首页 > 学术百科

ipsec vpn高可用性链路冗余备份实例

标题：ipsec vpn的高可用性

目的：实现vpn链路的冗余备份

拓扑：

步骤：

1. 按照拓扑给路由器的接口分配地址

Ip地址规划

Branch上

branch(config)#int f0/0

branch(config-if)#ip add 202.100.1.1 255.255.255.0

branch(config-if)#no sh

branch(config-if)#int lo 0

branch(config-if)#ip add 1.1.1.1 255.255.255.0

isp上

isp(config)#int f0/1

卷盘isp(config-if)#ip add 202.100.1.10 255.255.255.0

isp(config-if)#no sh

北大院长面试学霸isp(config-if)#int f0/0

isp(config-if)#ip add 61.128.1.10 255.255.255.0

isp(config-if)#no sh

isp(config-if)#int f1/0

isp(config-if)#ip add 137.78.5.10 255.255.255.0

isp(config-if)#no sh

上海航天冰箱active上

active(config)#int f0/1

active(config-if)#ip add 61.128.1.1 255.255.255.0

active(config-if)#no sh

active(config-if)#int f0/0

active(config-if)#ip add 10.1.1.10 255.255.255.0

active(config-if)#no sh

standby上

standby(config)#int f0/1

standby(config-if)#ip add 137.78.5.1 255.255.255.0

standby(config-if)#no sh

东风金龙standby(config-if)#int f0/0

standby(config-if)#ip add 10.1.1.20 255.255.255.0

standby(config-if)#no sh

inside上

inside(config)#int f0/1

inside(config-if)#ip add 10.1.1.1 255.255.255.0

inside(config-if)#no sh

inside(config-if)#int lo 0

inside(config-if)#ip add 2.2.2.2 255.255.255.0

测试直连路由是否可达

2. Center中运行动态路由

企业内部网络都会运行一种动态路由协议，保障内网用户底层可达

Active上

active(config)#router ospf 1

active(config-router)#network 10.1.1.0 0.0.0.255 area 0

standby上

standby(config)#router ospf 1

standby(config-router)#network 10.1.1.0 0.0.0.255 area 0

inside上

inside(config)#router ospf 1

inside(config-router)#network 10.1.1.0 0.0.0.255 area 0

inside(config-router)#network 2.2.2.0 0.0.0.255 a 0

3. 建立vpn

企业网络的边界路由一般使用缺省路由指向互联网

首先解决路由问题

Branch上

Active上

Standby上

测试连通性

然后定义第一阶段的协商策略和认证

一地烟灰

定义协商策略和认证：认证方式为预共享密钥；配置预共享的key，vpn两端必须一致；为了实现vpn链路的冗余备份，因此需要分支指向中心不同的边界网关，预共享key可以相同，

也可以不同

B化学键能ranch上

branch(config)#crypto isakmp policy 10

branch(config-isakmp)#authentication pre-share

branch(config)#crypto isakmp key 0 cisco address 61.128.1.1

branch(config)#crypto isakmp key 0 h3c address 137.78.5.1

定义协商策略和认证：认证方式为预共享密钥；配置预共享的key，vpn两端必须一致

active上

active(config)#crypto isakmp policy 10

active(config-isakmp)#authentication pre-share

active(config)#crypto isakmp key 0 cisco address 202.100.1.1

standby上

standby(config)#crypto isakmp policy 10

standby(config-isakmp)#authentication pre-share

standby(config)#crypto isakmp key 0 h3c address 202.100.1.1

在branch、active和standby上开启DPD

开启DPD，即死亡邻居检测。以周期性（每10秒）的发送keepalive报文探测vpn链路或者vpn设备是否工作正常，以实现一个快速的切换

定义第二阶段的加密策略

定义加密策略：配置感兴趣流，配置转换集（des加密，MD5认证，隧道模式）

Branch上

branch(config)#ip access-list extended vpn

branch(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

本文发布于:2024-09-22 08:25:11，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/550785.html

上一篇：mlag堆叠_解析LACP与PAGP的区别

下一篇：RRPP快速环网保护协议

标签：路由认证链路策略共享配置边界

留言与评论（共有 0 条评论）