区域之间PA、FortiGate内网互联专线、IPSec互备方案

网络拓扑：

　　

现状描述：

  办公区和IDC之间有防火墙互联的点对点专线实现内网互通，现需要两地防火墙构建IPSec VPN作为专线的热备链路。

解决方案：

飞塔侧

  1.按照阶段一、阶段二建立IPSec VPN。

  2.新建指向IPSec的路由，目的网段同专线，但路径长度高于专线。    #目的网段相同时，飞塔防火墙会优先匹配路径长度短的路由

  3.专线端口建立link monitor

　　config system link-monitor

　　 edit sdh_alx

　　 set server 10.160.10.1

　　 set failtime 3

  4.创建与专线相同的策略。

PA侧

  1.按照阶段一、阶段二建立IPSec VPN。

  2.针对专线创建PBF（Policy Based Forwarding）

  

 

 

  

 

  

 

  monitor的配置在Network----Network Profiles

  即monitor出发后路由即失效

  3）创建IPSec的静态路由，专线PBF失效后将启用此路由

  4）创建专线和IPSec的策略。