cisco雙ISP線路接入鏈路自動切換方案

最近接到的一個項目，客戶總部在惠州，分部在香港，在香港分部設有ERP服務 器與郵件服務器，總部出口為鐵通10M光纖與網(wǎng)通1MDDN專線（新增）原總部 是用net screen防火墻與香港的pix 515作IPsec VPN對接，現(xiàn)客戶要求是新 增一條網(wǎng)通DDN專線用來專跑ERP數(shù)據(jù)業(yè)務，就是要求平時總部去分部訪問ERP 服務器的數(shù)據(jù)走DDN專線，訪問郵件服務器的數(shù)據(jù)走ipsecVPN，但當這兩條鏈路 其中有出現(xiàn)故障中斷時，能做到鏈路自動切換，例DDN專線出現(xiàn)故障，原走這條 線路的 ERP 數(shù)據(jù)能自動切換到 ipsecVPN 線路去，如果線路恢復線路又自動切換。 對netscreen作了研究它是支持策略路由,但好像不支持線路檢測（如知道 者請?zhí)峁┵Y料，學習一下）。 為滿足客戶要求，我推薦用思科 1841 路由器，思科支持策略路由與線路檢 測，一直有看過相應的文檔，但沒實施過，呵呵，終于有機會了。 Intfliut KI 出ill irvwr ■ CIM 空州仙 msis JI^EC VP5 g ■ 貂I 11 p 1111 j i JJ5」1 mi」 i ■ i I ■ IP 分配如下： 總部 IP 段為：192.168.1.0/24 網(wǎng)關(guān)：192.168.1.111/24 netscreen ssg-140 和透明接入， R1 配置： FastEthernet0/0 -- 192.168.1.111/24 FastEthernetO/1 — 192.168.2.1/24 （鐵通線路 IP 有改［J Serial0/0 --- 192.168.3.1/24 （網(wǎng)通線路） PIX 515 配置： Ethernet1 (outside) -- 192.168.2.2/24 Ethernet0 (inside) -- 192.168.4.1/24 R2 配置： FastEthernet0/0 -- 192.168.4.2/24 FastEthernet0/1-- 192.168.5.1/24 Serial0/0 -- 192.168.3.2/24 下面只列出重點部分： VPN 配置 R1 PIX515 R1: 第一步：在路由器上定義 NAT 的內(nèi)部接口和外部接口 R1(config)#int f0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int f0/1 R1(config-if)#ip nat outside R1(config-if)#exit 第二步：定義需要被 NAT 的數(shù)據(jù)流(即除去通過 VPN 傳輸?shù)臄?shù)據(jù)流) R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 R1(config)#access-list 101 permit ip any any 第三步：定義 NAT。 R1(config)#ip nat inside source list 101 interface f0/1 overload 第四步：定義感興趣數(shù)據(jù)流，即將來需要通過 VPN 加密傳輸?shù)臄?shù)據(jù)流。 R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 第五步：定義 ISAKMP 策略。 R1(config)#crypto isakmp enable //啟用 ISAKMP R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share //認證方法使用預共享密鑰 R1(config-isakmp)#encryption des //加密方法使用 des R1(config-isakmp)#hash md5 //散列算法使用 md5 R1(config-isakmp)#group 2 //DH 模長度為 1024 第六步：將 ISAKMP 預共享密鑰和對等體關(guān)聯(lián)，預共享密鑰為 “cisco123456”。 R1(config)#crypto isakmp identity address R1(config)#crypto isakmp key cisco123456 address 192.168.2.2 第七步：設置 ipsec 轉(zhuǎn)換集。 R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac R1(cfg-crypto-trans)#mode tunnel 第八步：設置加密圖。 R1(config)#crypto map myvpnmap 10 ipsec-isakmp R1(config-crypto-map)#match address 102 //加載感興趣流 R1(config-crypto-map)#set peer 192.168.2.2 //設置對等體地址 R1(config-crypto-map)#set transform-set myvpn //選擇轉(zhuǎn)換集 R1(config-crypto-map)#set pfs group2 //設置完美前向保密，DH模長度為1024 第九步：在外部接口上應用加密圖。 R1(config)#int f0/1 R1(config-if)#crypto map myvpnmap