2、配置FortiGate2

说明：如果要删除IPSEC VPN第一阶段、第二阶段时，需要先删除被调用的路由与防火墙安全策略。

四、配置步骤

1、配置FortiGate1 （BJ）

1) 基本上网配置

配置详细过程请参照 "路由模式典型功能--单线上网--静态地址线路上网配置"一节：

接口IP配置如下：

路由配置如下

2) 根据模板配置WAN1到FortiGate2_SH的IPsec VPN（默认即为IPSEC接口模式）

进入：虚拟专网--IPSEC隧道--"新建"

可以选择根据向导进行相应的IPsec VPN模板进行配置：

说明：如果最后完成模板部署的时候报错，那么需要注意，不要有旧的配置存在，比如相关VPN的策略、VPN的路由、VPN的IP地址对象，需要把这些内容删除干净才可以顺利的部署向导模板，一般第一次部署不会遇到报错。

3) 根据模板配置WAN2到FortiGate2_SH的IPsec VPN（默认即为IPSEC接口模式）

进入：虚拟专网--IPSEC隧道--"新建"

可以选择根据向导进行相应的IPsec VPN模板进行配置：

总部建立两条IPsec VPN，一条是WAN1到SH，另外一条是WAN2到SH，VPN的主备由FortiGate2_SH来控制和选择，总部选择被动连接（没有开启自动协商），此时还不涉及到VPN主备的配置。

特别注意DPD一定建议开启on-idle模式，否则可能出现一定特殊环境下面的假死现象。

说明：如果最后完成模板部署的时候报错，那么需要注意，不要有旧的配置存在，比如相关VPN的策略、VPN的路由、VPN的IP地址对象，需要把这些内容删除干净才可以顺利的部署向导模板，一般第一次部署不会遇到报错。

2、配置FortiGate2 (SH)

1) 基本上网配置

配置详细过程请参照 "路由模式典型功能--单线上网--静态地址线路上网配置"一节：
接口IP配置如下：

路由配置如下:

2) 根据模板配置FortiGate2_SH到总部WAN1的IPsec VPN（默认即为IPSEC接口模式）

进入：虚拟专网--IPSEC隧道--"新建"

可以选择根据向导进行相应的IPsec VPN模板进行配置：

 

 说明：如果最后完成模板部署的时候报错，那么需要注意，不要有旧的配置存在，比如相关VPN的策略、VPN的路由、VPN的IP地址对象，需要把这些内容删除干净才可以顺利的部署向导模板，一般第一次部署不会遇到报错。

针对模板配置的优化建议

 

优化建议一：在第一阶段中开启DPD周期性检测（每隔10s检测一次Peer状态），实现快速的检测并切换VPN隧道的目的。

相关命令行：
config vpn ipsec phase1-interface
    edit "VPN-TO-BJ"
        set dpd on-idle
    next
end

优化建议二：开启自动协商，主动让隧道UP起来，而非使用VPN业务的时候再去触发VPN的协商，这样可以减少业务的丢包，同时可快速的感知VPN隧道的状态。

config vpn ipsec phase2-interface
    edit "VPN-TO-BJ"
        set auto-negotiate enable
    next

end

3) 根据模板配置FortiGate2_SH到总部WAN2的IPsec VPN（默认即为IPSEC接口模式）

进入：虚拟专网--IPSEC隧道--"新建"

可以选择根据向导进行相应的IPsec VPN模板进行配置： 

说明：如果最后完成模板部署的时候报错，那么需要注意，不要有旧的配置存在，比如相关VPN的策略、VPN的路由、VPN的IP地址对象，需要把这些内容删除干净才可以顺利的部署向导模板，一般第一次部署不会遇到报错。

针对模板配置的优化建议

优化建议一：在第一阶段中开启DPD周期性检测（每隔10s检测一次Peer状态），实现快速的检测并切换VPN隧道的目的。

相关命令行：

config vpn ipsec phase1-interface
    edit "VPN-TO-BJ"

        set dpd on-idle

    next
end

优化建议二：开启自动协商，主动让隧道UP起来，而非使用VPN业务的时候再去触发VPN的协商，这样可以减少业务的丢包，同时可快速的感知VPN隧道的状态。
     

config vpn ipsec phase2-interface
    edit "VPN-TO-BJ"

        set auto-negotiate enable

    next

end

     

4) 配置IPsec VPN的主备分析与配置

分析：此种的配置下，两条IPsec VPN隧道都会UP起来，并且将会起到负载均衡的效果。

总部:

分支：

 

   

上述配置即为负载均衡方式的IPsec VPN。

如果要实现主备的IPsec VPN:有以下几种办法：

思路1：要做到主备，则只需要一条隧道UP，另外一条隧道则处于监听模式，一旦检测到主VPN隧道故障，则将备份的VPN协商起来，接替主VPN的工作。

只需要在命令下添加一条命令即可实现主备VPN：