當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco雙ISP線路接入鏈路自動(dòng)切換

http://www.yibo1263.com　2009-4-23 7:46:26 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

PIX:

第一步：定義感興趣數(shù)據(jù)流，即將來(lái)需要通過(guò)VPN加密傳輸?shù)臄?shù)據(jù)流。
PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
PIX(config)# access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0

第二步：通過(guò)VPN傳輸?shù)臄?shù)據(jù)包不需要做NAT，因此，將這些數(shù)據(jù)包定義到nat 0，nat 0不對(duì)數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換。nat0的處理始終在其他nat（例如nat1、nat2、nat3……）之前。
PIX(config)# nat (inside) 0 access-list no-nat
第三步：訪問(wèn)internet的數(shù)據(jù)流使用PAT出去。
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步：定義ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上啟用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//認(rèn)證方法使用預(yù)共享密鑰
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模長(zhǎng)度為1024
第五步：將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1
第六步：設(shè)置ipsec轉(zhuǎn)換集。
PIX(config)# crypto ipsec transform-set myvpn esp-des esp-md5-hmac
第七步：設(shè)置加密圖。
PIX(config)# crypto map myvpnmap 10 ipsec-isakmp
PIX(config)# crypto map cmyvpnmap 10 match address no-nat
//加載感興趣流
PIX(config)# crypto map myvpnmap 10 set transform-set myvpn
//選擇轉(zhuǎn)換集
PIX(config)# crypto map myvpnmap 10 set peer 192.168.2.1
//設(shè)置對(duì)等體地址
PIX(config)# crypto map myvpnmap 10 set pfs group2
//設(shè)置完美前向保密，DH模長(zhǎng)度為1024
第八步：在外部接口上應(yīng)用加密圖。
PIX(config)# crypto map myvpnmap interface outside
第九步：指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec

接下是本部份重點(diǎn)，就是路由選擇與鏈路檢測(cè)配置：

R1：

ip access-list extended lan-erp
permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)
ip access-list extended lan-mail
permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP)

定義route-map 的感興趣流

ip sla monitor 1
type echo protocol ipIcmpEcho 192.168.3.2
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 192.168.2.2
ip sla monitor schedule 2 life forever start-time now

track 123 rtr 1 reachability
track 124 rtr 2 reachability

啟用思科SLA協(xié)議，動(dòng)態(tài)檢測(cè)鏈路。

route-map test permit 10
match ip address lan-erp
set ip next-hop verify-availability 192.168.3.2 1 track 123
set ip next-hop verify-availability 192.168.2.2 2 track 124
!
route-map test permit 20
match ip address lan-mail
set ip next-hop verify-availability 192.168.2.2 1 track 124
set ip next-hop verify-availability 192.168.3.2 2 track 123

啟用routermap 對(duì)數(shù)據(jù)進(jìn)行分流。

R2：

ip access-list extended erp-lan
permit ip host 192.168.5.53 192.168.1.0 0.0.0.255
ip access-list extended mail-lan
permit ip host 192.168.5.50 192.168.1.0 0.0.0.255

定義route-map 的感興趣流

ip sla monitor 1
type echo protocol ipIcmpEcho 192.168.3.1
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 192.168.2.1
ip sla monitor schedule 2 life forever start-time now

track 123 rtr 1 reachability
track 124 rtr 2 reachability

啟用思科SLA協(xié)議，動(dòng)態(tài)檢測(cè)鏈路。

route-map test permit 10
match ip address mail-erp
set ip next-hop verify-availability 192.168.3.1 1 track 123
set ip next-hop verify-availability 192.168.4.1 2 track 124
!
route-map test permit 20
match ip address erp-mail
set ip next-hop verify-availability 192.168.4.1 1 track 124
set ip next-hop verify-availability 192.168.3.1 2 track 123

定義route-map 的感興趣流.

為什么R2也要配置，請(qǐng)讀者自己去思考了。有興趣大家可做下實(shí)驗(yàn)，本文結(jié)束。

本新聞共2頁(yè),當(dāng)前在第2頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Cisco三層交換機(jī)堆棧連接問(wèn)題

·Cisco快捷鍵使用大全

·透過(guò)現(xiàn)象看問(wèn)題 Cisco交換機(jī)狀態(tài)燈

·Cisco交換機(jī)生成樹(shù)協(xié)議配置

·設(shè)置cisco路由器通過(guò)ADSL上網(wǎng)

·CISCO 3560 IOS升級(jí)步驟與常見(jiàn)問(wèn)題

·Cisco交換機(jī)出現(xiàn)環(huán)路的處理方法

·cisco交換機(jī)端口隔離的實(shí)現(xiàn)方法

·詳解Cisco路由器輔助端口設(shè)置問(wèn)題

·Cisco路由發(fā)送日志到日志服務(wù)器

·使用Cisco路由器配置實(shí)現(xiàn)VoIP

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费