远程容灾方案制定详解.doc

远程容灾方案制定详解关键字：存储、远程、备份、容灾、NAS目前，就很多企业来说，需要其监管系统有两个位于不同地理位置、一年365天连续运行的数据中心。其中一个数据中心为主数据中心，用于日常操作，另一个放在异地，作为灾难备份数据中心，用于灾难后的数据恢复。灾难备份数据中心要保持与主数据中心运行系统完全同步，以支持灾难后的数据恢复。远程容灾备份计划就是在这样的环境下被提出的。远程备份远程备份就是为数据实时生成一份可用的副本，此副本的使用不需要做数据恢复，可以将副本立即投入使用。远程备份的数据复制目前有如下实现方式：1. 基于主机。基于主机的数据复制技术，可以不考虑存储系统的同构问题，只要保持主机是相同的操作系统即可，而目前也存在支持异构主机之间的数据复制软件，如自由遁 NAS 的DiskSafe Express就可以支持远程服务器之间的数据复制，可以支持跨越广域网的远程实时复制。2. 基于存储系统。利用存储系统提供数据复制，复制的数据在存储系统之间传递，和主机无关。这种方式的优势是数据复制不占用主机资源，不足之处是需要灾备中心的存储系统和生产中心的存储系统有严格的兼容性要求，一般需要来自同一个厂家的存储系统，这样对用户的灾备中心的存储系统的选型带来了限制。3. 基于光纤交换机。这项技术正在发展中，利用光纤交换机的新功能，或者利用管理软件控制光纤交换机，对存储系统进行虚拟化，然后管理软件对管理的虚拟存储池进行卷管理、卷复制、卷镜像等技术，来实现数据的远程复制。比较典型的有Storag-age,Falcon等。4. 基于应用的数据复制。这项技术有一定局限性，都是针对具体的应用。主要利用数据库自身提供的复制模块来完成，比如OracleDataGuard，SybaseReplication 等。容灾备份解决方案的分析在推行信息化系统应用的过程中，企业经历过人为（如员工恶意的删除公司关键资料）和非人为（如应用软件错误，误杀用户电脑的资料）的数据丢失，已深深体会到信息化系统的可用性对企业业务的重要性。在保证到本地机房的高可用性之外，企业还认识到：对于意外引起的包括自然灾害（如地震）、设备损毁等灾难性事件，仍然需要有相应的保护措施，以保障业务系统的连续运行，从而获得良好的企业形象，保证企业的经济收益。事实上，对灾难进行预防建设是信息部门危机管理的一部分。据一项美国的研究报告显示，在灾害之后，如果无法在14 天内恢复资讯作业，有75%的公司业务会完全停顿，43%再也无法重新开业，因而有20%的企业在两年之内被迫宣告破产。另一方面，对于灾害所造成的冲击分析显示，各行业最长可忍受的信息系统停机时间分别为：金融业 2天;销售业 3.3天;制造业 4.9 天;保险业 5.6天。平均来看，一般行业可忍受的信息系统停机时间为4.8天(资料来源：美国明尼苏达大学)。从数据上显示，企业对于信息技术的依赖程度之高，已经难以承受信息系统因为各种原因而停止服务所造成的惨重损失。同时，灾难备份的实现并非单纯的技术问题，其所涉及的将是整个企业体系可能遭遇的问题，因而大多数的企业都意识到灾难备份计划对企业数据系统的重要性。容灾备份解决方案的选择灾难备份的解决方案要求有周详的事前准备，尤其是需要分析灾难对业务的冲击程度并相应制定灾难后的恢复策略，同时配合目前最新最强的信息技术，提出最佳的数据容灾方案。在容灾备份方案建立以后，还必须在事前反复测试，并根据测试情况，随时调整、加以改进，完整的容灾备份解决方案才得以建立。据国际标准SHARE 78 的定义，容灾备份解决方案可根据以下列出的主要考虑方面，制定相应的容灾备份解决方案。企业系统可根据企业自身数据的重要性以及需要恢复的速度和程度，来设计、选择并实现容灾备份计划。容灾备份解决方案主要考虑的方面：l备份/恢复的范围l容灾备份计划的状态l生产中心与备份中心之间的距离l生产中心与备份中心之间是相互连接的情况l企业数据在两个存储中心之间传送的情况l允许企业数据丢失的程度l更新的数据在备份中心被更新的情况l备份中心备份工作的能力容灾备份解决方案根据以上容灾备份解决方案需要考虑的一系列问题，智慧星科技有限公司设计了一套结合服务器与网络附加存储（NAS）的标准远程容灾备份解决方案。