收藏
下载资源

ipsecvpn高可用性链路冗余备份实例

上传人:夏** 文档编号:494057928 上传时间:2023-04-12 格式:DOCX 页数:16 大小:66.78KB
返回 下载 相关 举报
ipsecvpn高可用性链路冗余备份实例_第1页
第1页 / 共16页
ipsecvpn高可用性链路冗余备份实例_第2页
第2页 / 共16页
ipsecvpn高可用性链路冗余备份实例_第3页
第3页 / 共16页
ipsecvpn高可用性链路冗余备份实例_第4页
第4页 / 共16页
ipsecvpn高可用性链路冗余备份实例_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《ipsecvpn高可用性链路冗余备份实例》由会员分享,可在线阅读,更多相关《ipsecvpn高可用性链路冗余备份实例(16页珍藏版)》请在金锄头文库上搜索。

1、实用文档标题:ipsec vpn 的高可用性目的:实现vpn链路的冗余备份拓扑:步骤:1.按照拓扑给路由器的接口分配地址ip地址规划Branch 上branch(config)#int f0/0branch(config-if)#ipadd 202.100.1.1255.255.255.0branch(config-if)#no shbranch(config-if)#int lo 0branch(config-if)#ip add 1.1.1.1 255.255.255.0isp上isp(config)#int f0/1isp(config-if)#ipadd202.100.1.10255.

2、255.255.0isp(config-if)#no shisp(config-if)#int f0/0isp(config-if)#ip add 61.128.1.10 255.255.255.0isp(config-if)#no shisp(config-if)#int f1/0isp(config-if)#ip add 137.78.5.10 255.255.255.0isp(config-if)#no shactive 上active(config)#int f0/1active(config-if)#ipadd61.128.1.1255.255.255.0active(config-

3、if)#no shactive(config-if)#int f0/0active(config-if)#ip add 10.1.1.10 255.255.255.0active(config-if)#no shstandby 上standby(config)#int f0/1standby(config-if)#ipadd 137.78.5.1255.255.255.0standby(config-if)#no shstandby(config-if)#ip255.255.255.0add 10.1.1.20standby(config-if)#no shinside 上inside(con

4、fig)#int f0/1 inside(config-if)#ip add 10.1.1.1 255.255.255.0inside(config-if)#no sh inside(config-if)#int lo 0inside(config-if)#ip add 2.2.2.2 255.255.255.0测试直连路由是否可达isptfpmg 202. 100. 1. 1Type escape sequence to abortSending 5 100-byte 工CMP Echos tO .1111Suee&ss rate is 80 percent (0/5)? ispiping

5、61.128.1.1Type escape sequence to abort- Sendinf 5, 100-byte 工CMF Echos lo .! ! !Success rate is 60 percent (4/5), isptping 1374 78. 5.1Type escape sequence to abort.Sending 5, lOO-feiyte ICMP Echos t .I I I ISuccess rat a EC percent (4/5)202. 1。口,1. 1, t line out is 2 seGands:rouFidtrip itiin/ivg/m

6、aK = 32/53/80EL1Z21,L. time out is 2round-trip iniiVavg/max -second?:28/56/100 Kis137. TW, 5. 1, timeout is 2 seconds; round-trip min/ave/mas = 12/53/?2 jus标准文案inside#pinc 10. L 10Type escape sequence to abort.Sending 5S ICiO-byte ICMF Echos toSuccess rate is 1 DO percent (6/5)j in si defying 10. 1,

7、 1. 20Type escape sequence to abort.Sending 印 jOO-byte TCMP Kchos to i i i i iSuccess rate is 100 percent (5/5)jlCit L 1. IDj tijueout is 2 secands;round-trip iRin/avg/max = 20/46/88 ns1 Ci. L l之口, tieout is 2 seconds: ronnd-tuip min/avg;/naz = 28/58/120 ms实用文档2. Center中运行动态路由企业内部网络都会运行一种动态路由协议,保障内网

