ipsecvpn高可用性鏈路冗余備份實例

1、標題：ipsec vpn的高可用性目的：實現(xiàn)vpn鏈路的冗余備份拓撲：步驟：按照拓撲給路由器的接口分配地址ip地址規(guī)劃Branch 上branch(config)*int fO/Obranch(config-if)*ip add 202.100.1.1 255.255.255.0branch(config-if)*no shbranch(config-if)*int Io 0branch(config-if)*ip add 1.1.1.1 255.255.255.0isp上isp(config)*int f0/1isp(config-if)*ip add 202.100.1.10 255.25

2、5.255.0isp(config-if)*no shisp(config-if)*int f0/0isp(config-if)*ip add 61.128.1.10 255.255.255.0isp(config-if)*no shisp(config-if)*int f1/0isp(config-i f)*ip add 137.78.5.10 255.255.255.0isp(config-if)*no shactive 上active(config)*int fO/1active(config-if)*ip add 61.128.1.1 255.255.255.0active(confi

3、g-if)*no shactive(config-if)*int f0/0active(config-if)*ip add 10.1.1.10 255.255.255.0active(config-if)*no shstandby 上standby(config)*int f0/1standby(config-if)*ip add 137.78.5.1 255.255.255.0standby(config-if)*no shstandby(config-if)*int f0/0standby(config-if)*ip add 10.1.1.20 255.255.255.0standby(c

4、onfig-if)*no shinside 上inside(config)*int f0/1inside(config-if)*ip add 10.1.1.1 255.255.255.0inside(config-if)*no shinside(config-if)*int Io 0inside(config-if)*ip add 2.2.2.2 255.255.255.0測試直連路由是否可達Center中運行動態(tài)路由企業(yè)部網(wǎng)絡都會運行一種動態(tài)路由協(xié)議，保障網(wǎng)用戶底層可達Active 上active(config)*router ospf 1active(config-router)*netw

5、ork 10.1.1.0 0.0.0.255 area 0 standby 上standby(config)*router ospf 1standby(config-router)*network 10.1.1.0 0.0.0.255 area 0 inside 上inside(config)*router ospf 1inside(config-router)*network 10.1.1.0 0.0.0.255 area 0inside(config-router)*network 2.2.2.0 0.0.0.255 a 0建立vpn企業(yè)網(wǎng)絡的邊界路由一般使用缺省路由指向互聯(lián)網(wǎng)首先解決路由

6、問題Branch 上Active 上Standby 上測試連通性然后定義第一階段的協(xié)商策略和認證定義協(xié)商策略和認證：認證方式為預共享密鑰；配置預共享的key，vpn兩端必須一致；為了實現(xiàn)vpn鏈路的冗余備份，因此需要分支指向中心不同的邊界網(wǎng)關，預共享key可以相同,也可以不同Branch 上branch(config-isakmp)*authentication pre-share branch(config)*crypto isakmp key 0 cisco address61.128.1.1branch(config)*crypto isakmp key 0 h3c address137

7、.78.5.1定義協(xié)商策略和認證：認證方式為預共享密鑰；配置預共享的key, vpn兩端必須一致active 上active(config)*crypto isakmp policy 10 active(config-isakmp)*authentication pre-share active(config)*crypto isakmp key 0 cisco address standby 上standby(config)*crypto isakmp policy 10 standby(config-isakmp)*authentication pre-share standby(conf

8、ig)*crypto isakmp key 0 h3c address202.100.1.1在 branch、 active 和 standby 上開啟 DPD開啟dpd,即死亡鄰居檢測。以周期性(每 10秒)的發(fā)送keepalive報文探測vpn 鏈路或者vpn設備是否工作正常，以實現(xiàn)一個快速的切換定義第二階段的加密策略定義加密策略：配置感興趣流，配置轉(zhuǎn)換集( des加密，MD5認證，隧道模式)Branch 上branch(config-ext-nacl)*permit ip 1.1.1.00.0.0.255222.0 0.0.0.255branch(config)*crypto ipsec

9、 transform-set trans esp-des esp-md5-hmacbranch(cfg-crypto-trans)*mode tunnelactive 上active(config)*ip access-list extended vpnactive(config-ext-nacl)*permit ip 2.2.2.00.0.0.2551.1.1.0 0.0.0.255active(config)*crypto ipsec transform-set trans esp-des esp-md5-hmacactive(cfg-crypto-trans)*mode tunnelst

