High-Availability
故障轉移站點到站點 VPN 是否需要遠端站點的兩個防火牆
我們有兩個 ISP,每個 ISP 都為我們分配了一組公共 IP 地址。
我們將第一個 ISP 稱為“VZON”,將第二個 ISP 稱為“CCAST”。
電話 (VoIP) 流量從 VZON 網關流出;所有其他數據流量都從 CCAST 網關傳出。
有一個站點到站點 VPN 通過 CCAST 網關連接遠端站點。我們希望該 VPN “或多或少具有高可用性”。
由於這是一個模糊的術語,我將定義它的含義。如果 CCAST 網關連接失敗(可能是 CCASTS 的路由器出現故障,或者有人不小心拔掉了電源插頭),我們希望“備用”VPN 使用 VZON 網關自動上線;一旦 CCAST 網關的故障得到修復,我們希望 VPN 自動恢復使用 CCAST 網關。
這種情況是否需要遠端站點上的兩個硬體防火牆? 或者單個防火牆(假設是某些 CISCO SRX 模型)可以配置兩個 VPN,在另一端使用不同的網關,並將其中一個視為“備用”,僅在檢測到遠端對等方“死亡”時才使其聯機"(通過使用死對等檢測或其他方法)。
PS 如果無法使用具有主 VPN 和“備用”VPN 的單個防火牆,是否可以有兩個並發 VPN,但其中一個獲得 90% 的流量,另一個獲得 10% 的流量,再次只使用一個防火牆在遠端站點,並且沒有其他設備,但是當“主”VPN 上的連接失敗時,“輔助”VPN 的負載會自動轉移到 100%。
簡而言之:不,您不需要遠端站點上的兩個防火牆,而是一個能夠進行雙 WAN 管理和雙 VPN 對等功能的防火牆。基本上任何現代防火牆都支持這些功能。
顯然,這意味著無論您有多少網際網路連接,防火牆故障都會關閉 VPN 隧道。為了防止這種可能性,您必須使用兩個防火牆來創建一個高可用性集群,該功能通常在面向業務的設備上可用。