标准容灾备份方案拓扑结构图上图是一个具体而简单的拓扑结构图，根据上图，企业只需在总部按需设置一个或多个固定IP（对于IT预算充裕的企业也可考虑用的形式），依照企业具体网络情况布置一台或多台NAS作为本地的备份设备，在异地布置用于备份的NAS设备，作为企业数据远程备份设备。（知识键接：NAS英文全称为Network Attached Storage，可译为网络附加存储，是一种专用网络数据存储/备份设备。NAS以数据为中心，将存储设备与服务器彻底分离，集中管理数据，而且NAS自带有CPU、主板、内存及相应的备份软件，可自如应对数据传输工作，无需人工操作，从而释放带宽、提高性能、降低总拥有成本、保护投资。NAS的制造与设计完全是按照工业计算机的相关标准进行设计与制造的，因此这种设备在安全性、稳定性、可靠性等方面相对于其他专业设备如服务器、磁盘阵柜等均有一定的优势。NAS能否胜任远程备份工作取决于它自带的软件，当前在国内可用于远程备份的NAS品牌主要有来自加拿大的自由遁，美国的等品牌产品。）通过上述方式，相对于以往的结构模式可为企业带来如下益处：1. 数据容灾与灾后数据重建。企业本地服务器轻松实现对企业各部门的数据实时同步备份，对于确保各部门的数据安全构建了一面坚盾，确保在各部门数据遭到意外导致数据损毁的灾难状况下，也不会造成数据丢失，最大限度的减少数据丢失对各部门正常运营的影响，同时由于部分品牌的NAS（如自由遁）支持远程数据还原，大大方便了企业数据的快速恢复，从而确保企业数据快速灾后重建，确保企业业务的正常运营；2. 内部数据防泄与远程数据监控。利用NAS内置的账户管理模式，给相应的员工设置适当的操作权限（防内部数据泄密），企业高层人员通过调阅NAS内部的数据亦可实现足不出户便能对企业各部门的运营数据“了如指掌”，达到实时监控各部门业务状况，对于制定后期各部门的经营策略提供精确的参考数据；3. 组织架构的精简与削减I T人员投入方面的支出。由于NAS易用性高，对于知识了解不多的用户，通过简单的了解即可轻松操作。同时由于NAS自带的软件高度智能化，不需要人工操作便能自如应付数据备份的工作，这些对于解决企业以往在数据管理及管理方面人员投入的精简也大有益处；4. 优化企业内部的服务器及网络系统。由于NAS对网络的影响极低，同时，使用NAS接管企业数据存储的任务，有效减轻相关服务器的负担，从而提升企业整个信息系统的效率及稳定性。综合评价作为专门为中小型企业量身订做的远程数据容灾应用方案，其在价格及便利操作上的优势对中小型企业而言显得非常难能可贵。在对现有的网络架构及投入不作大改变的前提下，只需要设置一定的固定，配置相应数量的NAS，即可在本区域范围内任何能上网的地方实现远程备份，架构出性能强大且安全实用的数据容灾备份系统。跨区域应用（网络附加存储设备）在跨区域企业中的数据存储备份及监控应用信息化建设在各企业间的成功实施为企业打破区域限制提供强劲的“动力剂”，技术也在跨区域经营的企业内部不断得到大量的应用，至于应用在加强数据安全及管理工作的范畴，当前国内企业的IT经理们通常会在工作时间之后本地化备份数据库、文件或者是数据设置，并且通过可移动式媒体（例如磁带或是光盘）或邮件等方式来把复制的备份件集中传送存储到企业内部的数据中心。这种数据存储与备分的工作极度依赖人力完成，导致数据保护的工作程序及时间拉长，让重要的数据在未完成整个备份流程之前并没有得到保护；当遇到数据丢失时减慢了数据恢复时间（磁带必须物理地从一个远程地点带到另一个远程地点）；增加了磁带媒体被破坏的风险性以至于无法恢复数据，并最终会因为具体备份数据质量的不可靠性破坏率可达百分之六十，而导致不一致的数据恢复。近几年随着国内网络速度及稳定性的不断提升，针对跨区域企业存在的数据安全及管理存在的问题，今天我们在数据保护的重要方式的数据备份有了新的选择远程异地数据同步备份。数据集中管理的存储模式网络的飞速发展，令中小型企业也充分享受到了高速网路带来的便利，在数据传输和信息共享上带来的帮助也让其自身价值得到足够的提升，同时也增加的跨区域企业的总部对于分布在各区域的分支机构的控制和管理的便利。可以说，现在所有的企业几乎都离不开网络。可能说不上企业围绕网络来开展业务，但网络绝对是企业的最佳的辅助工具。