Chào bạn,

Vấn đề này làm được.

Phía bên 2 router (FTTH và Leased-line) cấu hình bình thường như đối với 1 router.

phia2router(config-crypto-map)#reverse-route
Note: thêm từ khóa reverse-route static, cho phép route tương ứng với mạng dích của ACL luôn được chèn vào bảng định tuyến của router => sau đó ta dùng redistribute static giúp cho khả năng hội tụ nhanh hơn mà không bị ảnh hưởng bởi quá trình thiết lập của IPsec VPN.

Phía router đầu kia cấu hình 2 crypto isakmp, 2 peer

phia1router(config-crypto-map)#set peer 1.1.1.1 default
phia1router(config-crypto-map)#set peer 1.1.1.2
phia1router(config)#crypto isakmp key 0 vnpro address 1.1.1.1
phia1router(config)#crypto isakmp key 0 vnpro address 1.1.1.2

Thanks bạn đã support!!

Xin lỗi đã ko nói rõ cho anh,em. Mình chỉ config VPN-IPSec trên 3 đầu FW 2 ở Cty và 1 đầu ở Remote Site (chứa App và File Srv). Nếu vậy có giải pháp ko bạn?

Cách của bạn là mình config IPSec trên 3 Router đúng ko? (2 ở cty và 1 ở Remote Site)

THanks bạn nhiều!!!!!

Chào bạn,

Đúng rồi cách mình chỉ là 2cty, 1 site remote. (router)

FW xài của hãng nào vậy bạn.
Nói rõ từng dòng, IOS, show version nếu là firewall ASA cho mình và mọi người biết support.

FW bên mình là Netscreen SSG-5-SH. Đầu ở Cty đc config IPSec cho cả 2 đường (1 Ative.1 Standby). Remote Site cũng đc config IPSec. Vấn đề mình muôn là giải pháp làm sao khi 1 đường down đg kia sẽ tự động active lên để truy cập vào server ở Remote Site.

Các anh,em giúp mình tìm ra giải pháp cũng được không cần cách làm chi tiết cũng được.

Xin cám ơn các anh,em!!

Giải pháp VPN

Chào bạn,

Nếu là giải pháp thì như bài mình vừa nói phía trên.

Giả sử A(active) và S (standby) và R(remote-site)
A thiết lập VPN IPSEC với R
B thiết lập VPN IPSEC với R
R thiết lập VPN IPSEC với A (R set đường VPN này là đường default)
R thiết lập VPN IPSEC với B (khi đường default chết thì R sẽ thiết lập với B)

Thiết bị Cisco cấu hình xong thì tự động làm hết, còn con SSG-5-SH bạn xem nó có tự động không ,nếu không thì vân đề nằm ở chỗ R. Lúc này bạn phải dùng cái gì đó để theo dõi xem khi nào IPSEC bên A chết thì mới chuyển qua B được.


Vấn đề cuối cùng là mạng bên trong của công ty chứa A và B. Xử lí default route đến 2 FW này.

Đối với Cisco thì có thể sử dụng rever-seroute + redistribute (con FW nào up được VPN thì con đó cấp mạng bên kia cho client phía trong)

Vậy có lẽ mình phải active theo manual cho đến khi tìm đc tính năng đấy trên con Netscreen rồi. Mình đã copy lại bài này sau này hệ thống nâng cấp lên sử dụng router mình sẽ có cái để tham khảo.

Cảm ơn bạn đã nhiệt tình support. VNPRO đúng là PRO!!!

Chào halq,

Theo mình thì có nhiều giải pháp để làm cái này, mình chỉ chia sẽ quan điểm của mình thôi nha.
- Bạn có thể dùng thiết bị cân bằng tải để thực hiện việc này, ngoài chức năng đảm bảo tính sẳn sàng (active-active, active-standby cho link), trang bị 1 con đầu HQ cho 02 link, và 1 con cho site BO (nếu muốn cấu hình VPN IPSec luôn tại 02 đầu thiết bị này) -> đảm bảo thêm 1 lớp VPN Tunnel.
- Bạn có thể dùng tính năng VPN fail-over trên con FW, theo mình biết thì hiện nay các hãng FW đều có hỗ trợ tính năng này.
- Nếu SW kết nối đến 02 con FW là L3 và có hỗ trợ tính năng policy-based routing thì có thể làm được, sau khi cấu hình VPN trên các FW, tiếp theo cấu hình trên SW để traffic đi theo đúng đường như bạn ming muốn, và khi link down thì nó sẽ forward qua link còn lại.

Hy vọng có thể đáp ứng được yêu cầu của bạn. Đừng ngừng ngại đóng góp ý kiến cho mình về giải pháp này.
Xin chào.
Thuận