【简介】IPsec VPN虽然价廉物美，但是由运营商原因，偶尔出现不稳定情况，例如访问慢甚至断开等，好在现在大多数企业都有二条甚至更多条宽带，我们可以创建多条IPsec VPN，来保证不间断访问。

---

  实验要求与环境

　　OldMei集团深圳总部防火墙有两条宽带，一条普通宽带用来上网，另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP，只有这个IP才能访问。

　　OldMei集团上海分公司为ADSL拨号宽带，IP经常会变，又需要访问指定网站，另外由于上海分公司规模比较小，没有专业管理人员，深圳总部要求上海分公司所有上网流量必须经过深圳总部防火墙，由深圳总部管理员进行安全管理和上网分配。另外要求上海分公司增加一条宽带，保证不间断的访问深圳服务器。

　　解决方案：上海分公司和深圳总部都部署FortiGate防火墙，两地防火墙通过宽带创建VPN连接，由于VPN是加密隧道，可以保证数据通过互联网传输时的安全。上海分公司为ADSL拨号宽带，IP经常会变，因此只能由上海分公司防火墙拨号至深圳总部防火墙，单向发起连接。另外，所有流量都通过隧道到达深圳总部防火墙，通过深圳总部防火墙wan2接口上网。上海分公司在现有单条宽带的情况下再增加一条宽带，这样可以创建两条IPsec VPN，进行VPN冗余。

　　实验目标：笔记本电脑网卡连接上海分公司internal接口，可以通过VPN隧道访问深圳服务器，以及走深圳总部防火墙wan2接口上网，在一条宽带断网的情况下，另一条宽带能实现同样的功能。

  增加一条宽带

　　由于上海分公司只配置了一条宽带，现在我们需要再增加一条。

　　① 上海防火墙wan2接口接入一条网线，另头接入模拟互联网的FortiWiFi 60D 3号接口。

　　② 编辑wan2接口。

　　③ 寻址模式选择【手动】，输入宽带IP和子网掩码，这里IP设置和wan1接口IP相似，启用https和ping协议，点击【确认】。

　　④ 然后是配置宽带的网关，选择菜单【网络】-【静态路由】，点击新建。

　　⑤ 和第一条宽带默认网关设置不同的地方是，这里要将优先级设置为大于1的数字。这是因为如果两条默认静态路由的管理距离和优先级完全相同，就会产生冲突，结果是部分可以上网，部分不能上网。

 　　⑥ 接口和路由都配置好后，就要创建上网策略了。选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　⑦ 创建internal接口走wan2接口上网策略，默认启用NAT。

　　⑧ 同样方法创建无线走wan2接口上网策略。接口、路由、策略就全部创建好了。

　　⑨ 现在切换到模拟互联网的FortiWiFi 60D。

　　⑩ 选择菜单【网络】-【接口】，选择internal3，点击【编辑】。

　　⑪ 输入第二条宽带的网关IP，启用https、ping协议。点击【确认】。

　　⑫ 选择菜单【策略&对象】-【IPv4策略】，点击【新建】。

　　⑬ 创建一条internal3接口允许访问wan1接口的策略，NAT不启用。这样第二条宽带也就能远程访问深圳防火墙wan1接口了。所有关于第二宽带的配置全部完成了。

  验证新增加的宽带

　　在继续实验前，我们还需要验证新增的宽带是否能远程访问深圳防火墙。

　　① 登录上海防火墙，由于我们前面创建的IPsec隧道原因，所有流量都走隧道了，因此我们需要先断开IPsec隧道。选择菜单【仪表板】-【网络】，选择隧道后点击【断开】-【Entire Tunnel】。

