VPN Trunk
什么是VPN Trunk?
VPN Trunk是指VPN负载均衡(VPN Loadbalance)和VPN备份(VPN Backup)两个功能. 不仅可将多条VPN通道的频宽合并, 还能使VPN连线具有负载均衡和备份的能力, 最终实现VPN永不断线的需求.
什么是VPN备份(VPN Backup)?
大多数情况下, 两个站点之间同时只能建1条VPN. 如果由于网络问题导致该VPN断线, 并且不能在短时间内自动恢复的话, 你只能等上几个小时甚至更多的时间, 直到网管发现掉线, 查找原因, 建立一条新的VPN. 这会极大地影响工作效率, 甚至影响业务收入.
VPN备份的作用, 就是在1条VPN断线的时候, 立刻自动连接另一条VPN, 而不需要任何人为的干预.
什么是VPN成员(VPN Member)?
我们知道”VPN profile”, “VPN设定档” 这些名词. 在VPN and Remote Access >> LAN to LAN页面里可以设定相应的VPN profile. 当这些VPN profile加入到一个VPN trunk之后, 就称为相应VPN trunk的VPN成员(VPN member).
例如, 如下图所示有7个LAN-to-LAN profile.
其中Index1和Index2这两个profile(“A-1”和”A-2”)加入了VPN Backup trunk 1; Index4和Index5这两个profile(“to HK”和”to US”)加入了VPN Backup trunk 2. 如下图所示. 那么, “A-1”和”A-2”就是trunk 1的VPN member, “to HK”和”to US”就是trunk 2的VPN member.
注意:
1. “companyA”是VPN Backup trunk 1的名称; “test”是VPN Backup trunk 2的名称.
2. “(YES)”前面的数字就是对应profile的Index号码.
VPN备份工作机制
Vigor路由器支持3种备份机制,None mode, AutoDrop mode, Resume mode. 它们统称为ERD(环境复原侦测, Environment Recovers Detection)模式. 这3种模式在恢复VPN连线的方式上有所不同, 用户可根据不用的需求做出相应的选择.
1. None Mode
None mode是默认的模式. 在一个Backup trunk里的所有成员的优先级是相同的, 按照顺序轮流处理, 没有主次成员之分.
如果几个VPN成员在速度, 带宽, 安全性和稳定性方面都差不多, 用户只要求始终有VPN在线, 而不在乎优先使用哪一条作为备份, 那么可选用这种模式.
工作过程:
Member-1掉线 -> Member-2自动发起连接 ->Member-2无法连接, 或建立连接后也发生了掉线 ->Member-3自动发起连接 -> … ->Member-n无法连接, 或建立连接后也发生了掉线 ->Member-1自动发起连接 ->…->
注意:目前只支持n=2, 也就是1个Backup trunk只能有2个成员. 将来计划支持多个成员.
2. AutoDrop Mode
Member-1的优先级最高, 其它成员优先级相同. Member-1可以称为主成员(Primary member).
出于速度, 带宽, 安全性和稳定性的考虑, 用户希望两个站点间能一直使用Member-1作为VPN连线. 当Member-1掉线, 其它member连线后, 路由器要能不断尝试重拨Member-1, 并且一旦Member-1能够建立连接, 就立刻中断其它member的连线. 这种理念类似于双WAN的备份机制(主WAN掉线后, 不断侦测线路, 一旦发现能建立连接, 就中断备份WAN的连线)
工作过程:
若当前状态是: Member-1处于断开状态并且Member-m(1
时间间隔设为3600秒
情况1:
Member-1掉线 ->Member-2自动发起连接 ->Member-2连接建立 ->Member-2连接建立后的3530秒(3600-30)路由器开始尝试连接Member-1 ->每6秒拨一次Member-1, 共尝试5次 ->5次尝试后Member-1依旧连线失败, 此时Member-2连线时间是3600秒 ->继续等3530秒Member-2依旧在线, 路由器重新开始尝试拨Member-1 ->在30秒内(5次尝试以内)Member-1终于能建立了 ->立刻断开Member-2 ….
情况2:
Member-1掉线 ->Member-2自动发起连接 ->Member-2连线失败 ->Member-3自动发起连接 ->Member-3连接建立 ->Member-3连接建立后的3530秒(3600-30)路由器开始尝试连接Member-1 ->每6秒拨一次Member-1, 共尝试5次…以下过程同上
情况3:
Member-1掉线 ->Member-2自动发起连接 ->Member-2连接建立 ->Member-2连接建立后的第m秒(m<3530), 譬如第2000秒Member-2掉线 ->Member-3自动发起连接 ->Member-3连接建立 ->Member-3连接建立后的3530秒(3600-30)路由器开始尝试连接Member-1 ->每6秒拨一次Member-1, 共尝试5次…以下过程同情况1.
时间间隔设为0秒
Member-m(1
时间间隔小于等于30秒, 视为0秒处理.
说明:
1. 为何要有时间间隔设定, 而不都用0秒的机制?
考虑到一种情况, Member-1的ISP在某一段时间内可能突然不稳定, 譬如通十分钟, 断1分钟. 如果时间间隔设为0秒, 会出现以下情况: Member-1连10分钟, 掉线, Member-2连通, 1分钟不到被Member-1断开, 10分钟不到Member-1掉线…如果不巧, 有人在通过VPN收一组大小为10M的mail, 就会因为频繁掉线而被卡住. 通过VPN开的视频会议也会被频繁打断. 如果时间间隔设为30分钟, 就能在Member-2建立30分钟后再连接Member-1, 传送文件一般不会受到大的影响. 所以, 提供时间间隔设定, 能让管理员能根据公司网络运营情况做出灵活决定.
2. 为何要等其它Member建立连接后才开始拨Member-1, 而不是在Member-1断线后就立刻开始计时拨Member-1?
在一个Backup trunk里, 同一个时间点只会去拨一条VPN member. 如果时间间隔设得太短, 而Member-1又一直无法建立的话, 会导致路由器不断拨Member-1而不拨其它Member的情况. VPN备份的主旨是要快速恢复VPN通道, 并假设之前断开的VPN不会在短时间内恢复. 所以, 第一步是要恢复VPN通道, 第二步才是看看Member-1能不能恢复.
注意: 目前只支持n=2, 也就是1个Backup trunk只能有2个成员. 将来计划支持多个成员.
3. Resume Mode
和AutoMode一样, Member-1的优先级最高, 其它成员优先级相同. Member-1可以称为主成员(Primary member).
有些用户, 对VPN稳定性要求非常高, 不要像AutoDrop mode那样去主动断VPN(这家公司可能是1分钟有上千份订单的公司). 只要有VPN member连起来, 就让它一直运行, 除非发生网络问题造成断线. 它的特殊要求是, 一旦发生断线, 就从Member-1开始尝试连接. 而不像None mode那样, 按顺序循环尝试.
工作过程:
当前Member-m(1
举例说明:
Member-1掉线 ->拨Member-1 ->Member-1连线失败 -> 拨Member-2 -> Member-2连线失败 ->拨Member-3 ->Member-3连线成功 -> Member-3掉线 ->拨Member-1 ->Member-1连线失败 ->拨Member-2-> …
注意: 目前只支持n=2, 也就是1个Backup trunk只能有2个成员. 将来计划支持多个成员.