通行。 造成业务中断时间长,维护复杂。[/size][/td][/tr][tr][td][size=3] 以上的例子说的是从VPN向WAN的切换,同样,传统的VPN也无法实现从WAN向VPN的切换。[/size][/td][/tr][tr][td][size=3] [color=#e94c00]Juniper防火墙的解决方案:[/color][/size][/td][/tr][tr][td][size=3] Juniper的防火墙采用的是“基于路由的 VPN”,两点之间通讯是否走VPN,不被策略写死,而是依据路由来决定。[/size][/td][/tr][tr][td][size=3] [color=#e94c00]“基于路由的VPN”的配置方法是:[/color][/size][/td][/tr][tr][td][size=3] 路由一: [img]http://junipers.cn/upload_files/70/e9oxQ__chanpinkuaidiimages2.gif[/img] 省 B 关键业务,转发到 Internet路由器,并走VPN隧道,优先级高[/size][/td][/tr][tr][td][size=3] 路由二: [img]http://junipers.cn/upload_files/70/e9oxQ__chanpinkuaidiimages2.gif[/img] 省 B 关键业务,转发到Wan路由器,优先级低[/size][/td][/tr][tr][td][size=3] 配置两条一样的静态路由,metric(优先级)不一样,走VPN的路由优先。 这样,在正常情况下,会从Internet的VPN隧道内通讯,当Internet链路发生故障时,Juniper防火墙依赖VPN monitor(VPN通路监控)功能,自动发现 VPN隧道中断,(或通过Track 远端IP功能发现故障)即而能自动将路由一“失效”,这样,低优先级的路由二就会“生效”,关键业务就会自动的从WAN链路通讯。 整个过程完全自动,能做到及时切换,无业务中断时间,不需要人为干预和维护。[/size][/td][/tr][tr][td][size=3] 同样,也可以实现从WAN向VPN的切换。[/size][/td][/tr][/table]