远程数据备份技术正是基于网络自身的迅猛发展势头和企业对于网络的依赖而倍受“青睐”。中小企对网络高度的应用早已符合远程备份需要网络连接的硬指标，部分存储厂商也顺应网络的高度发展开发出相关网络存储设备，部分存储设备厂商更是开发出集成软件的相关产品，如加拿大著名存储厂商自由遁已成功开发出专门为中小企业在构建异地远程数据备份的网络附加存储设备（NAS）,这种设备的推出使中小型企业无须对现有应用网络作出大的调整及投入，便可轻松实现远程数据备份，构建自已的数据容灾系统。通过这种方式把数据备份到一个基于每天同步备份的、更安全的、中央集中式的地点，为多区域性分布的远程服务器、手提电脑或是工作站提供更有效、可靠及高度智能化、自动化的数据保护服务。远程数据备份能够为顾客提供每天的完整的备份安全，比起传统的本地增量式备份，远程数据备份对目标服务器和网络造成的影响会更低。下面我们就详细讲述这套应用方案的具体构建方法：远程异地备份方案的适用用户群：已具备一定的应用，对于数据管理及安全方面存在以下问题：实时动态数据管理工作琐碎，数据监控困难，数据管理工作严重依靠人力来完成，以致数据安全方面存在较多的隐患，同时对于中高端设备的投入方面又受制于预算的相关跨区域经营的中小型企业。应用方案的网络结构图：数据容灾系统之远程备份的实现方法：上图是一个具体而简单的拓扑结构图，根据上图，相关的企业只需在总部按需设置一个或多个固定，布置一台或多台NAS（知识简释：NAS英文全称为Network Attached Storage，可译为网络附加存储，是一种专用网络数据存储备份设备。它以数据为中心，将存储设备与服务器彻底分离，集中管理数据，从而释放带宽、提高性能、降低总拥有成本、保护投资。NAS的制造与设计完全是按照工业计算机的相关标准进行设计与制造的，因此这种设备在安全性、稳定性、可靠性等方面相对于其他专业设备如服务器、磁盘阵柜等均有一定的优势。NAS能否胜任远程备份工作取决于它自带的软件，当前在国内可用于远程备份的NAS品牌主要有来自加拿大的自由遁，美国的等品牌）具体数量根据分店数量及实际业务数据量而定，如果数据量不太大可考虑以一台NAS为两个分支作远程数据备份，具体实现方法如下：将各分部的本地数据集中存储到本地服务器，然后在分部通过NAS的管理软件设定好定时备份功能，通过网络对异地各分部进行数据同步备份，由于NAS自带有CPU、主板、内存及相应的备份软件，可自如应对数据传输工作，无需人工操作，对两地服务器资源占用几乎可以忽视。通过上述方式，相对于以往的结构模式可为企业带来如下益处：、数据容灾与灾后数据重建：总部轻松实现对各分部的数据实时同步备份，对于确保各分部的数据安全构建了一面坚盾，确保在分部数据遭到意外导致数据损毁的灾难状况下，也不会造成数据丢失，导致分部正常运营受到重大影响，同时由于部分品牌的NAS支持远程数据还原，大大方便了数据快速恢复，从而确保数据快速灾后重建，确保业务的正常运营；、内部数据防泄与远程数据监控：利用NAS内置的账户管理模式，给适当人的员设置适当的操作权限（防内部数据泄密），企业高层人员通过调阅NAS内部的数据亦可实现足不出户便能对各分部的运营数据“了如指掌”达到实时监控各部业务状况，对于制定后期各分部的经营策略提供精确数据；、组织架构的精简与削减人员投入方面的支出：由于NAS易用性高，对于知识了解不的多用户通过简单的了解即可轻松操作，同时由于NAS自带的软件高度智能化不需要人工操作便能自如应付数据备份的工作，这些对于解决企业以往在数据管理及管理方面的人员投入的精简也大有益处。作为专门为中小企业量身订做数据容灾应用方案，其在价格于便利操作上的优势对中小型企业而言显得非常难能可贵。只需要一定的固定配置相对数量的NAS，即可在本区域范围内任何能上网的地方实现远程备份，架构出性能强大且安全实用的数据容灾备份系统。一、 Disk safe express简介DiskSafe Express是用于中高端NAS自由遁的专业备份软件，安装在客户端以后，DiskSafe Express 可对本机硬盘或分区进行备份，并将备份数据存储在自由遁，有效保护采用 Windows 操作系统的桌上型和笔记本电脑。为了确保拥有最新的本机硬盘备份数据，DiskSafe Express 会自动定期进行备份。