本文作者向大家詳細(xì)講述了一個(gè)項(xiàng)目中如何去配置雙ISP接入，并且使鏈路自動(dòng)切換。文章主要講述了VPN的配置，設(shè)置ipsec轉(zhuǎn)換集等技術(shù)問(wèn)題。

最近接到的一個(gè)項(xiàng)目，客戶總部在惠州，分部在香港，在香港分部設(shè)有ERP服務(wù)器與郵件服務(wù)器，總部出口為鐵通10M光纖與網(wǎng)通1M DDN 專線(新增)，原總部是用netscreen 防火墻與香港的pix 515作IPsec VPN對(duì)接，現(xiàn)客戶要求是新增一條網(wǎng)通DDN專線用來(lái)專跑ERP數(shù)據(jù)業(yè)務(wù)，就是要求平時(shí)總部去分部訪問(wèn)ERP服務(wù)器的數(shù)據(jù)走DDN專線，訪問(wèn)郵件服務(wù)器的數(shù)據(jù)走ipsecVPN,但當(dāng)這兩條鏈路其中有出現(xiàn)故障中斷時(shí)，能做到鏈路自動(dòng)切換，例DDN專線出現(xiàn)故障，原走這條線路的ERP數(shù)據(jù)能自動(dòng)切換到ipsec VPN線路去，如果線路恢復(fù)線路又自動(dòng)切換。

對(duì)netscreen 作了研究它是支持策略路由，但好像不支持線路檢測(cè)(如知道者請(qǐng)?zhí)峁┵Y料，學(xué)習(xí)一下)。

為滿足客戶要求，我推薦用思科1841路由器，思科支持策略路由與線路檢測(cè)，一直有看過(guò)相應(yīng)的文檔，但沒(méi)實(shí)施過(guò)，呵呵，終于有機(jī)會(huì)了。

解方案如下圖：

IP分配如下：

總部IP段為：192.168.1.0/24 網(wǎng)關(guān)：192.168.1.111/24

netscreen ssg-140 和透明接入，

R1配置：

FastEthernet0/0 -- 192.168.1.111/24

FastEthernet0/1 -- 192.168.2.1/24 (鐵通線路 IP 有改^_^)

Serial0/0 --- 192.168.3.1/24 (網(wǎng)通線路)

PIX 515配置：

Ethernet1 (outside) -- 192.168.2.2/24

Ethernet0 (inside) -- 192.168.4.1/24

R2配置：

FastEthernet0/0 -- 192.168.4.2/24

FastEthernet0/1-- 192.168.5.1/24

Serial0/0 -- 192.168.3.2/24

下面只列出重點(diǎn)部分：

VPN配置R1----PIX515

R1:#p#

第一步：在路由器上定義NAT的內(nèi)部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#int f0/1

R1(config-if)#ip nat outside

R1(config-if)#exit

第二步：定義需要被NAT的數(shù)據(jù)流(即除去通過(guò)VPN傳輸?shù)臄?shù)據(jù)流)

R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

R1(config)#access-list 101 permit ip any any

第三步：定義NAT。

R1(config)#ip nat inside source list 101 interface f0/1 overload

第四步：定義感興趣數(shù)據(jù)流，即將來(lái)需要通過(guò)VPN加密傳輸?shù)臄?shù)據(jù)流。

R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

第五步：定義ISAKMP策略。

R1(config)#crypto isakmp enable

//啟用ISAKMP

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share

//認(rèn)證方法使用預(yù)共享密鑰

R1(config-isakmp)#encryption des

//加密方法使用des

R1(config-isakmp)#hash md5

//散列算法使用md5

R1(config-isakmp)#group 2

//DH模長(zhǎng)度為1024

第六步：將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。

R1(config)#crypto isakmp identity address

R1(config)#crypto isakmp key cisco123456 address 192.168.2.2

第七步：設(shè)置ipsec轉(zhuǎn)換集。

R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac

R1(cfg-crypto-trans)#mode tunnel

第八步：設(shè)置加密圖。

R1(config)#crypto map myvpnmap 10 ipsec-isakmp

R1(config-crypto-map)#match address 102

//加載感興趣流

R1(config-crypto-map)#set peer 192.168.2.2

//設(shè)置對(duì)等體地址

R1(config-crypto-map)#set transform-set myvpn

//選擇轉(zhuǎn)換集

R1(config-crypto-map)#set pfs group2

//設(shè)置完美前向保密，DH模長(zhǎng)度為1024

第九步：在外部接口上應(yīng)用加密圖。

R1(config)#int f0/1

R1(config-if)#crypto map myvpnmap

【編輯推薦】

1. 常用思科路由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器口令恢復(fù)辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動(dòng)進(jìn)程