cisco双ISP线路接入,链路自动切换方案

网络 路由交换
对于路由器双ISP线路接入问题,我们要怎样去实现呢?具体要进行怎样的操作呢?下文从配置图,配置方案,ISAKMP策略等方面给出详细介绍。

本文作者向大家详细讲述了一个项目中如何去配置双ISP接入,并且使链路自动切换。文章主要讲述了VPN的配置,设置ipsec转换集等技术问题。

最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 515作IPsec VPN对接,现客户要求是新增一条网通DDN专线用来专跑ERP数据业务,就是要求平时总部去分部访问ERP服务器的数据走DDN专线,访问邮件服务器的数据走ipsecVPN,但当这两条链路其中有出现故障中断时,能做到链路自动切换,例DDN专线出现故障,原走这条线路的ERP数据能自动切换到ipsec VPN线路去,如果线路恢复线路又自动切换。

对netscreen 作了研究它是支持策略路由,但好像不支持线路检测(如知道者请提供资料,学习一下)。

为满足客户要求,我推荐用思科1841路由器,思科支持策略路由与线路检测,一直有看过相应的文档,但没实施过,呵呵,终于有机会了。

解方案如下图:

IP分配如下:

总部IP段为:192.168.1.0/24 网关:192.168.1.111/24

netscreen ssg-140 和透明接入,

R1配置:

FastEthernet0/0 -- 192.168.1.111/24

FastEthernet0/1 -- 192.168.2.1/24 (铁通线路 IP 有改^_^)

Serial0/0 --- 192.168.3.1/24 (网通线路)

PIX 515配置:

Ethernet1 (outside) -- 192.168.2.2/24

Ethernet0 (inside) -- 192.168.4.1/24

R2配置:

FastEthernet0/0 -- 192.168.4.2/24

FastEthernet0/1-- 192.168.5.1/24

Serial0/0 -- 192.168.3.2/24

下面只列出重点部分:

VPN配置R1----PIX515

R1:#p#

第一步:在路由器上定义NAT的内部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#int f0/1

R1(config-if)#ip nat outside

R1(config-if)#exit

第二步:定义需要被NAT的数据流(即除去通过VPN传输的数据流)

R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

R1(config)#access-list 101 permit ip any any

第三步:定义NAT。

R1(config)#ip nat inside source list 101 interface f0/1 overload

第四步:定义感兴趣数据流,即将来需要通过VPN加密传输的数据流。

R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

第五步:定义ISAKMP策略。

R1(config)#crypto isakmp enable

//启用ISAKMP

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share

//认证方法使用预共享密钥

R1(config-isakmp)#encryption des

//加密方法使用des

R1(config-isakmp)#hash md5

//散列算法使用md5

R1(config-isakmp)#group 2

//DH模长度为1024

第六步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。

R1(config)#crypto isakmp identity address

R1(config)#crypto isakmp key cisco123456 address 192.168.2.2

第七步:设置ipsec转换集。

R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac

R1(cfg-crypto-trans)#mode tunnel

第八步:设置加密图。

R1(config)#crypto map myvpnmap 10 ipsec-isakmp

R1(config-crypto-map)#match address 102

//加载感兴趣流

R1(config-crypto-map)#set peer 192.168.2.2

//设置对等体地址

R1(config-crypto-map)#set transform-set myvpn

//选择转换集

R1(config-crypto-map)#set pfs group2

//设置完美前向保密,DH模长度为1024

第九步:在外部接口上应用加密图。

R1(config)#int f0/1

R1(config-if)#crypto map myvpnmap

 

【编辑推荐】

  1. 常用思科路由器密码恢复经典案例
  2. 思科路由器口令恢复办法全解
  3. 思科路由器安全性管理
  4. cisco路由器配置ACL详解
  5. cisco路由器启动进程
责任编辑:chenqingxiang 来源: IT实验室
相关推荐

2009-12-09 17:05:28

2009-12-24 15:53:46

双ADSL接入线路

2012-08-21 11:55:46

2012-09-24 10:06:13

般固banggoo

2009-12-29 14:59:00

双ADSL线路

2010-07-30 11:21:01

路由器设置

2024-12-16 13:34:35

2011-02-17 15:26:27

IADVoIPPPPoE

2013-03-01 15:25:56

路由器网络设备故障备分设备数据

2011-09-25 19:28:04

梭子鱼梭子鱼负载均衡机

2010-03-23 16:43:39

负载均衡互联网链路深信服科技

2013-10-24 09:35:18

Cisco设备管理line vty线路

2009-10-29 16:46:12

LinkProof多链路负载均衡

2022-05-19 13:33:39

系统客户端链路追踪

2018-07-03 15:56:59

腾讯

2015-08-19 14:19:42

2012-05-08 13:24:45

负载均衡带宽锐捷网络

2022-05-23 08:23:24

链路追踪SleuthSpring

2009-11-24 09:30:09

2009-10-29 16:56:03

宽带接入网
点赞
收藏

51CTO技术栈公众号