带有机箱群集的 IPsec VPN 隧道

在主动/被动机箱群集中，所有 VPN 隧道都在同一节点上终止，如 图 1所示。

图 1： 具有 IPsec VPN 隧道的主动/被动机箱群集

在主动/主动机箱群集中，VPN 隧道可以在任一节点上终止。机箱群集中的两个节点可以同时通过两个节点上的 VPN 隧道主动传递流量，如 所示。图 2此部署称为 双主动备份 IPsec VPN 机箱群集。

图 2： 双主动备份 IPsec VPN 机箱群集

双主动备份 IPsec VPN 机箱群集支持以下功能：

• 仅限基于路由的 VPN。不支持基于策略的 VPN。

• IKEv1 和 IKEv2。

• 数字证书或预共享密钥身份验证。

• 虚拟路由器中的 IKE 和安全隧道接口 （st0）。

• 网络地址转换遍历 （NAT-T）。

• VPN 监控。

• 失效对等体检测。

• 不中断服务的软件升级 （ISSU）。

• 在机箱群集设备上插入服务处理卡 （SPC），而不会中断现有 VPN 隧道上的流量。请参阅 插入服务处理卡的 VPN 支持。VPN Support for Inserting Services Processing Cards

• 动态路由协议。

• 在点对多点模式下配置的安全隧道接口 （st0）。

• AutoVPN 带有点对点模式下的 st0 接口，带有流量选择器。

• IPv4-in-IPv4、IPv6-in-IPv4、IPv6-in-IPv6 和 IPv4-in-IPv6 隧道模式。

• 分段流量。

• 环路接口可配置为 VPN 的外部接口。

双主动备份 IPsec VPN 机箱群集不能配置 Z 模式流。当流量进入机箱群集节点上的接口，通过交换矩阵链路，然后通过另一个群集节点上的接口退出时，就会发生 Z 模式流。

此示例说明如何为环路接口配置冗余组 （RG） 以防止 VPN 故障。冗余组用于将接口捆绑到一个组中，以便在机箱群集设置中进行故障切换。