ipsec-vpn高可用性链路冗余备份实例

. . . .

标题：ipsec vpn的高可用性 目的：实现vpn链路的冗余备份 拓扑：

步骤：

1. 按照拓扑给路由器的接口分配地址 Ip地址规划 Branch上

branch(config)#int f0/0 branch(config-if)#ip 255.255.255.0

branch(config-if)#no sh branch(config-if)#int lo 0

branch(config-if)#ip add 1.1.1.1 255.255.255.0 isp上

isp(config)#int f0/1 isp(config-if)#ip 255.255.255.0

. . . . .

add 202.100.1.1

add 202.100.1.10

. . . .

isp(config-if)#no sh isp(config-if)#int f0/0

isp(config-if)#ip add 61.128.1.10 255.255.255.0 isp(config-if)#no sh isp(config-if)#int f1/0

isp(config-if)#ip add 137.78.5.10 255.255.255.0 isp(config-if)#no sh active上

active(config)#int f0/1 active(config-if)#ip 255.255.255.0

active(config-if)#no sh active(config-if)#int f0/0 active(config-if)#ip 255.255.255.0

active(config-if)#no sh standby上

standby(config)#int f0/1 standby(config-if)#ip 255.255.255.0

standby(config-if)#no sh standby(config-if)#int f0/0

. . . . .

add 61.128.1.1

add 10.1.1.10

add 137.78.5.1

. . . .

standby(config-if)#ip 255.255.255.0

standby(config-if)#no sh inside上

inside(config)#int f0/1

add 10.1.1.20

inside(config-if)#ip add 10.1.1.1 255.255.255.0 inside(config-if)#no sh inside(config-if)#int lo 0

inside(config-if)#ip add 2.2.2.2 255.255.255.0 测试直连路由是否可达

2. Center中运行动态路由

. . . . .

. . . .

企业部网络都会运行一种动态路由协议，保障网用户底层可达

Active上

active(config)#router ospf 1 active(config-router)#network 0.0.0.255 area 0 standby上

standby(config)#router ospf 1 standby(config-router)#network 0.0.0.255 area 0 inside上

inside(config)#router ospf 1 inside(config-router)#network 0.0.0.255 area 0

inside(config-router)#network 2.2.2.0 0.0.0.255 a 0 3. 建立vpn

企业网络的边界路由一般使用缺省路由指向互联网

10.1.1.0

10.1.1.0

10.1.1.0

首先解决路由问题 Branch上

Active上

Standby上

. . . . .

. . . .

测试连通性

然后定义第一阶段的协商策略和认证

定义协商策略和认证：认证方式为预共享密钥；配置预共享的key，vpn两端必须一致；为了实现vpn链路的冗余备份，因此需要分支指向中心不同的边界网关，预共享key可以相同，也可以不同

Branch上

branch(config)#crypto isakmp policy 10

branch(config-isakmp)#authentication pre-share branch(config)#crypto isakmp key 0 cisco address 61.128.1.1

branch(config)#crypto isakmp key 0 h3c address 137.78.5.1

定义协商策略和认证：认证方式为预共享密钥；配置预共享的key，vpn两端必须一致

active上

active(config)#crypto isakmp policy 10

active(config-isakmp)#authentication pre-share active(config)#crypto isakmp key 0 cisco address 202.100.1.1 standby上

standby(config)#crypto isakmp policy 10

. . . . .