Secpath防火墙双机热备+双ISP+使用PKI证书的IPsec VPN配置案例

某VPN网络核心采用Secpath1000F、Eudemon200各两台，与各企业进行AR18-20进行连接。核心使用两台Secpath1000F作为出口采用双机热备、双运营商线路与各企业进行连接，两台Secpath1000F在与内网的两台Eudemon200进行双线路连接，以达到网络的稳定性、可靠性，避免出现多点故障的连通性。

分支采用GRE+IPSEC的方式连接到中心，并使用PKI证书方式进行IKE协商认证，达到网络的安全性。

拓扑图：

配置要点：

1、核心Secpath1000F与Eudemon200之间在运行OSPF协议的时候，如果不增加一条黑洞路由是无法进行第四条线路的切换的，会造成路由环路。

2、在与分支的主备IKE Peer中需要增加主备local-address，如果不加会导致线路不能切换。

3、在配置分支设备的PKI域是一定要注意指纹，如果错误会导致不能获得设备本地证书。

4、核心Secpath1000F、分支AR18-20、CA服务器的时钟保持同步，如果不能同步会导致设备本地证书无法获得。

5、分支的定时器（ike dpd 1）此命令主要用来探测隧道的健康状况。

具体内容在附件中.