我们有两个 ISP,每个 ISP 都为我们分配了一组公网 IP 地址。
我们将第一个 ISP 称为“VZON”,将第二个 ISP 称为“CCAST”。
电话(VoIP)流量从 VZON 网关传出;所有其他数据流量从 CCAST 网关传出。
有一个站点到站点 VPN 通过 CCAST 网关连接远程站点。我们希望该 VPN“或多或少具有高可用性”。
由于这是一个模糊的术语,我将定义它的含义。如果 CCAST 网关连接失败(可能是 CCASTS 的路由器发生故障,或者有人不小心拔掉了电源插头),我们希望“备用”VPN 能够使用 VZON 网关自动上线;一旦 CCAST 网关的故障得到修复,我们希望 VPN 能够自动恢复使用 CCAST 网关。
这种情况是否需要在远程站点安装两个硬件防火墙? 或者,单个防火墙(比如某些 CISCO SRX 型号)是否可以配置两个 VPN,在另一端使用不同的网关,并将其中一个视为“备用”,只有当它检测到远程对等体“死亡”时(通过使用死亡对等体检测或其他方法)才使其上线。
PS:如果无法使用具有主 VPN 和“备用” VPN 的单个防火墙,那么是否可以同时使用两个 VPN,但其中一个获取 90% 的流量,另一个获取 10%,同样在远程站点仅使用单个防火墙,不需要其他设备,但是当“主”VPN 上的连接失败时,“辅助”VPN 的负载会自动转移到 100%。
答案1
简而言之:不,您不需要在远程站点上安装两个防火墙,而只需要一个能够进行双 WAN 管理并具有双 VPN 对等功能的防火墙。基本上任何现代防火墙都支持这些功能。
显然,这意味着防火墙故障将导致 VPN 隧道中断,无论您有多少个互联网连接。为了保证不会出现这种情况,您必须使用两个防火墙来创建单个高可用性集群,而该功能通常在面向业务的设备上可用。