说明:由于有一些总公司对外有多条链路连接,因此用户都希望分公司能建立冗余***,保证总公司某一条对外线路断了以后,还能保证另外一条线路***接入进来。这里就是举例介绍分公司204如何建立冗余***网关。
实验拓扑图如下:
ISG1000配置
为了简化配置,这里只是介绍***的具体配置
1、 建立*** group
×××s > AutoKey Advanced > ××× Groups
××× Group ID中填写1,然后add
2、 建立cnc的ike gateway
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: cnc
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.1.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
3、 建立telcom的ike gateway
同样的操作
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: telcom
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.1.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
4、 建立cnc的ike ***
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-cnc
Security Level: custome
Remote Gateway: Predefined: ( 选择), cnc
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 1
(注:weight值越大,优先级越大)
5、 建立telcom的ike ***
同样的操作
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-tel
Security Level: custome
Remote Gateway: Predefined: ( 选择), telcom
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 2
6、 策略中引用*** group
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.3.0/24
Destination Address:
Address Book Entry: ( 选择), 192.168.2.0/24
Service: ANY
Action: Tunnel
×××: ××× Group-1
Modify matching bidirectional ××× policy: ( 选择)
Position at Top: ( 选择)
204防火墙配置
1、建立*** group
×××s > AutoKey Advanced > ××× Groups
××× Group ID中填写1,然后add
2、建立cnc的ike gateway
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: cnc
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.0.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
注意这里心跳设置,这里为了保证测试恢复比较明显,所以设置的值比较短,请根据实际需要设置,以免发生错误切换。
3、建立telcom的ike gateway
同样的操作
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: telcom
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 10.4.7.198
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
4、建立cnc的ike ***
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-cnc
Security Level: custome
Remote Gateway: Predefined: ( 选择), cnc
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 1
5、 建立telcom的ike ***
同样的操作
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-tel
Security Level: custome
Remote Gateway: Predefined: ( 选择), telcom
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 2
6、 策略中引用*** group
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.3.0/24
Destination Address:
Address Book Entry: ( 选择), 192.168.2.0/24
Service: ANY
Action: Tunnel
×××: ××× Group-1
Modify matching bidirectional ××× policy: ( 选择)
Position at Top: ( 选择)
检验
以上配置完成以后,分公司204就会有两条到总部isg1000的***网关,由于权重值不一样,所以首选电信为主。这样我们可以人为断开总部isg1000的电信线路,检查此时***连接 ,发现分公司防火墙由于检测到远端点电信实效,所以将策略引用的sa由原来的电信sa转换到网通sa,并重新协商建立cookies。
实验拓扑图如下:
ISG1000配置
为了简化配置,这里只是介绍***的具体配置
1、 建立*** group
×××s > AutoKey Advanced > ××× Groups
××× Group ID中填写1,然后add
2、 建立cnc的ike gateway
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: cnc
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.1.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
3、 建立telcom的ike gateway
同样的操作
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: telcom
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.1.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
4、 建立cnc的ike ***
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-cnc
Security Level: custome
Remote Gateway: Predefined: ( 选择), cnc
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 1
(注:weight值越大,优先级越大)
5、 建立telcom的ike ***
同样的操作
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-tel
Security Level: custome
Remote Gateway: Predefined: ( 选择), telcom
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 2
6、 策略中引用*** group
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.3.0/24
Destination Address:
Address Book Entry: ( 选择), 192.168.2.0/24
Service: ANY
Action: Tunnel
×××: ××× Group-1
Modify matching bidirectional ××× policy: ( 选择)
Position at Top: ( 选择)
204防火墙配置
1、建立*** group
×××s > AutoKey Advanced > ××× Groups
××× Group ID中填写1,然后add
2、建立cnc的ike gateway
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: cnc
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.0.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
注意这里心跳设置,这里为了保证测试恢复比较明显,所以设置的值比较短,请根据实际需要设置,以免发生错误切换。
3、建立telcom的ike gateway
同样的操作
×××s > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: telcom
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 10.4.7.198
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
4、建立cnc的ike ***
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-cnc
Security Level: custome
Remote Gateway: Predefined: ( 选择), cnc
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 1
5、 建立telcom的ike ***
同样的操作
×××s > AutoKey IKE > New: 输入以下内容,然后单击 OK:
××× Name: to-204-tel
Security Level: custome
Remote Gateway: Predefined: ( 选择), telcom
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
××× Group: ××× Group-1
Weight: 2
6、 策略中引用*** group
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.3.0/24
Destination Address:
Address Book Entry: ( 选择), 192.168.2.0/24
Service: ANY
Action: Tunnel
×××: ××× Group-1
Modify matching bidirectional ××× policy: ( 选择)
Position at Top: ( 选择)
检验
以上配置完成以后,分公司204就会有两条到总部isg1000的***网关,由于权重值不一样,所以首选电信为主。这样我们可以人为断开总部isg1000的电信线路,检查此时***连接 ,发现分公司防火墙由于检测到远端点电信实效,所以将策略引用的sa由原来的电信sa转换到网通sa,并重新协商建立cookies。
转载于:https://blog.51cto.com/dlnat/142587
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
