ipsecvpn高可用性鏈路冗余備份實(shí)例_第1頁(yè)
ipsecvpn高可用性鏈路冗余備份實(shí)例_第2頁(yè)
ipsecvpn高可用性鏈路冗余備份實(shí)例_第3頁(yè)
ipsecvpn高可用性鏈路冗余備份實(shí)例_第4頁(yè)
ipsecvpn高可用性鏈路冗余備份實(shí)例_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、標(biāo)題:ipsec vpn的高可用性目的:實(shí)現(xiàn)vpn鏈路的冗余備份拓?fù)洌翰襟E:按照拓?fù)浣o路由器的接口分配地址ip地址規(guī)劃Branch 上branch(config)*int fO/Obranch(config-if)*ip add 202.100.1.1 255.255.255.0branch(config-if)*no shbranch(config-if)*int Io 0branch(config-if)*ip add 1.1.1.1 255.255.255.0isp上isp(config)*int f0/1isp(config-if)*ip add 202.100.1.10 255.25

2、5.255.0isp(config-if)*no shisp(config-if)*int f0/0isp(config-if)*ip add 61.128.1.10 255.255.255.0isp(config-if)*no shisp(config-if)*int f1/0isp(config-i f)*ip add 137.78.5.10 255.255.255.0isp(config-if)*no shactive 上active(config)*int fO/1active(config-if)*ip add 61.128.1.1 255.255.255.0active(confi

3、g-if)*no shactive(config-if)*int f0/0active(config-if)*ip add 10.1.1.10 255.255.255.0active(config-if)*no shstandby 上standby(config)*int f0/1standby(config-if)*ip add 137.78.5.1 255.255.255.0standby(config-if)*no shstandby(config-if)*int f0/0standby(config-if)*ip add 10.1.1.20 255.255.255.0standby(c

4、onfig-if)*no shinside 上inside(config)*int f0/1inside(config-if)*ip add 10.1.1.1 255.255.255.0inside(config-if)*no shinside(config-if)*int Io 0inside(config-if)*ip add 2.2.2.2 255.255.255.0測(cè)試直連路由是否可達(dá)Center中運(yùn)行動(dòng)態(tài)路由企業(yè)部網(wǎng)絡(luò)都會(huì)運(yùn)行一種動(dòng)態(tài)路由協(xié)議,保障網(wǎng)用戶底層可達(dá)Active 上active(config)*router ospf 1active(config-router)*netw

5、ork 10.1.1.0 0.0.0.255 area 0 standby 上standby(config)*router ospf 1standby(config-router)*network 10.1.1.0 0.0.0.255 area 0 inside 上inside(config)*router ospf 1inside(config-router)*network 10.1.1.0 0.0.0.255 area 0inside(config-router)*network 2.2.2.0 0.0.0.255 a 0建立vpn企業(yè)網(wǎng)絡(luò)的邊界路由一般使用缺省路由指向互聯(lián)網(wǎng)首先解決路由

6、問(wèn)題Branch 上Active 上Standby 上測(cè)試連通性然后定義第一階段的協(xié)商策略和認(rèn)證定義協(xié)商策略和認(rèn)證:認(rèn)證方式為預(yù)共享密鑰;配置預(yù)共享的key,vpn兩端必須一致;為了實(shí)現(xiàn)vpn鏈路的冗余備份,因此需要分支指向中心不同的邊界網(wǎng)關(guān),預(yù)共享key可以相同,也可以不同Branch 上branch(config-isakmp)*authentication pre-share branch(config)*crypto isakmp key 0 cisco address61.128.1.1branch(config)*crypto isakmp key 0 h3c address137

7、.78.5.1定義協(xié)商策略和認(rèn)證:認(rèn)證方式為預(yù)共享密鑰;配置預(yù)共享的key, vpn兩端必須一致active 上active(config)*crypto isakmp policy 10 active(config-isakmp)*authentication pre-share active(config)*crypto isakmp key 0 cisco address standby 上standby(config)*crypto isakmp policy 10 standby(config-isakmp)*authentication pre-share standby(conf

8、ig)*crypto isakmp key 0 h3c address202.100.1.1在 branch、 active 和 standby 上開(kāi)啟 DPD開(kāi)啟dpd,即死亡鄰居檢測(cè)。以周期性(每 10秒)的發(fā)送keepalive報(bào)文探測(cè)vpn 鏈路或者vpn設(shè)備是否工作正常,以實(shí)現(xiàn)一個(gè)快速的切換定義第二階段的加密策略定義加密策略:配置感興趣流,配置轉(zhuǎn)換集( des加密,MD5認(rèn)證,隧道模式)Branch 上branch(config-ext-nacl)*permit ip 1.1.1.00.0.0.255222.0 0.0.0.255branch(config)*crypto ipsec

9、 transform-set trans esp-des esp-md5-hmacbranch(cfg-crypto-trans)*mode tunnelactive 上active(config)*ip access-list extended vpnactive(config-ext-nacl)*permit ip 2.2.2.00.0.0.2551.1.1.0 0.0.0.255active(config)*crypto ipsec transform-set trans esp-des esp-md5-hmacactive(cfg-crypto-trans)*mode tunnelst

