1.防火墙双链路(ISP1、ISP2)与对端数据中心设备建立IPSEC隧道;

　　2.当ISP1链路IPSEC隧道存在时，IPSEC业务走该IPSEC隧道传输;

　　3.当ISP1链路IPSEC隧道不存在，而ISP2链路IPSEC隧道存在时，IPSEC业务走ISP2 IPSEC隧道传输;

　　4.当ISP1链路IPSEC隧道不存在，且ISP2链路IPSEC隧道也不存在时，IPSEC业务仍流在ISP1线路;

　　5.现网存在IPSEC隧道断开，但是链路能通且Ping测试也能通的情况。

　　解决方案

　　解决方案1：基于主备路由备份的IPSEC选路。

　　防火墙 <-> 数据中心

　　10.10.10.0/24 <->192.168.100.0/24 -IPSEC感兴趣流

　　ISP1 <-> 数据中心Tunnel1

　　10.10.10.0/24 <-> 192.168.100.0/24

　　ip route-static 192.168.100.200 32 ISP1 -192.168.100.200是数据中心设备Loopback地址，作为ISP1链路IPSEC探测使用

　　ip-link detect_isp1_ipsec

　　destination 192.168.100.200 protocol icmp

　　source 10.10.10.1

　　ISP2 <-> 数据中心Tunnel2

　　10.10.10.0/24 <-> 192.168.100.0/24

　　ip route-static 192.168.100.201 32 ISP2 -192.168.100.201是数据中心设备Loopback地址，作为ISP2链路IPSEC探测使用

　　ip-link detect_isp2_ipsec

　　destination 192.168.100.201 protocol icmp

　　source 10.10.10.1

　　ip route-static 192.168.100.0 24 ISP1 track ip-link detect_isp1_ipsec

　　ip route-static 192.168.100.0 24 ISP2 preference 100 track ip-link detect_isp2_ipsec

　　ip route-static 192.168.100.0 24 ISP1 preference 120

　　解决方案2：IPSEC智能选路，基于链路质量探测结果切换链路。

　　隧道两端的网关设备有多个公网接口，网关设备之间存在多条可通信的链路。通过在FW_B上配置IPSec智能选路功能，可以实现分支和总部之间多条IPSec隧道动态切换。使用其中一条链路建立IPSec隧道后，网关设备会实时检测已有IPSec隧道的时延或丢包率。在时延或丢包率高于设定的阈值时，动态切换到备用链路上重新建立IPSec隧道。

　　FW_B选择一条链路建立IPSec隧道。

　　FW_B通过发送ICMP报文检测IPSec隧道的时延或丢包率。当隧道的时延或丢包率高于设定的阈值时，FW_B会拆除当前的IPSec隧道，并选择另一条链路建立IPSec隧道。

　　新的隧道建立后，FW_B继续检测隧道的时延或丢包率，如果时延或丢包率仍然高于设定的阈值，FW_B会继续切换链路，直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限值时停止。

　　FW还支持高优先级链路自动回切功能，在IPSec隧道因高优先级链路(如图1中的link1)的链路质量不达标被切换到备用链路(如图1中的link2)后持续探测高优先级链路的链路质量，若在一定的回切时延内高优先级链路的质量持续达标，则FW会自动将IPSec隧道回切到高优先级链路上，实现高优先级链路的较大化利用。