H3C-ER3200如何设置实现双WAN口主备IPSec VPN？

您好，根据您的需求，我简单查了一下，ER3200对VPN的支持较弱，只能单方面支持IPsec，而ER3200 G2系列则在VPN方面支持的更完整。

为此给出两个建议您做参考：

ER G2系列

1、采用ipsec over gre隧道嵌套方式部署，首先部署两个ACL匹配ipsec感兴趣数据流匹配总部与分支VPN网关上的某个Loopback口IP，分别通过两个不同的分支WAN口与总部形成ipsec隧道后，再部署gre，其Tunnel接口的源目IP就是ipsec感兴趣数据流匹配的Loopback口。最后设置静态路由或路由协议，通过选路的方式优先从某一个WAN口承载的GRE隧道跑数据，该WAN口故障后再自动实现路由备份，静态场景可以结合BFD或NQA技术防止广域网间接故障，导致浮动静态路由不感知，数据无法回切

该方式WAN口故障后，业务切换不会造成丢包

ER 系列

2、直接采用ipsec vpn通过不同的WAN口向对方总部发起IPSEC vpn建立，感兴趣数据流匹配的就是总部与分支需互访的数据流，只不过分支需要通过路由控制（比如静态路由），优先将访问总部私网数据流的数据牵引到哪个WAN口，进行IPSEC vpn触发，当当前WAN口故障后，再切换到另一个WAN继续触发新的IPSEC vpn隧道，承载业务。

该方式WAN口故障后，业务切换会造成些许丢包  

望采纳，谢谢！！！