今天一客户H3C-ER3200希望能实现双WAN口，无论哪个WAN口断网，都能继续连上同一个 IPSec 的VPN ;较好能实现无间断零中断IPSecVPN;

　　为此我们给出两个建议参考：

　　ER G2系列

　　1、采用ipsec over gre隧道嵌套方式部署，首先部署两个ACL匹配ipsec感兴趣数据流匹配总部与分支VPN网关上的某个Loopback口IP，分别通过两个不同的分支WAN口与总部形成ipsec隧道后，再部署gre，其Tunnel接口的源目IP就是ipsec感兴趣数据流匹配的Loopback口。较后设置静态路由或路由协议，通过选路的方式优先从某一个WAN口承载的GRE隧道跑数据，该WAN口故障后再自动实现路由备份，静态场景可以结合BFD或NQA技术防止广域网间接故障，导致浮动静态路由不感知，数据无法回切

　　该方式WAN口故障后，业务切换不会造成丢包

　　ER 系列

　　2、直接采用ipsec vpn通过不同的WAN口向对方总部发起IPSEC vpn建立，感兴趣数据流匹配的就是总部与分支需互访的数据流，只不过分支需要通过路由控制(比如静态路由)，优先将访问总部私网数据流的数据牵引到哪个WAN口，进行IPSEC vpn触发，当当前WAN口故障后，再切换到另一个WAN继续触发新的IPSEC vpn隧道，承载业务。

　　该方式WAN口故障后，业务切换会造成些许丢包!