8、用户底层可达Active 上active(config)#router ospf 1active(config-router)#network 10.1.1.0 0.0.0.255area 0standby 上standby(config)#router ospf 1standby(config-router)#network10.1.1.00.0.0.255 area 0inside 上inside(config)#router ospf 1inside(config-router)#network 10.1.1.0 0.0.0.255area 0inside(config-router)#

9、network 2.2.2.0 0.0.0.255 a03 .建立vpn企业网络的边界路由一般使用缺省路由指向互联网首先解决路由问题Branch 上br ancrh (c onf ig) If ip route 0* 0, 0. 0 Ll. 0. (J. 0 2Q2* 1(i0, 1,10Active 上actiueCconfig)Sip route 0r 0.0. 0 0.0.0.0 Si. L28, L 10Standby 上standby(Gcnfroute 0.0. 0. 0 0. 0, 04 0 137. 78, 5*10测试连通性brane hip ing 51. 128. 1.

10、1Typ5 escape sequence to abortBendin; 5, LOO-tyte ICMP Echos to 61. 123. . Ij timeout is 2 seconds:Hl!Success rate is 100 p&reetit (5/5) rauni-trip min/avg/mait 二 4i1/71/108 加息 branchtfping 137. 78. 5. 1Type escape sequence to abgrt-3ending 5, LUU-byte ICO Echos to 137. T8, 5.1, timewt is 2 seconds:

11、HillSuccess rate if 100 p&rcent 5/5)3 round-trip min/avg/max = 52/33/140 ms然后定义第一阶段的协商策略和认证定义协商策略和认证:认证方式为预共享密钥;配置预共享的key , vpn两端必须一致;为了实现vpn链路的冗余备份,因此需要分支指向中心不同的边界网关,预共享 key可以相同,也可以不同Branch 上branch(config)#crypto isakmp policy 10 branch(config-isakmp)#authenticationpre-sharebranch(config)#crypto is

12、akmp key 0 ciscoaddress 61.128.1.1 branch(config)#crypto isakmp key 0 h3caddress 137.78.5.1定义协商策略和认证:认证方式为预共享密钥;配置预共享的key , vpn两端必须一致active 上active(config)#crypto isakmp policy 10active(config-isakmp)#authentication pre-shareactive(config)#crypto isakmp key 0 ciscoaddress 202.100.1.1standby 上standby

13、(config)#crypto isakmp policy 10standby(config-isakmp)#authenticationpre-sharestandby(config)#crypto isakmp key 0 h3caddress 202.100.1.1在 branch、active 和 standby 上开启 DPD开启dpd ,即死亡邻居检测。以周期性(每10秒)的发送keepalive报文探测vpn链路或者vpn设备是否工作正常,以实现一个快速的切换branch(config)#crypto isakmp keepalive 10 periodic active (co

14、nf ig)5crypto isikutp keepalivs 10 peiriodicstandby (canfig)#crypt o isaknip keepalive 10 periodic定义第二阶段的加密策略定义加密策略:配置感兴趣流,配置转换集( des加密,MD5认证,隧道模式)Branch 上branch(config)#ip access-list extended vpnbranch(config-ext-nacl)#permitip 1.1.1.00.0.0.255 2.2.2.0 0.0.0.255branch(config)#crypto ipsec transfor

15、m-set transesp-des esp-md5-hmacbranch(cfg-crypto-trans)#mode tunnelactive 上active(config)#ip access-list extended vpnactive(config-ext-nacl)#permitip 2.2.2.00.0.0.255 1.1.1.0 0.0.0.255active(config)#crypto ipsec transform-set transesp-des esp-md5-hmacactive(cfg-crypto-trans)#mode tunnelstandby 上standby(config)#ip access-list extended vpnstandby(config-ext-nacl)#permitip 2.2.2.00.0.0.255 1.1.1.0 0.0.0.255standby(config)#crypto ipsec transform-

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号