当您有两条Internet线路时,您可能希望您的VPN网络能够使用到您的全部两条线路的带宽,传统的VPN连接方式无法在两个子网间建立多条IPSec连接。而是用Vigor路由器提供的VPNTrunk功能做VPN负载平衡,则可以轻松实现VPN双线路拨号,同时使用两条线路的带宽,也可以起到双保险的作用(当一条线路有问题时,VPN仍然保持畅通)
本文将为您介绍如何使用DrayOS(Vigor2912/Vigor2922/Vigor2925/Vigor2952等)路由器建立到Linux内核路由器(Vigor2960/Vigor3900)的VPN负载平衡连接。
以上所述型号均代指相应的全系列型号。例如Vigor 2912代指Vigor 2912和Vigor2912n,Vigor 2925代指Vigor2925n/Vigor2925n-plus/Vigor2925ac等。
本例中使用Vigor 2925作为客户端,Vigor 2960作为服务器端。
图中GRE IP是可以随意填写的,只要在双方路由器IPSec设定档设置吻合即可,用于让双方路由器区分连过来的GRE数据包,不具备实际意义。
A. 拨出端的设定
1. 第一条从WAN1连出的VPN的配置如图所示。
基本设定和普通的VPN并无区别。
这里使用了Aggressive模式,注意到点击高级按钮进行配置
对于VPN负载平衡,需要配置GRE over IPSec,参考下图。注意GRE 本地IP和远端IP按照之前规划好的IP地址填写,而且拨出端的设定和服务器端设定的“本地”和“远端”刚好要相反。例如,在拨出端,本地IP是10.1.1.2,远端是10.1.1.1,那么在服务器端,本地IP则是10.1.1.1,远端是10.1.1.2。
TCP/IP中网段就按照规划的本地网段和远端网段设定。
2. 新增第二条VPN设定档,从WAN2拨出,设置和设定档1类似,特别要注意的是,拨出要选WAN2,服务器IP要写服务器的WAN2 IP。GRE设定也要按照拓扑图VPN2的GRE IP规划来填写。
高级设定注意设置积极模式和本地ID,本地ID不能和前一条VPN相同。
GRE同样要启用,填写方式参考拓扑图,注意GRE IP不能和第一条VPN一样
设定完成后,路由器会有一个错误提醒,提醒你有两条VPN的网段相同,因为我们是准备做负载平衡,所以这样是正常的,忽略错误提醒即可。
3. 点击VPN TRUNK管理菜单,然后点击添加新增一个负载平衡集,负载平衡集将刚刚设置好的两条VPN都选入集合中。
至此拨出端的设定全部完成。
B. 拨入端的设定
1. 设定第一条拨入VPN(针对拨出端的第一条从WAN1拨过来的VPN),由于本例中使用了Aggressive 模式,VPN注意remote ID设定要和拨出端设置的local ID相等即可。
接下来设置GRE,注意和拨入端的“本地”,“远端”设定刚好相反
2. 设置第二条拨入端IPSec VPN和GRE设定
接着配置GRE,注意事项和前文所述相同不再赘述
3. 设置VPN Trunk负载平衡集和规则,将本地网和远程网段的数据打通。
设置规则引用负载平衡集
至此拨入端的设定全部完成.
由于拨出端都配置了自动拨出,所以只需稍等片刻,两条VPN即可连上。
两条VPN同时起来,对于Vigor 2925,Vigor 2960后的用户来说,完全无需任何配置,就可以向正常使用网络一样使用VPN。