此备份间隔时间可依据喜好自订，每天一次或每周一次 (亦可关闭自动备份功能，在选定的时间手动备份)。若存储系统内的备份数据数量达到上限，DiskSafe Express 在进行新的备份作业时会删除最先存储的备份数据。为了确保宝贵的存储空间不会被重复的数据占满，DiskSafe Express 在进行每项后续备份作业时，只复制上次备份后变更的数据。此功能亦可将对网络的冲击降至最低。透过存储系统上的独特技术，每次备份都提供完整的实时备份 (Point-In-Time Image) 数据，您可以检视或复原在特定日期及时间点备份的完整硬盘或分区。您可以轻松快速地从自由遁复原数据。需要复原档案或文件夹时，只要存取所需备份，并将数据复制回来即可。如果要复原整个数据硬盘或分区(亦即不含任何操作系统执行文件的硬盘或分区)，亦可利用DiskSafe Express完成复原。如果要复原整个系统硬盘，亦可使用复原CD进行。(如果计算机不支持复原CD，但却支持PXE通讯协议的话，也可利用存储系统的备份执行远程开机来复原系统硬盘。进行硬盘复原时，若硬盘包含的数据与之前备份时包含的数据相同，即无需重新安装或设定操作系统或应用程序。DiskSafe Express和自由遁的结合，可实现简单有效的备份管理，可将因灾难发生的业务终端减少到最小的程度，并能保证备份的进行不会影响企业其他业务的开展。二、简易操作DiskSafe Express可提供简单便捷的备份管理，用户可通过对备份软件的简单设置，便能实现自动备份和手动备份。1.备份设置通过对DiskSafe Express的第一次设置后，就可以轻松实现自动备份，全面地保护数据。自动备份设置三步走：l选择要备份的盘或分区l选择自由遁放置备份数据的盘区l设定自动备份的时间和频率。简易手动备份用户也可以使用DiskSafe Express 随时进行手动备份，例如，在安装新的应用程序前，可能需要先将硬盘备份；万一在安装过程中发生问题，才能利用备份硬盘将毁损的硬盘恢复至安装前的状态。2.数据复原DiskSafe Express 可以结合自由遁NAS提供多种数据复原方法，用户可依据需求及计算机容量采取最适合的方法：复原特定档案或文件夹如果不慎永久删除某个档案或文件夹，或因其他意外造成文件遗失，用户想要再找回该档案或文件夹，或者想要从变更前的档案撷取某些信息，便可用DiskSafe Express存取自由遁中包含相关数据的备份，并将其复制到本机硬盘。复原整个数据硬盘或分区当本机硬盘损毁或数据严重损坏的情形，可用DiskSafe Express将整组硬盘或分区恢复至建立备份时的状态。复原整个系统硬盘或分区可使用复原光盘来恢复系统硬盘或分区 (也就是执行操作系统的硬盘或分区)。如果硬盘因损毁而需要修复或更换，或需要将现有硬盘的备份复制到另一台计算机时，复原光盘可将整组硬盘或分区恢复至建立备份时的状态。利用远程开机恢复系统硬盘当某一客户端发生故障或灾难时，可利用另一客户端通过DiskSafe Express和自由遁实现远程开机恢复受损客户端的系统数据，从而实现故障客户端的系统恢复，操作快捷简易，减少了业务等待时间。3.密码保护用户可通过DiskSafe Express设置备份密码和远程恢复、复原光盘恢复的密码来保护本机数据，防止重要资料的泄漏。同时，管理员对用户的密码拥有控制权。DDN互联，VPN做备份方案总结网络拓扑客户需求：具体网络拓扑如上，客户要求两地通过DDN专线互联并且深圳端上网在DDN正常的情况下，深圳所有出Internet流量必须通过北京端SV2000认证，在DDN断掉的时候通过两条ADSL实现VPN备份接替DDN的业务，而当DDN线路恢复正常时VPN需要处于备份状态，完全由DDN来传输数据。（其中，北京端ADSL为固定IP，使用VPN时深圳端直接从ADSL出口，无需从北京认证出口。）