. . . .
标题:ipsec vpn的高可用性 目的:实现vpn链路的冗余备份 拓扑:
步骤:
1. 按照拓扑给路由器的接口分配地址 Ip地址规划 Branch上
branch(config)#int f0/0 branch(config-if)#ip 255.255.255.0
branch(config-if)#no sh branch(config-if)#int lo 0
branch(config-if)#ip add 1.1.1.1 255.255.255.0 isp上
isp(config)#int f0/1 isp(config-if)#ip 255.255.255.0
. . . . .
add 202.100.1.1
add 202.100.1.10
. . . .
isp(config-if)#no sh isp(config-if)#int f0/0
isp(config-if)#ip add 61.128.1.10 255.255.255.0 isp(config-if)#no sh isp(config-if)#int f1/0
isp(config-if)#ip add 137.78.5.10 255.255.255.0 isp(config-if)#no sh active上
active(config)#int f0/1 active(config-if)#ip 255.255.255.0
active(config-if)#no sh active(config-if)#int f0/0 active(config-if)#ip 255.255.255.0
active(config-if)#no sh standby上
standby(config)#int f0/1 standby(config-if)#ip 255.255.255.0
standby(config-if)#no sh standby(config-if)#int f0/0
. . . . .
add 61.128.1.1
add 10.1.1.10
add 137.78.5.1
. . . .
standby(config-if)#ip 255.255.255.0
standby(config-if)#no sh inside上
inside(config)#int f0/1
add 10.1.1.20
inside(config-if)#ip add 10.1.1.1 255.255.255.0 inside(config-if)#no sh inside(config-if)#int lo 0
inside(config-if)#ip add 2.2.2.2 255.255.255.0 测试直连路由是否可达
2. Center中运行动态路由
. . . . .
. . . .
企业部网络都会运行一种动态路由协议,保障网用户底层可达
Active上
active(config)#router ospf 1 active(config-router)#network 0.0.0.255 area 0 standby上
standby(config)#router ospf 1 standby(config-router)#network 0.0.0.255 area 0 inside上
inside(config)#router ospf 1 inside(config-router)#network 0.0.0.255 area 0
inside(config-router)#network 2.2.2.0 0.0.0.255 a 0 3. 建立vpn
企业网络的边界路由一般使用缺省路由指向互联网
10.1.1.0
10.1.1.0
10.1.1.0
首先解决路由问题 Branch上
Active上
Standby上
. . . . .
. . . .
测试连通性
然后定义第一阶段的协商策略和认证
定义协商策略和认证:认证方式为预共享密钥;配置预共享的key,vpn两端必须一致;为了实现vpn链路的冗余备份,因此需要分支指向中心不同的边界网关,预共享key可以相同,也可以不同
Branch上
branch(config)#crypto isakmp policy 10
branch(config-isakmp)#authentication pre-share branch(config)#crypto isakmp key 0 cisco address 61.128.1.1
branch(config)#crypto isakmp key 0 h3c address 137.78.5.1
定义协商策略和认证:认证方式为预共享密钥;配置预共享的key,vpn两端必须一致
active上
active(config)#crypto isakmp policy 10
active(config-isakmp)#authentication pre-share active(config)#crypto isakmp key 0 cisco address 202.100.1.1 standby上
standby(config)#crypto isakmp policy 10
. . . . .
ipsec-vpn高可用性链路冗余备份实例
