场景:某公司总部设在A市,分部设在B市,在分部设有OA服务器与邮件服务器;总部出口为电信100M光纤线路,总部使用NetScreen 防火墙与分部的思科PIX 515防火墙作IPSec ×××对接。
要求:新增一条网通DDN专线用来走OA数据业务,访问邮件服务器的数据走IPSec ×××,当两条链路其中一条出现故障中断时能做到链路自动切换。
那么如何实现链路自动切换呢?
分析:NetScreen支持策略路由,但不支持线路检测,思科支持策略路由且支持线路检测,思科路由器使用CISCO 2801路由器。
网络拓扑结构如图:
 

 

链路自动切换方案实施:
IP分配如下:
总部IP段为:10.98.1.0/24 网关:10.98.1.111/24
netscreen ssg-140 和透明接入,
思科R1路由器配置:
FastEthernet0/0 — 10.98.1.111/24
FastEthernet0/1 — 10.98.2.1/24 (电信线路)
Serial0/0 — 10.98.3.1/24 (联通线路)
思科PIX 515防火墙配置:
Ethernet1 (outside) — 10.98.2.2/24
Ethernet0 (inside) — 10.98.4.1/24
思科R2路由器配置:
FastEthernet0/0 — 10.98.4.2/24
FastEthernet0/1– 10.98.5.1/24
Serial0/0 — 10.98.3.2/24
下面只列出重点部分:
×××配置 思科路由器R1—-思科防火墙PIX515
思科路由器R1:
第一步:在思科路由器上定义NAT的内部接口和外部接口
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#int f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
第二步:定义需要被NAT的数据流(即除去通过×××传输的数据流)
R1(config)#access-list 101 deny ip 10.98.1.0 0.0.0.255 10.98.4.0 0.0.0.255
R1(config)#access-list 101 deny ip 10.98.1.0 0.0.0.255 10.98.5.0 0.0.0.255
R1(config)#access-list 101 permit ip any any
第三步:定义NAT。
R1(config)#ip nat inside source list 101 interface f0/1 overload
第四步:定义感兴趣数据流,即将来需要通过×××加密传输的数据流。
R1(config)#access-list 102 permit ip 10.98.1.0 0.0.0.255 10.98.4.0 0.0.0.255
R1(config)#access-list 102 permit ip 10.98.1.0 0.0.0.255 10.98.5.0 0.0.0.255
第五步:定义ISAKMP策略。
R1(config)#crypto isakmp enable
//启用ISAKMP
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
//认证方法使用预共享密钥
R1(config-isakmp)#encryption des
//加密方法使用des
R1(config-isakmp)#hash md5
//散列算法使用md5
R1(config-isakmp)#group 2
//DH模长度为1024
第六步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。
R1(config)#crypto isakmp identity address
R1(config)#crypto isakmp key cisco123456 address 10.98.2.2
第七步:设置ipsec转换集。
R1(config)#crypto ipsec transform-set my*** esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel
第八步:设置加密图。
R1(config)#crypto map my***map 10 ipsec-isakmp
R1(config-crypto-map)#match address 102
//加载感兴趣流
R1(config-crypto-map)#set peer 10.98.2.2
//设置对等体地址
R1(config-crypto-map)#set transform-set my***
//选择转换集
R1(config-crypto-map)#set pfs group2
//设置完美前向保密,DH模长度为1024
第九步:在外部接口上应用加密图。
R1(config)#int f0/1
R1(config-if)#crypto map my***map
思科防火墙PIX 515:
第一步:定义感兴趣数据流,即将来需要通过×××加密传输的数据流。
PIX(config)# access-list no-nat extended permit ip 10.98.5.0 255.255.255.0 10.98.1.0 255.255.255.0
PIX(config)# access-list no-nat extended permit ip 10.98.4.0 255.255.255.0 10.98.1.0 255.255.255.0
第二步:通过×××传输的数据包不需要做NAT,因此,将这些数据包定义到nat 0,nat 0不对数据包进行地址转换。nat0的处理始终在其他nat(例如nat1、nat2、nat3……)之前。
PIX(config)# nat (inside) 0 access-list no-nat
第三步:访问internet的数据流使用PAT出去。
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步:定义ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上启用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//认证方法使用预共享密钥
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模长度为1024
第五步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco123456 address 10.98.2.1
第六步:设置ipsec转换集。
PIX(config)# crypto ipsec transform-set my*** esp-des esp-md5-hmac
第七步:设置加密图。
PIX(config)# crypto map my***map 10 ipsec-isakmp
PIX(config)# crypto map cmy***map 10 match address no-nat
//加载感兴趣流
PIX(config)# crypto map my***map 10 set transform-set my***
//选择转换集
PIX(config)# crypto map my***map 10 set peer 10.98.2.1
//设置对等体地址
PIX(config)# crypto map my***map 10 set pfs group2
//设置完美前向保密,DH模长度为1024
第八步:在外部接口上应用加密图。
PIX(config)# crypto map my***map interface outside
第九步:指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec
接下是本部份重点,就是路由选择与链路检测配置:
R1:
ip access-list extended lan-erp
permit ip 10.98.1.0 0.0.0.255 host 10.98.5.53 (ERP IP)
ip access-list extended lan-mail
permit ip 10.98.1.0 0.0.0.255 host 10.98.5.50 (mail IP)
定义route-map 的感兴趣流
ip sla monitor 1
type echo protocol ipIcmpEcho 10.98.3.2
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 10.98.2.2
ip sla monitor schedule 2 life forever start-time now
track 123 rtr 1 reachability
track 124 rtr 2 reachability
启用思科SLA协议,动态检测链路。
route-map test permit 10
match ip address lan-erp
set ip next-hop verify-availability 10.98.3.2 1 track 123
set ip next-hop verify-availability 10.98.2.2 2 track 124
!
route-map test permit 20
match ip address lan-mail
set ip next-hop verify-availability 10.98.2.2 1 track 124
set ip next-hop verify-availability 10.98.3.2 2 track 123
启用routermap 对数据进行分流。
R2:
ip access-list extended erp-lan
permit ip host 10.98.5.53 10.98.1.0 0.0.0.255
ip access-list extended mail-lan
permit ip host 10.98.5.50 10.98.1.0 0.0.0.255
定义route-map 的感兴趣流
ip sla monitor 1
type echo protocol ipIcmpEcho 10.98.3.1
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 10.98.2.1
ip sla monitor schedule 2 life forever start-time now
track 123 rtr 1 reachability
track 124 rtr 2 reachability
启用思科SLA协议,动态检测链路。
route-map test permit 10
match ip address mail-erp
set ip next-hop verify-availability 10.98.3.1 1 track 123
set ip next-hop verify-availability 10.98.4.1 2 track 124
!
route-map test permit 20
match ip address erp-mail
set ip next-hop verify-availability 10.98.4.1 1 track 124
set ip next-hop verify-availability 10.98.3.1 2 track 123
定义route-map 的感兴趣流.
以上就是使用思科2801路由器实现双ISP接入链路自动切换的主要配置方案。