一、以下是DDN配置北京端DDN配置：interface Serial0/2/0（串口配置）description lianjie shengzheng wanip address interface FastEthernet0/0description lianjie beijin lanip address 53 ip nat insideip virtual-reassemblyduplex autospeed autoip route 60 track 1ip route ?xml:namespace prefix = st1 ns = urn:schemas-microsoft-com:office:smarttags / 54 60 track 1深圳只有一个网段为：所有到达此网段的路由走其它所有流量均来自深圳端网络，那么要经过认证以及深圳端与北京端网络的路由（、均在SV2000上划分并路由），所有流量均转发到SV2000上面（SV2000上面已经做好路由，所有到达网段全部转发到53）。深圳端DDN配置：interface Serial0/2/0description shengzheng wanip address interface FastEthernet0/0description shengzheng lanip address 53 ip nat insideip virtual-reassemblyduplex autospeed autoip route 60 track 1以上就是整个DDN互联的配置，在调试过程中遇到一个小小的问题，开始把IP以及路由配置上去之后，测试发现两端不通，查看接口已经UP了，但是协议一直是DOWN的，查看两端的协议封装都为HDLC，改为PPP封装后还是不行，通过打环两端路由均看不到对端的环，开始怀疑问题出在电信端，于是与客户沟通让其联系电信，电信回复说经过测试没有问题，再次查看接口协议以及端口全部UP，但还是PING不通，再次与电信联系电信，电信同意两端同时派人上门，在等待电信的人同时我也查看路由接口以及HDSL发现上面闪的是黄灯，感觉问题应该出于此但当时也不感肯定（因为平时很少留心到电信所提供的设备，只是关心我们自己的产品，所以说有多大把握，但还是凭自己的感觉怀疑是不是光纤插反了而出现此类情况呢？反正死马当活马医了，两端调换一下，好家伙竟然变绿了，到路由上PING北京端路由惊喜的！出现了），通过一些路由的设定完全实现了用户要求的走DDN线路由深圳端出Internet要经过北京端SV2000认证，DDN到此基本完全结束。二、VPN及线路切换的配置北京端VPN配置：ISAKMP的配置：crypto isakmp policy 10hash md5authentication pre-sharecrypto isakmp key cisco address crypto isakmp keepalive 10 periodic转换集的配置：crypto ipsec transform-set cisco esp-3des esp-md5-hmac动态加密图的配置：crypto dynamic-map cisco 10set transform-set ciscomatch address 100把动态加密图加入到MAP上：crypto map cisco 10 ipsec-isakmp dynamic cisco把加密图应用到接口上：interface FastEthernet0/1no ip addressip nat outsideip virtual-reassemblyduplex autospeed autopppoe enablepppoe-client dial-pool-number 1crypto map ciscointerface Dialer1mtu 1492ip address negotiatedip nat outsideip virtual-reassemblyencapsulation pppno ip route-cache cefno ip route-cacheno ip mroute-cachedialer pool 1dialer-group 1ppp authentication pap callinppp chap hostname *ppp chap password 0 *ppp pap sent-username * password 0 *crypto map cisco定义需要加密的流量：access-list 100 permit ip 55 55access-list 100 permit