本文作者向大家詳細講述了一個項目中如何去配置雙ISP接入，并且使鏈路自動切換。文章主要講述了VPN的配置，設置ipsec轉換集等技術問題。

最近接到的一個項目，客戶總部在惠州，分部在香港，在香港分部設有ERP服務器與郵件服務器，總部出口為鐵通10M光纖與網通1M DDN 專線(新增)，原總部是用netscreen 防火墻與香港的pix 515作IPsec VPN對接，現客戶要求是新增一條網通DDN專線用來專跑ERP數據業務，就是要求平時總部去分部訪問ERP服務器的數據走DDN專線，訪問郵件服務器的數據走ipsecVPN,但當這兩條鏈路其中有出現故障中斷時，能做到鏈路自動切換，例DDN專線出現故障，原走這條線路的ERP數據能自動切換到ipsec VPN線路去，如果線路恢復線路又自動切換。

對netscreen 作了研究它是支持策略路由，但好像不支持線路檢測(如知道者請提供資料，學習一下)。

為滿足客戶要求，我推薦用思科1841路由器，思科支持策略路由與線路檢測，一直有看過相應的文檔，但沒實施過，呵呵，終于有機會了。

解方案如下圖：

IP分配如下：

總部IP段為：192.168.1.0/24 網關：192.168.1.111/24

netscreen ssg-140 和透明接入，

R1配置：

FastEthernet0/0 -- 192.168.1.111/24

FastEthernet0/1 -- 192.168.2.1/24 (鐵通線路 IP 有改^_^)

Serial0/0 --- 192.168.3.1/24 (網通線路)

PIX 515配置：

Ethernet1 (outside) -- 192.168.2.2/24

Ethernet0 (inside) -- 192.168.4.1/24

R2配置：

FastEthernet0/0 -- 192.168.4.2/24

FastEthernet0/1-- 192.168.5.1/24

Serial0/0 -- 192.168.3.2/24

下面只列出重點部分：

VPN配置R1----PIX515

R1:#p#

第一步：在路由器上定義NAT的內部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#int f0/1

R1(config-if)#ip nat outside

R1(config-if)#exit

第二步：定義需要被NAT的數據流(即除去通過VPN傳輸的數據流)

R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

R1(config)#access-list 101 permit ip any any

第三步：定義NAT。

R1(config)#ip nat inside source list 101 interface f0/1 overload

第四步：定義感興趣數據流，即將來需要通過VPN加密傳輸的數據流。

R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

第五步：定義ISAKMP策略。

R1(config)#crypto isakmp enable

//啟用ISAKMP

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share

//認證方法使用預共享密鑰

R1(config-isakmp)#encryption des

//加密方法使用des

R1(config-isakmp)#hash md5

//散列算法使用md5

R1(config-isakmp)#group 2

//DH模長度為1024

第六步：將ISAKMP預共享密鑰和對等體關聯，預共享密鑰為“cisco123456”。

R1(config)#crypto isakmp identity address

R1(config)#crypto isakmp key cisco123456 address 192.168.2.2

第七步：設置ipsec轉換集。

R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac

R1(cfg-crypto-trans)#mode tunnel

第八步：設置加密圖。

R1(config)#crypto map myvpnmap 10 ipsec-isakmp

R1(config-crypto-map)#match address 102

//加載感興趣流

R1(config-crypto-map)#set peer 192.168.2.2

//設置對等體地址

R1(config-crypto-map)#set transform-set myvpn

//選擇轉換集

R1(config-crypto-map)#set pfs group2

//設置完美前向保密，DH模長度為1024

第九步：在外部接口上應用加密圖。

R1(config)#int f0/1

R1(config-if)#crypto map myvpnmap

 

【編輯推薦】

1. 常用思科路由器密碼恢復經典案例
2. 思科路由器口令恢復辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進程