R-A为分公司的网关,R-B为总公司的网关,分公司采用两条出口链路做为互为备份或负载分担使用。通过公网Internet,与总部建立通信。希望对分公司子网与总部子网之间相互访问的流量进行安全保护;并在出口其中一条链路故障时,可以进行主备份切换,且安全保护不中断。为实现IPSec SA的平滑切换,希望分公司网关的两条出口链路与总部网关只协商一个共享的IPSec SA。
【思路分析】
由于分公司网关有两条链路连接到internet ,为了使这两条链路与总部网关只协商生成一个IPSec,所以不能利用分公司网关的两个公网接口分别与总部网关配置对等体,而需要使用一个LoopBack接口与总公司网关建立IPsec隧道,从而只协商一个共享的IPSec SA。
【配置步骤】
一、配置各个网关内外接口IP地址及分公司与总公司公、私网的的静态路由。
【R-A】
[Huawei]sysname R-A
[R-A-GigabitEthernet0/0/1]ip address 70.1.1.1 24
[R-A-GigabitEthernet0/0/2]ip address 80.1.1.1 24
[R-A-GigabitEthernet0/0/0]ip address 10.1.1.1 24
[R-A-LoopBack0]ip address 1.1.1.1 32
[R-A]ip route-static 10.1.2.0 24 70.1.1.2 preference 10//配置0/0/1口到总公司静态路由优先级为10
[R-A]ip route-static 10.1.2.0 24 80.1.1.2 preference 20//配置0/0/2口到总公司静态路由优先级为20
[R-A]ip route-static 60.1.1.0 24 70.1.1.2 preference 10//配置静态路由优先级不同是为实现主备
[R-A]ip route-static 60.1.1.0 24 80.1.1.2 preference 20
【R-B】
[Huawei]sysname R-B
[R-B-GigabitEthernet0/0/1]ip address 60.1.1.1 24
[R-B-GigabitEthernet0/0/0]ip address 10.1.2.1 24
[R-B]ip route-static 1.1.1.1 32 60.1.1.2//配置到达loopback0口的静态路由