ipsec-vpn备份链路案例

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

MSR系列路由器总部双出口固定IP、分支动态地址IPSec备份关键字:IPSec,GRE,双线路备份,VPN。一、组网:二、客户需求:总部使用联通、电信双出口,分支单出口。要求总部和分支之间通过IPSec建立VPN,并进行相互备份。部分分支与总部联通线路相连,电信链路作为备份;另一部分与总部电信线路相连,联通线路作为备份。假设RTC是优选电信线路,RTD是优选联通线路。三、设计方案地址,路由设计:1.假设分支和总部合起来不超过126个,那么所有Loopback可以使用一个192.168.254.0的C类网段,如果超过,就使用192.168.254.0和192.168.253.0两个C网段。2.所有Loopback0对应联通线路,从192.168.254.1至192.168.254.126,如总部可以使用192.168.254.1,其余分支从2至126。3.所有Loopback1对应电信线路,从192.168.254.129至192.168.253.254,如总部可以使用192.168.254.129,其余分支从130至254。4.总部和各分支的Loopback0作为源、目的建立一条GRE隧道,tunnel编号从2至126,对应分支loopback0地址末端,便于记忆,该隧道只从联通线路建立。5.总部和各分支的Loopback1作为源、目的建立一条GRE隧道,tunnel编号从130至254,对应分支loopback1地址末端,便于记忆,该隧道只从电信线路建立。6.在GRE隧道上配置Keeplive,用于监测tunnel接口状态,使用Keeplive后就不需要使用NQA探测了。7.总部配置各Loopback0路由iprouting-table192.168.254.025联通出口。8.总部配置各Loopback1路由iprouting-table192.168.254.128.025电信出口。9.各分支建立两条GRE隧道,源分别是Loopback0、Loopback1,目的分别是总部的Loopback0和Loopback1,编号分别是tunnel2~126和tunnel130~254,tunnel接口编号和所使用源Loopback地址最后一段一致,便于记忆。10.分支由于是只有一条拨号线路,使用默认路由即可。11.总部将部分分支(优选联通线路)的VPN网段路由指向以Loopback0为源的GRE隧道,优先级默认60,指向以Loopback1为源的GRE隧道,优先级为80,作为备份。12.总部将部分分支(优选电信线路)的VPN网段路由指向以Loopback1为源的GRE隧道,优先级默认60,指向以Loopback0为源的GRE隧道,优先级为80,作为备份13.部分分支(优选联通线路)将总部VPN网段路由指向以Loopback0为源的GRE隧道,优先级默认60,指向以Loopback1为源的GRE隧道,优先级为80,作为备份。14.部分分支(优选电信线路)将总部VPN网段路由指向以Loopback1为源的GRE隧道,优先级默认60,指向以Loopback0为源的GRE隧道,优先级为80,作为备份。IPSec设计:1.由于分支端地址由拨号动态获取或存在NAT设备,所以使用野蛮模式IKE。2.总部配置1个ikepeerbranch即可,配置pre-shared-key、exchang-modeaggressive、nattraversal即可。3.分支需要配置2个ikepeer,ikepeerunicom和ikepeertelecom,除配置pre-shared-key、exchang-modeaggressive、nattraversal外,还需要配置remote-address。4.ikeproposal不需要配置,使用默认,配置ipsecproposaldef即可。5.分支配置两个ACL,aclnumber3000rulepermitgresource分支Loopback00destination总部Loopback0,aclnumber3001rulepermitgresource分支Loopback10destination总部Loopback16.总部配置IPSecpolicy-templatetemp1,指定ike-peerbranch,proposaldef即可,使用模板不需要配置acl。7.分支配置ipsecpolicyheadquarter1isakmp,绑定ike-peerunicom,proposaldef,securityacl3000。8.分支配置ipsecpolicyheadquarter2isakmp,绑定ike-peertelecom,proposaldef,securityacl3001。9.总部配置ipsecpolicybranch1isakmptemplatetemp。10.分支将ipsecpolicyheadquarter下发到外网接口。11.总部将ipsecpolicybranch分别下发到联通和电信接口即可。