10、andby 上standby(config)*ip access-list extended vpnstandby(config-ext-nacl)*permit ip 2.2.2.0 0.0.0.2551.1.1.0 0.0.0.255standby(config)*crypto ipsec transform-set trans esp-des esp-md5-hmacstandby(cfg-crypto-trans)*mode tunnel定義加密圖定義加密圖:匹配感興趣流,轉(zhuǎn)換集,配置peer (為實(shí)現(xiàn)冗余備份,分支需要與中心的多個(gè)邊界建立vpn,先匹配的先建立 vpn,然后依次建立【

11、default:不加時(shí),當(dāng)活動(dòng)鏈路 down掉后,從首到尾依次檢查;加上時(shí),以“圓”的形式檢查)Branch 上RRIbranch(config)*crypto map cisco 10 ipsec-isakmp branch(config-crypto-map)*match address vpn branch(config-crypto-map)*set transform-set trans branch(config-crypto-map)*set peer 61.128.1.1 default branch(config-crypto-map)*set peer 137.78.5.1

12、定義加密圖:匹配感興趣流,轉(zhuǎn)換集,配置peer,啟用反向路由注入,并給動(dòng)態(tài)產(chǎn)生的路由打上tag 10,解決鏈路備份的回包問(wèn)題。active 上active(config)*crypto map cisco 10 ipsec-isakmp active(config-crypto-map)*match address vpn active(config-crypto-map)*set transform-set trans active(config-crypto-map)*set peer 202.100.1.1 active(config-crypto-map)*reverse-route

13、active(config-crypto-map)*set reverse-route tag 10 standby 上standby(config)*crypto map cisco 10 ipsec-isakmp standby(config-crypto-map)*match address vpn standby(config-crypto-map)*set transform-set trans standby(config-crypto-map)*set peer 202.100.1.1 standby(config-crypto-map)*reverse-route standb

14、y(config-crypto-map)*set reverse-route tag 10接口調(diào)用接口調(diào)用加密圖,當(dāng)網(wǎng)的通信點(diǎn)與 vpn對(duì)端的通信點(diǎn)進(jìn)行通信,會(huì)觸發(fā)連接 in ternet的 接口(加密點(diǎn)),對(duì)數(shù)據(jù)加密,以保障數(shù)據(jù)在 in ternet網(wǎng)絡(luò)中傳輸時(shí)的安全, vpn對(duì)端接 口則會(huì)解密、驗(yàn)證,如果認(rèn)證通過(guò),數(shù)據(jù)傳輸;不通過(guò),直接丟棄Branch 上branch(config)*int fO/Obranch(config-if)*crypto map ciscoactive 上active(config)*int f0/1active(config-if)*crypto map ci

15、scostandby 上standby(config)*int f0/1standby(config-if)*crypto map cisco在 active 和 standby 上配置 route-map利用route-map來(lái)匹配上tag 10的路由active(config)*route-map s2o permit 10active(config-route-map)*match tag 10standby(config)*route-map s2o permit 10standby(config-route-map)*match tag 10在 active 和 standby 上將

16、 route-map 在 OSPF告將route-map重發(fā)布進(jìn)ospf,通告所有網(wǎng)用戶active(config)*router ospf 1active(config-router)*redistribute static route-map s2osubnetsstandby(config)*router ospf 1 standby(config-router)*redistribute static route-map s2o subnets4.測(cè)試鏈路是否建立成功首先在active上查看加解密包的個(gè)數(shù)再查看靜態(tài)路由RRI,反向路由注入,即指那一臺(tái)路由器上有ipsec sa,做了啟用

17、的反向路由注入, 就會(huì)在本地路由器上自動(dòng)產(chǎn)生一條目標(biāo)是對(duì)端通信點(diǎn),下一跳為對(duì)端加密點(diǎn)的 靜態(tài)路由。只有有ipsec sa才會(huì)產(chǎn)生,因?yàn)闆](méi)有觸發(fā),所以沒(méi)有加解密的包和產(chǎn) 生路由在 branch上發(fā)起 ping 命令發(fā)起ping命名,觸發(fā)vpn策略在active上查看加解密包的個(gè)數(shù)和靜態(tài)路由加解密包產(chǎn)生,觸發(fā)了 ipsec sa,產(chǎn)生靜態(tài)路由在inside上查看路由部網(wǎng)絡(luò)收到靜態(tài)路由,且下一跳為10.1.1.10,即說(shuō)明分支與中心的 active建立vpn在standby上查看加解密包的個(gè)數(shù)和靜態(tài)路由Standby設(shè)備上沒(méi)有加解密的包和產(chǎn)生路由,也 說(shuō)明分支與中心的 active建立vpn再在 branch上發(fā)起 ping命令在 isp 上將 f0/0 接口 shutdownisp(config)*int f0/0isp(

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論