cisco双ISP线路接入链路自动切换方案

ta****u

实名认证

店铺

DOCX

57.27KB

约4页

文档ID:181651076

1/4页

点击查看更多>>

文本预览下载提示常见问题

最近接到的一个项目，客户总部在惠州，分部在香港，在香港分部设有ERP服务器与邮件服务器，总部出口为铁通10M光纤与网通1MDDN专线（新增）原总部是用net screen防火墙与香港的pix 515作IPsec VPN对接，现客户要求是新增一条网通DDN专线用来专跑ERP数据业务，就是要求平时总部去分部访问ERP 服务器的数据走DDN专线，访问邮件服务器的数据走ipsecVPN，但当这两条链路其中有出现故障中断时，能做到链路自动切换，例DDN专线出现故障，原走这条线路的 ERP 数据能自动切换到 ipsecVPN 线路去，如果线路恢复线路又自动切换对netscreen作了研究它是支持策略路由,但好像不支持线路检测（如知道者请提供资料，学习一下）为满足客户要求，我推荐用思科 1841 路由器，思科支持策略路由与线路检测，一直有看过相应的文档，但没实施过，呵呵，终于有机会了IntfliutKI出ill irvwr■ CIM空州仙msisJI^EC VP5 g■貂I11 p 1111 jiJJ5」1mi」i■iI■IP 分配如下：总部 IP 段为：192.168.1.0/24 网关：192.168.1.111/24netscreen ssg-140 和透明接入，R1 配置：FastEthernet0/0 -- 192.168.1.111/24FastEthernetO/1 — 192.168.2.1/24 （铁通线路 IP 有改［JSerial0/0 --- 192.168.3.1/24 （网通线路）PIX 515 配置：Ethernet1 (outside) -- 192.168.2.2/24Ethernet0 (inside) -- 192.168.4.1/24R2 配置：FastEthernet0/0 -- 192.168.4.2/24FastEthernet0/1-- 192.168.5.1/24Serial0/0 -- 192.168.3.2/24 下面只列出重点部分：VPN 配置 R1 PIX515R1:第一步：在路由器上定义 NAT 的内部接口和外部接口R1(config)#int f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#int f0/1R1(config-if)#ip nat outsideR1(config-if)#exit第二步：定义需要被 NAT 的数据流(即除去通过 VPN 传输的数据流)R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.00.0.0.255R1(config)#access-list 101 permit ip any any 第三步：定义 NAT。

R1(config)#ip nat inside source list 101 interface f0/1 overload第四步：定义感兴趣数据流，即将来需要通过 VPN 加密传输的数据流R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255第五步：定义 ISAKMP 策略R1(config)#crypto isakmp enable//启用 ISAKMPR1(config)#crypto isakmp policy 10R1(config-isakmp)#authentication pre-share //认证方法使用预共享密钥R1(config-isakmp)#encryption des//加密方法使用 desR1(config-isakmp)#hash md5//散列算法使用 md5R1(config-isakmp)#group 2//DH 模长度为 1024第六步：将 ISAKMP 预共享密钥和对等体关联，预共享密钥为 “cisco123456”。

R1(config)#crypto isakmp identity addressR1(config)#crypto isakmp key cisco123456 address 192.168.2.2 第七步：设置 ipsec 转换集R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac R1(cfg-crypto-trans)#mode tunnel第八步：设置加密图R1(config)#crypto map myvpnmap 10 ipsec-isakmpR1(config-crypto-map)#match address 102 //加载感兴趣流R1(config-crypto-map)#set peer 192.168.2.2 //设置对等体地址R1(config-crypto-map)#set transform-set myvpn //选择转换集R1(config-crypto-map)#set pfs group2//设置完美前向保密，DH模长度为1024 第九步：在外部接口上应用加密图R1(config)#int f0/1R1(config-if)#crypto map myvpnmap。

下载提示

点击查看常见问题