Netscreen VPN通路与广域网通路的自动切换功能

希望关键业务走稳定可靠的WAN通路，当WAN出现故障后，通路能立即自动（不需要人为操作）切换到VPN上，业务能继续通过VPN网络通讯。如图所示：


通过防火墙设备，可以让某些应用在正常状况下走WAN链路，如果 WAN 链路发生故障不可到达远端目的地时，防火墙能够自动检测到WAN通路故障，并将这些应用自动切换到VPN链路上通行。
通过防火墙设备，可以让某些应用在正常状况下走VPN链路，如果 VPN 链路发生故障不可到达远端目的地时，防火墙能够自动检测到VPN通路故障，并将这些应用自动切换到WAN链路上通行。

      传统的VPN配置方法无法实现通路的自动切换，需要人手工的修改防火墙配置和VPN策略，因此做不到及时、自动的切换，增加了维护复杂度。
      原因： 传统的VPN配置方法是“基于策略的VPN”(policy based vpn)，两省内的关键业务之间通讯是否走 VPN，已经被策略写死，如上面的图例，“基于策略的 VPN”的配置写法是：
      VPN策略：省A关键业务  省 B 关键业务 启用 VPN隧道传输
      这样，两省的关键业务之间如果通讯就必须走VPN隧道，没有其它的选择。因此当internet链路出现问题时VPN就会中断，VPN中断后关键业务也就中断了。如果要恢复关键业务的通讯，必须人工将防火墙上的这条 VPN策略删除，并且增加一条配置，使关键业务从WAN链路通行。 造成业务中断时间长，维护复杂。
      以上的例子说的是从VPN向WAN的切换，同样，传统的VPN也无法实现从WAN向VPN的切换。
      Juniper防火墙的解决方案：
      Juniper的防火墙采用的是“基于路由的 VPN”，两点之间通讯是否走VPN，不被策略写死，而是依据路由来决定。
      “基于路由的VPN”的配置方法是：
      路由一：  省 B 关键业务，转发到 Internet路由器，并走VPN隧道，优先级高
      路由二：  省 B 关键业务，转发到Wan路由器，优先级低
      配置两条一样的静态路由，metric(优先级)不一样，走VPN的路由优先。 这样，在正常情况下，会从Internet的VPN隧道内通讯，当Internet链路发生故障时，Juniper防火墙依赖VPN monitor(VPN通路监控)功能，自动发现 VPN隧道中断，（或通过Track 远端IP功能发现故障）即而能自动将路由一“失效”，这样，低优先级的路由二就会“生效”，关键业务就会自动的从WAN链路通讯。 整个过程完全自动，能做到及时切换，无业务中断时间，不需要人为干预和维护。
      同样，也可以实现从WAN向VPN的切换。