三、配置RTA配置#//为联通线路创建LoopBack0interfaceLoopBack0ipaddress192.168.254.1255.255.255.255#//为电信线路创建LoopBack1interfaceLoopBack1ipaddress192.168.254.129255.255.255.255#//创建LoopBack10模拟总部的内部网络interfaceLoopBack10ipaddress10.10.10.10255.255.255.255#//创建总部到分支RTC的联通GRE隧道interfaceTunnel2ipaddress7.1.1.2255.255.255.0source192.168.254.1destination192.168.254.2keepalive#//创建总部到分支RTD的联通GRE隧道interfaceTunnel3ipaddress12.1.1.2255.255.255.0source192.168.254.1destination192.168.254.3keepalive#//创建总部到分支RTC的电信GRE隧道interfaceTunnel130ipaddress8.1.1.2255.255.255.0source192.168.254.129destination192.168.254.130keepalive#//创建总部到分支RTD的电信GRE隧道interfaceTunnel131ipaddress13.1.1.2255.255.255.0source192.168.254.129destination192.168.254.131keepalive#//电信线路作为前往分支4.1.1.1主线路iproute-static4.1.1.0255.255.255.03.1.1.2//联通线路作为前往分支4.1.1.1的备份iproute-static4.1.1.0255.255.255.02.1.1.2preference80//电信线路作为前往分支5.1.1.1的备份iproute-static5.1.1.0255.255.255.03.1.1.2preference80//联通线路作为前往分支5.1.1.1的主线路iproute-static5.1.1.0255.255.255.02.1.1.2//配置电信的GRE隧道为总部到分支RTC的主线路iproute-static10.1.1.0255.255.255.0Tunnel130//配置联通的GRE隧道为总部到分支RTC的备份线路iproute-static10.1.1.0255.255.255.0Tunnel2preference80//配置电信的GRE隧道为总部到分支RTD的备份链路iproute-static11.1.1.0255.255.255.0Tunnel131preference80//配置联通的GRE隧道为总部到分支RTD的主链路iproute-static11.1.1.0255.255.255.0Tunnel3//通过联通线路到达每个分支的LoopBack0iproute-static192.168.254.0255.255.255.1282.1.1.2//通过电信通线路到达每个分支的LoopBack1iproute-static192.168.254.128255.255.255.1283.1.1.2#ikepeerbranch//由于分支端地址由拨号动态获取或存在NAT设备,所以使用野蛮模式IKEexchange-modeaggressivepre-shared-key123nattraversal#//安全提议采用默认的ipsecproposaldef#//总部使用模板,不用配置aclipsecpolicy-templatetemp1ike-peerbranchproposaldef#ipsecpolicybranch1isakmptemplatetemp#//联通接口interfaceEthernet0/0portlink-moderouteipaddress2.1.1.1255.255.255.0//在接口上下发安全策略ipsecpolicybranch#//电信接口interfaceEthernet0/1portlink-moderouteipaddress3.1.1.1255.255.255.0//在接口上下发安全策略ipsecpolicybranch#RTB配置//用RTB来模拟Internet#interfaceEthernet0/0portlink-moderouteipaddress3.1.1.2255.255.255.0#interfaceEthernet0/1portlink-moderouteipaddress2.1.1.2255.255.255.0#interfaceEthernet0/2portlink-moderouteipaddress4.1.1.2255.255.255.0#interfaceEthernet0/3portlink-moderouteipaddress5.1.1.2255.255.255.0#RTC配置#//为联通线路创建LoopBack0interfaceLoopBack0ipaddress192.168.254.2255.255.255.255#//为电信线路创建LoopBack1interfaceLoopBack1ipaddress192.168.254.130255.255.255.255#//创建联通线路的GRE隧道interfaceTunnel2ipaddress7.1.1.1255.255.255.0source192.168.254.2destination192.168.254.1keepalive#//创建电信线路的GRE隧道interfaceTunnel130ipaddress8.1.1.1255.255.255.0source192.168.254.130destination192.168.254.129keepalive#//配置一条默认路由来制定出口方向iproute-static0.0.0.00.0.0.04.1.1.2//配置联通的GRE隧道为分支访问总部的备份线路iproute-static10.10.10.10255.255.255.255Tunnel2preference80//配置电信的GRE隧道为分支访问总部的主线路iproute-static10.10.10.10255.255.255.255Tunnel130#//配置ACL3000匹配联通线路GRE流量aclnumber3000rule0permitgresource192.168.254.20destination192.168.254.10//配置ACL3001匹配电信线路

1 / 13
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功