我有一个基于路由的 VPN,从我的站点 (Netscreen204) 到客户站点 (Fortinet)。他们想要第二个备用隧道以防发生故障,并且也将在那里使用 Fortune。
我唯一不太明白的是如何最好地设置 vpn 监视器。我可以设置一个可以 ping 其域中某个目标的环回接口吗?该环回是否必须来自我在本地代理 ID 中指定的 IP 范围?
答案1
我回答了这个问题。vpn 监视器必须使用位于两个代理 ID 地址范围内的 IP 地址进行设置。因此,是的,环回必须来自代理 ID 中指定的 IP 范围。
这个想法是不要 ping 隧道接口。您感兴趣的是网络或“加密域”之间的可达性。
确保同时选中“优化”和“重新密钥”。对于故障转移隧道,只需确保度量和首选项大于默认值,或至少大于主路由。
优化的意思是,如果线路上有流量,那么就不会ping通。
当一方是 ScreenOS,另一方是不同制造商时,可以这样做。