我们有两个ISP,每个ISP都给我们分配了一个公共IP地址。
我们称第一ISP“VZON”和第二ISP“CCAST”。
电话(VoIP)stream量走出VZON网关; 所有其他数据stream量都会从CCAST网关中stream出。
有通过CCAST网关连接远程站点的站点到站点VPN。 我们希望VPN能够“或多或less地高度可用”。
既然这是一个模糊的术语,我会定义它的意思。 如果CCAST网关连接失败(可能是CCASTS的路由器出现故障,或者有人不小心拔出电源插头),我们希望使用VZON网关自动联机“备用”VPN; 一旦CCAST网关上的故障得到修复,我们希望VPN自动恢复使用CCAST网关。
这种情况是否需要在远程站点使用两个硬件防火墙? 或者可以使用单个防火墙(假设某些CISCO SRX模型)configuration两个VPN,在另一端使用不同的网关,并将其中一个作为“待机”,只有当它检测到远程对端“死亡” “(通过使用死对等检测或其他方法)。
PS如果只有一个具有主用和“备用”VPN的防火墙是不可能的,是否可以有两个并发的VPN,但其中一个可以获得90%的通信量,另外10%可以通过单一的防火墙并且没有附加设备,但是当“主”VPN连接失败时,“辅助”VPN的负载自动转换为100%。
简而言之:不,您不需要在远程站点上安装两个防火墙,而只需一个双WAN口pipe理的防火墙,并且具有双VPN对等function。 基本上任何现代防火墙都支持这些function。
显然,这意味着无论您有多less个互联网连接,防火墙故障都会导致VPN隧道closures。 为了防止出现这种情况,您必须使用两个防火墙来创build单个高可用性群集,这是一个在面向业务的设备上通常可用的function。