设置FortiGate 冗余IPSEC VPN（接口模式）
2012-12-24 15:03:31   来源：   评论：0 点击：

说明：
本文档针对所有FortiGate设备冗余IPSEC VPN（接口模式）配置进行说明。冗余IPSEC VPN的前提是防火墙可以双网关出网。当使用冗余IPSEC时，防火墙的两个外网接口分别建立两个VPN通道，正常情况下只使用一个通道传输数据（通常为 主接口），当主接口down掉时防火墙会将VPN数据自动切换到另一个接口，从而实现冗余功能。当主接口恢复时，防火墙会将VPN数据切回到主接口，保障 高带宽。
准备：
在阅读本文档前建议先阅读一下文档。由于本文所讲的部分配置在下面的文档中已有详细描述，因此这里不会重复讲解。
IPSec VPN 配置实例：https://support.fortinet.com.cn/document/doc09050814.html
设置双网关：https://support.fortinet.com.cn/document/doc09090401.html
环境介绍：

本文使用FortiGate500A 做演示。本文支持的系统版本为FortiOS v3.0MR6及更高。110C端的配置与500A对称，这里不再复述。
步骤一：配置VPN
首先在虚拟专网----IPSEC中建立两个VPN通道，本地接口分别是500A的两个外网接口。在阶段一高级中启动IPSEC接口模式并勾选对等体状态探测。
步骤二：察看接口
在系统----网络中察看创建好的IPSEC子接口
注意port1和port2已配置好ping服务器，以监测链路状态


步骤三：设置路由
在路由----静态中写好两条去往对端私网并走VPN的路由。注意out1和out2的路径长度。

在路由----当前路由中可以看到正常情况去往10.0.2.0/24走out1接口


步骤四：配置策略
本例的内网接口为port3。
在防火墙----策略中写好四条策略即，port3到out1；out1到por3
port3到out2；out2到por3
步骤五：察看正常通道状态
在虚拟专网----IPSEC----监视器中，点击红色启动按钮，建立VPN连接
可以看到当前VPN连接已建立好
在500A内网的一台PC上连续ping10.0.2.0/24网段的一台PC，并将鼠标放到下图的远程网关上，可以看到现在活动的VPN连接是out1


步骤六：察看当主链路down掉时的路由
当500A的主链路down掉时，在当前路由中可以看到去往10.0.2.0/24的接口为out2路径长度为20

步骤七：察看备用通道状态
在IPSEC----监视器中可以看到当前活动的连接为out2

步骤八：恢复
当主链路恢复后防火墙会自动将VPN数据切换到out1通道。