我们的组织使用 Sonicwall 设备作为所有地点的网关/防火墙,每个地点之间都有 VPN 隧道。每个站点还拥有一条主互联网线路和一条备用互联网线路(WAN1 和 WAN2),备用线路通常比主线路慢。
配置 VPN 隧道时,您可以指定主“IPSec 网关名称/地址”和辅“IPSec 网关名称/地址”。通常,我们将主 VPN 网关设置为其他位置的公共 WAN1 IP。但是,在这种情况下会发生什么……?
Site 1 WAN1: 192.168.100.1, WAN2: 172.16.100.1
Site 2 WAN1: 192.168.200.1, WAN2: 172.16.200.1
Site 1 primary VPN pointing to 192.168.200.1, secondary pointing to 172.16.200.1
Site 2 primary VPN pointing to 172.16.100.1, secondary pointing to 192.168.100.1
(请注意,第二个站点的连接已反转)
什么决定了如何建立连接?这取决于哪个设备首先收到“VPN 握手”数据包,还是会建立两个并行隧道,使用哪个隧道取决于流量来自哪一侧?理想情况下,两个主链路都应该相互连接,所以我很好奇它是如何工作的,以确保不会出现问题。
答案1
我还没有从 Sonicwall 文档中找到关于这种特殊情况的任何明确信息,但我认为你可能已经采取了以下措施基于路由的 VPN。
此外,在配置多个隧道接口后,您可以添加多个重叠的静态路由;每个静态路由使用不同的隧道接口来路由流量。这为流量到达目的地提供了路由冗余。
我认为隧道以这种方式配置可能更多的是作为一种练习,而不是出于任何特定的推理。可能不是有一个更快和更慢的隧道,而是两个更平衡的隧道?
所以最终,主要或次要取决于路线,而不是隧道。在第 15-18 页,您可以找到与您的情况类似的情况。