10、andby 上standby(config)*ip access-list extended vpnstandby(config-ext-nacl)*permit ip 2.2.2.0 0.0.0.2551.1.1.0 0.0.0.255standby(config)*crypto ipsec transform-set trans esp-des esp-md5-hmacstandby(cfg-crypto-trans)*mode tunnel定義加密圖定義加密圖：匹配感興趣流，轉(zhuǎn)換集，配置peer (為實現(xiàn)冗余備份，分支需要與中心的多個邊界建立vpn，先匹配的先建立 vpn，然后依次建立【

11、default:不加時，當活動鏈路 down掉后，從首到尾依次檢查；加上時，以“圓”的形式檢查)Branch 上RRIbranch(config)*crypto map cisco 10 ipsec-isakmp branch(config-crypto-map)*match address vpn branch(config-crypto-map)*set transform-set trans branch(config-crypto-map)*set peer 61.128.1.1 default branch(config-crypto-map)*set peer 137.78.5.1

12、定義加密圖：匹配感興趣流，轉(zhuǎn)換集，配置peer,啟用反向路由注入，并給動態(tài)產(chǎn)生的路由打上tag 10,解決鏈路備份的回包問題。active 上active(config)*crypto map cisco 10 ipsec-isakmp active(config-crypto-map)*match address vpn active(config-crypto-map)*set transform-set trans active(config-crypto-map)*set peer 202.100.1.1 active(config-crypto-map)*reverse-route

13、active(config-crypto-map)*set reverse-route tag 10 standby 上standby(config)*crypto map cisco 10 ipsec-isakmp standby(config-crypto-map)*match address vpn standby(config-crypto-map)*set transform-set trans standby(config-crypto-map)*set peer 202.100.1.1 standby(config-crypto-map)*reverse-route standb

14、y(config-crypto-map)*set reverse-route tag 10接口調(diào)用接口調(diào)用加密圖，當網(wǎng)的通信點與 vpn對端的通信點進行通信，會觸發(fā)連接 in ternet的 接口(加密點)，對數(shù)據(jù)加密，以保障數(shù)據(jù)在 in ternet網(wǎng)絡中傳輸時的安全， vpn對端接 口則會解密、驗證，如果認證通過，數(shù)據(jù)傳輸；不通過，直接丟棄Branch 上branch(config)*int fO/Obranch(config-if)*crypto map ciscoactive 上active(config)*int f0/1active(config-if)*crypto map ci

15、scostandby 上standby(config)*int f0/1standby(config-if)*crypto map cisco在 active 和 standby 上配置 route-map利用route-map來匹配上tag 10的路由active(config)*route-map s2o permit 10active(config-route-map)*match tag 10standby(config)*route-map s2o permit 10standby(config-route-map)*match tag 10在 active 和 standby 上將

16、 route-map 在 OSPF告將route-map重發(fā)布進ospf,通告所有網(wǎng)用戶active(config)*router ospf 1active(config-router)*redistribute static route-map s2osubnetsstandby(config)*router ospf 1 standby(config-router)*redistribute static route-map s2o subnets4.測試鏈路是否建立成功首先在active上查看加解密包的個數(shù)再查看靜態(tài)路由RRI,反向路由注入，即指那一臺路由器上有ipsec sa,做了啟用

17、的反向路由注入, 就會在本地路由器上自動產(chǎn)生一條目標是對端通信點，下一跳為對端加密點的 靜態(tài)路由。只有有ipsec sa才會產(chǎn)生，因為沒有觸發(fā)，所以沒有加解密的包和產(chǎn) 生路由在 branch上發(fā)起 ping 命令發(fā)起ping命名，觸發(fā)vpn策略在active上查看加解密包的個數(shù)和靜態(tài)路由加解密包產(chǎn)生，觸發(fā)了 ipsec sa，產(chǎn)生靜態(tài)路由在inside上查看路由部網(wǎng)絡收到靜態(tài)路由，且下一跳為10.1.1.10，即說明分支與中心的 active建立vpn在standby上查看加解密包的個數(shù)和靜態(tài)路由Standby設備上沒有加解密的包和產(chǎn)生路由，也 說明分支與中心的 active建立vpn再在 branch上發(fā)起 ping命令在 isp 上將 f0/0 接口 shutdownisp(config)*int f0/0isp(