　　② 但是隧道在短暂的断开好又自动重新连接了，看过我前面文章的就知道，只要还有数据访问，防火墙会自动发起连接。

　　③ 这隧道一直断不开要怎么办呢？选择菜单【策略&对象】-【防火墙策略】，找到关于IPsec隧道的策略，点击右键，弹出菜单选择【设置状态】-【禁用】。

　　④ 同样步骤将所有IPsec隧道策略都禁用。

　　⑤ IPsec隧道总算是断开了。

　　⑥ 选择菜单【仪表板】-【网络】，点击【路由】，这次可以看到两条宽带的默认路由，为了区分，子项目栏增加了优先级。相同的情景也在深圳总部防火墙出现过。

　　⑦ 为了强制走wan2上网，需要用到策略路由。默认策略路由是不启用的。选择菜单【系统管理】-【可见功能】，启用【高级路由】，点击确认。

　　⑧ 刷新窗口，菜单有了变化，选择【网络】-【策略路由】，点击【新建】。

　　⑨ 由于只是测试第二条宽带是否能上网，因此只创建一条internal接口强制走wan2口的策略路由。

　　⑩ 笔记本电脑关闭所有无线，网卡接上海防火墙internal接口，自动获取IP。可以直接ping通深圳防火墙的wan1口IP，查看路由，网关是100.64.20.254，走的是第二条宽带。上网测试成功。

　　⑪ 为了不影响后面的实验。这里还是将新建的策略路由禁用了。

  创建第二条IPsec VPN

　　前期准备工作完成，就可以开始用第二条宽带创建IPsec VPN了。

　　① 登录上海分公司防火墙，选择菜单【VPN】-【IPsec隧道】，点击【新建】-【IPsec隧道】。

　　② 输入隧道名称，注意不要重复。模板类型默认【站到站】，NAT配置还是选择【这个站点在NAT后端】。点击【下一步】。

　　③ 远程IP地址填写深圳总部防火墙wan1接口IP，流出接口这次选择第二条宽带的wan2接口，输入预共享密钥，和深圳防火墙保持一致。点击【下一步】。

　　④ 和第一条宽带一样，本地接口选择internal和无线两个接口，本地子网也自动加上去了。Internet访问选择【使用远程】，远端子网自动变成0.0.0.0/0。自动出现本地网关。点击【下一步】。 

　　⑤ 向导会创建许多内容，点击【完成】。

　　⑥ VPN创建完成，点击【显示隧道列表】。

　　⑦ 由于没有访问需求，这次向导创建好隧道后，状态为【不活跃】。

　　⑧ 选择菜单【仪表板】-【网络】，点击【IPsec】，选择新建隧道，点击【启用】-【阶段2选择器：SH2-SZ】。新建隧道的阶段1已经是连通状态了。

　　⑨ 第二条隧道连通成功。

　　⑩ 笔记本电脑网卡可以通过新建隧道访问深圳防火墙后的域服务器，也可以通过深圳防火墙wan2接口上网了。

 验证效果

　　第二条宽带配置的VPN已经成功可用，那么再启用第一条宽带的VPN，会有什么反映呢？

　　① 重新恢复前面禁用的所有策略为启用。

　　② 再次选择菜单【仪表板】-【网格】，选择【IPsec】，你会看到第一个VPN启用，第二个VPN反而是断开状态。

　　③ 选择第二条VPN，阶段1是启动的，说明可以连接，点击【启用】-【阶段2选择器：SH2-SZ】。

　　④ 你会发现始终只有一条隧道在线，这是因为VPN模式的原因，对端是只接收，而且是动态生成返回路由。我们两条VPN拨号生成的返回路由都是完全一样的，所以始终只有一条VPN在线。并且如果第一条VPN有会话没断开的话，又会切回到第一条VPN。

　　⑤ 查看路由表，你会看到虽然有两条默认路由，但由于隧道只通了一个，所以只走一条隧道出去。

　　⑥ 那么当一条宽带断了，会出现什么情况，我们来验证一下，首先长ping一个地址，用来判断隧道的工作状态。

　　⑦ 然后我们禁用wan1接口，将这第宽带断开。

　　⑧ 在丢失16个数据包，又重新连通了。

　　⑨ 第二条隧道自动启用了。

　　⑩ 查看路由表，可以看到只有第二条隧道的默认路由了。隧道冗余成功，当然也有人会觉得第二条隧道启动前间隔时间太久，这个可以优化解决，就不在今天讨论的范围了。 

---