江苏 张韬

为了达到更好的VPN 网络高可用性效果，可以通过HSRP 或 VRRP等冗余技术，将在出口布署的多台VPN 路由器虚拟成一台路由器，然后以角色为Active 的路由器使用虚拟路由器的IP 地址为本端IP 地址负责与对端VPN 对等体建立IPSec 连接。

当Active 路由器不可用之后，通过选举再次成为Active 的备用路由器仍然使用此虚拟IP 地址与对端建立VPN 连接，从而可以实现不间断服务效果。

而且对于远端VPN peer而言，对端建立VPN 连接的并不是使用物理口IP 地址，而是虚拟IP 地址，它其实并没有变化，所以并不需要增加和更改配置，这就真正意义上实现了IPSec VPN High Availability（IPSec VPN HA）效果。

IPSec VPN HA 工作过程

当Active 路由器不可用之后，选举成为Active 的备用路由器会接替原Active主路由器的IPSec VPN 继续工作，但是新Active 路由器需要和VPN 对端重新建立IPSec 会话，而不是继续使用原来的IPSec 会话，原有IPSec 信息需要尽快删除，所以在布署IPSec VPN HA 场景时，也同时需要配置IPSec DPD 技术。因为再次成为Active 的备用路由器原本就没 有IPSec会话，所以需要重新建立。

在 VPN路由器之间配置HSRP 或VRRP 组时，外网接口上必须配置，而且还需要Track 相应内网接口，当内网接口不可用时，则必须让出Active角色。

IPSec VPN HA 配置与实现

图1 IPSec VPN HA 拓扑图

这里以GNS3 模拟器来实现相关IPSec VPN HA 效果验证，4 台路由器连接拓扑及IP 地址信息如图1 所示。在R1、R2、R3 之间配置IPSec Site-to-Site VPN 隧道来测试效果，其中R2 和R3通过HSRP 协议虚拟成一台VPN 路由器，虚拟IP 地址为200.1.1.10，然 后R2 和R3中选举为Active 角色的路由器以该虚拟IP 地址和对端路由器R1 建立VPN 连接，当Active 路由器不可用时，则备用路由器接替Active路由器的角色，这里假设经过R2 路由器为主链路，经过R3 为备用链路。R1 路由器上使用环回口和R4 的Fa0/0物理口建立VPN 隧道进行测试，此处各路由器基本信息和相关路由配置省略。

1.配置IPSec site-tosite VPN

R1 上VPN 主要配置

此时路由器R1 的VPN peer 指向R2 和R3 通过虚拟出的HSRP 组IP 地址200.1.1.10。R2 和R3 路由器上同时配置与R1 之间相对应的IPSec VPN 信息，此处省略配置。

2.配置HSRP 组

R2 上主要相关配置

保证R4 路由器在访问R1 的环回口做VPN 隧道测试时，正常情况下流量选择经过R2 的线路为主链路，经过R3 的线路为备用链路。

R2 在外网接口上和R3配置HSRP 组10，同时跟踪连接R4 的内部接口F0/1，在F0/1 接口不可用时，将HSRP Active 的角色让给R3，当Fa0/1 接口恢复后，又必须抢回Active 角色。

和R3 在内网接口上也建立一个HSRP 组20，并保证R2 和R3 在两个HSRP 组中的角色相一致。

R3 上主要相关配置

注意：在接口上需要定义HSRP name 时，当该接口name或IP 地址发生改变，所使用的crypto map 也需要重新应用。

3.查看R2 路由器当前HSRP 状态

如图2 所示，R2 的优先级为110，所以为Active 角色。

图2 查看R2 状态的程序

4.VPN 连通性验证

在R4 上ping 路由器R1的环回口地址1.1.1.1，可以看到R1 已经与对面相应建立的HSRP 组虚拟IP 地址之间建立了IKE SA，IKE SA 的lifetime 还剩23 小时58 分20 秒，Conn-id=1:1，如图3 所示。

同样，作为主链路，在R2上也可以看到与R1 之间建立了IKE SA，如图4 所示，IPSec SA 也显示了正确的网段信息与状态，而R3 因为不是Active 角色，所以不需要建立VPN 连接，因此也就看不到任何SA 信息。

图3 查看R1 的状态

图4 查看R2 状态

在R4 上跟踪流量情况，也可以发现去往VPN 对端是经过R2 转发出去的，如下所示：R4#traceroute 1.1.1.1

5.测试IPSec VPN HA

当断开R2 与R4 相连的内网Fa0/1 接口后，R2 的HSRP 角色从Active 变成了Standby，而R3 的HSRP角色则从Standby 变成了Active，如图5 所示。

图5 查看R3 的状态

在R4 上使用ping 命令连续测试，也可以发现R4 和R1 之间的VPN 隧道在中断一会后，又会恢复正常通信，此时R1 与R3 之间已经建立了IKE SA，R1 与R2 之间的IKE SA 则会被删除，如图6 所示。

通过以上IKE 建立的时间也可以看出，当前R2 与R1建立IKE SA 的lifetime 还剩23 小时59 分27 秒，因为IKE SA 新建立的lifetime默认为24 小时，也就说明此连接是完全新建立的。

再次在R1 上查看IKE SA，此时可以看到R1 上建立的IKE SA 的lifetime 虽 然还剩23 小时57 分，但现在显示的Conn-id=SW:2，而之前的为Conn-id=SW:1，所以证明R1 上的IKE SA 也是新建立的，如图7 所示。

图6 使用Ping 命令连续测试

图7 查看R1 状态

再次查看R4 到VPN 对端的流量路径，可以看到R4 去往R1 的VPN 流量先发送到R3，然后再由R3 转发出去，如下所示：

当把R2 的Fa0/1 口no shutdown 后，由于开启了抢占模式，所以R2 又会重新恢复成HSRP 组中的Active 角色，R4 和R1 间的VPN 流量也会重新经过R2 转发到达R1，在R1 和R2 上也可以看到重新建立起的IKE SA 信息，如图8 所示。

如果在R2 路由器上关闭外网的Fa0/0 口后，HSRP 组也会进行重新选举，R4 和R1之间的流量也同样会出现和上面一样VPN 隧道重新建立的情形，这样就达到了IPSec VPN HA 的预期效果。