當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco雙ISP線(xiàn)路接入鏈路自動(dòng)切換

http://www.yibo1263.com　2009-4-23 7:46:26 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　最近接到的一個(gè)項(xiàng)目，客戶(hù)總部在惠州，分部在香港，在香港分部設(shè)有ERP服務(wù)器與郵件服務(wù)器，總部出口為鐵通10M光纖與網(wǎng)通1M DDN 專(zhuān)線(xiàn)（新增），原總部是用netscreen 防火墻與香港的pix 515作IPsec VPN對(duì)接，現(xiàn)客戶(hù)要求是新增一條網(wǎng)通DDN專(zhuān)線(xiàn)用來(lái)專(zhuān)跑ERP數(shù)據(jù)業(yè)務(wù)，就是要求平時(shí)總部去分部訪問(wèn)ERP服務(wù)器的數(shù)據(jù)走DDN專(zhuān)線(xiàn)，訪問(wèn)郵件服務(wù)器的數(shù)據(jù)走ipsecVPN,但當(dāng)這兩條鏈路其中有出現(xiàn)故障中斷時(shí)，能做到鏈路自動(dòng)切換，例DDN專(zhuān)線(xiàn)出現(xiàn)故障，原走這條線(xiàn)路的ERP數(shù)據(jù)能自動(dòng)切換到ipsec VPN線(xiàn)路去，如果線(xiàn)路恢復(fù)線(xiàn)路又自動(dòng)切換。

　　對(duì)netscreen 作了研究它是支持策略路由，但好像不支持線(xiàn)路檢測(cè)（如知道者請(qǐng)?zhí)峁┵Y料，學(xué)習(xí)一下）。

為滿(mǎn)足客戶(hù)要求，我推薦用思科1841路由器，思科支持策略路由與線(xiàn)路檢測(cè)，一直有看過(guò)相應(yīng)的文檔，但沒(méi)實(shí)施過(guò)，呵呵，終于有機(jī)會(huì)了。

解方案如下圖：

IP分配如下：

總部IP段為：192.168.1.0/24 網(wǎng)關(guān)：192.168.1.111/24
netscreen ssg-140 和透明接入，
R1配置：
FastEthernet0/0 -- 192.168.1.111/24
FastEthernet0/1 -- 192.168.2.1/24 (鐵通線(xiàn)路 IP 有改^_^）
Serial0/0 --- 192.168.3.1/24 (網(wǎng)通線(xiàn)路)

PIX 515配置：
Ethernet1 (outside) -- 192.168.2.2/24
Ethernet0 (inside) -- 192.168.4.1/24

R2配置：

FastEthernet0/0 -- 192.168.4.2/24
FastEthernet0/1-- 192.168.5.1/24
Serial0/0 -- 192.168.3.2/24

下面只列出重點(diǎn)部分：

VPN配置R1----PIX515

R1:
第一步：在路由器上定義NAT的內(nèi)部接口和外部接口
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#int f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
第二步：定義需要被NAT的數(shù)據(jù)流（即除去通過(guò)VPN傳輸?shù)臄?shù)據(jù)流）
R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
R1(config)#access-list 101 permit ip any any
第三步：定義NAT。
R1(config)#ip nat inside source list 101 interface f0/1 overload
第四步：定義感興趣數(shù)據(jù)流，即將來(lái)需要通過(guò)VPN加密傳輸?shù)臄?shù)據(jù)流。
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
第五步：定義ISAKMP策略。
R1(config)#crypto isakmp enable
//啟用ISAKMP
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
//認(rèn)證方法使用預(yù)共享密鑰
R1(config-isakmp)#encryption des
//加密方法使用des
R1(config-isakmp)#hash md5
//散列算法使用md5
R1(config-isakmp)#group 2
//DH模長(zhǎng)度為1024
第六步：將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。
R1(config)#crypto isakmp identity address
R1(config)#crypto isakmp key cisco123456 address 192.168.2.2
第七步：設(shè)置ipsec轉(zhuǎn)換集。
R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel
第八步：設(shè)置加密圖。
R1(config)#crypto map myvpnmap 10 ipsec-isakmp
R1(config-crypto-map)#match address 102
//加載感興趣流
R1(config-crypto-map)#set peer 192.168.2.2
//設(shè)置對(duì)等體地址
R1(config-crypto-map)#set transform-set myvpn
//選擇轉(zhuǎn)換集
R1(config-crypto-map)#set pfs group2
//設(shè)置完美前向保密，DH模長(zhǎng)度為1024
第九步：在外部接口上應(yīng)用加密圖。
R1(config)#int f0/1
R1(config-if)#crypto map myvpnmap

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Cisco三層交換機(jī)堆棧連接問(wèn)題

·Cisco快捷鍵使用大全

·透過(guò)現(xiàn)象看問(wèn)題 Cisco交換機(jī)狀態(tài)燈

·Cisco交換機(jī)生成樹(shù)協(xié)議配置

·設(shè)置cisco路由器通過(guò)ADSL上網(wǎng)

·CISCO 3560 IOS升級(jí)步驟與常見(jiàn)問(wèn)題

·Cisco交換機(jī)出現(xiàn)環(huán)路的處理方法

·cisco交換機(jī)端口隔離的實(shí)現(xiàn)方法

·詳解Cisco路由器輔助端口設(shè)置問(wèn)題

·Cisco路由發(fā)送日志到日志服務(wù)器

·使用Cisco路由器配置實(shí)現(xiàn)VoIP

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费