全套合勤防火墙USG-1000全中文配置文档

VPN高可用性

VPN HA可以确保VPN的高可用性。为了达到此目的，需要添加一个冗余的远程网关。这就意味着当主远程网关不可达的时候，该设备就会尝试连接到冗余网关。

我们将会在下面的范例中实现从ZyWALL 2到ZyWALL 1000的VPN高可用性。

步骤一、设置ZyWALL 1000的VPN

依次切换到菜单ZyWALL 1000 > Configuration > Network > IPSec VPN > VPN Gateway，然后点击“+”图标添加一个VPN网关。

步骤二、设置VPN Gateway。ZyWALL 2 Plus的VPN参数设置需要和下面的设置相符。作为My Address，我们需要使用Domain Name为0.0.0.0的设置来定义一个动态源作为该VPN网关，可以接收来自接口ge2（WAN1）和ge3（WAN2）的数据。

全套合勤防火墙USG-1000全中文配置文档

将Local和Peer的ID type分别设置DNS为“ZyWALL 1000”和“ZyWALL 2”的项。

全套合勤防火墙USG-1000全中文配置文档

步骤三、我们需要首先在object中的address里添加本地和远端的地址策略。随后我们就可以在VPN connection设置中使用这些地址目标。我们需要使用LAN子网和DMZ子网作为一个VPN的本地策略，并且需要为一个远程子网添加一个地址目标。

依次切换到菜单ZyWALL 1000 > Configuration > Objects > Address > Address，我们就会发现LAN子网已经存在了，我们需要点击“+”图标来多添加两个地址目标。

设置一个包括LAN和DMZ子网的从192.168.10.0到192.168.20.255的地址范围作为名称为“RANGE”的地址目标。

设置192.168.1.0的子网作为远程地址目标“VPN_REMOTE_SUBNET”。

全套合勤防火墙USG-1000全中文配置文档

回到地址目标的查看界面，您可以见到两个地址目标Range和VPN_REMOTE_SUBNET已经设置好了。

步骤四、设置VPN connection

设置从RANGE（LAN和DMZ）到VPN_REMOTE_SUBNET的VPN连接。

全套合勤防火墙USG-1000全中文配置文档

步骤五、设置策略路由

我们需要配置一条策略路由以便让VPN数据可以路由到LAN和DMZ中。请依次切换到菜单ZyWALL 1000 > Configuration > Policy > Route > Policy Route。

全套合勤防火墙USG-1000全中文配置文档

步骤六、先登录到ZyWALL 2 Plus的界面中，然后切换到VPN配置界面。在My Address中填入WAN口IP地址，将远端ZyWALL 1000的WAN1口作为主接口，WAN2口作为备份接口。勾选Fail back to Primary Remote Gateway when possible项，随后设置检查间隔。

分别将Local和Peer的ID type设置DNS为“ZyWALL 2”和“ZyWALL 1000”。

点击添加按钮来编辑VPN网络策略。设置VPN网络策略分别为本地LAN子网是192.168.1.0/24，远程网络为从192.168.10.0到192.168.20.255的地址范围。点击Apply保存设置。

全套合勤防火墙USG-1000全中文配置文档

这样我们配置完VPN隧道以后就会看到一条新的VPN隧道出现在了VPN状态界面中了。

您可以通过ping远程子网来触发该VPN隧道的建立。

全套合勤防火墙USG-1000全中文配置文档

这样用户就可以拔掉WAN1口的线缆来测试VPN高可用性的功效了。几秒钟以后，VPN隧道就可以通过WAN2口继续连接了。