ip 55 55access-list 100 permit ip 55 55access-list 100 permit ip 55 55access-list 100 denyip 55 anyaccess-list 100 denyip 55 anyaccess-list 100 denyip 55 anyaccess-list 100 denyip 55 any定义不需要NAT转换的地址：access-list 101 denyip 55 55access-list 101 denyip 55 55access-list 101 denyip 55 55access-list 101 denyip 55 55access-list 101 permit ip 55 any深圳端VPN配置：ISAKMP的配置：crypto isakmp policy 10hash md5authentication pre-sharecrypto isakmp key cisco address 12crypto isakmp keepalive 30 10 periodic转换集的配置：crypto ipsec transform-set cisco esp-3des esp-md5-hmac加密码图的配置：crypto map cisco 10 ipsec-isakmpset peer 12set transform-set ciscomatch address 100把加密图应用到接口：interface FastEthernet0/1no ip addressip nat outsideip virtual-reassemblyduplex autospeed autopppoe enablepppoe-client dial-pool-number 1crypto map ciscointerface Dialer1mtu 1492ip address negotiatedip nat outsideip virtual-reassemblyencapsulation pppno ip route-cache cefno ip route-cacheno ip mroute-cachedialer pool 1dialer-group 1ppp authentication pap callinppp chap hostname *ppp chap password 0 *ppp pap sent-username * password 0 *crypto map cisco定义需要加密码的流量：access-list 100 permit ip 55 55access-list 100 permit ip 55 55access-list 100 permit ip 55 55access-list 100 permit ip 55 55access-list 100 denyip 55 any定义不需要NAT转换的地址：access-list 101 denyip 55 55access-list 101 denyip 55 55access-list 101 denyip 55 55access-list 101 denyip 55 55access-list 101 permit ip 55 anydialer-list 1 protocol ip permit在整个VPN配置中遇到很多问题，主要原因是开始建立VPN之时，用户不同意使用两条独立的线路来建立VPN，想使用北京端现有的Internet线路通过NAT的方式来做VPN，那么这样做就势必受到很多影响，因为要从3640上NAT到现有的2801上面要经过三次NAT，这样做就涉及到安全以及转换的问题，由于客户时间、安全的问题，我没能拿以上三台设备的管理权限，一切只能由他们来做，最终我也不能确定他们在PIX以及SV2000是否正确，最终导致整个VPN的构建失败，由于DDN前期投入到正常使用，这样的测试没有太多时间来完成测试及实验，只能建议客户在北京端申请一条固定IP的ADSL，当两边都为独立的外部线路来建立VPN，比较顺利一次成功，但在测试中SHUTDOWN掉S0/2/0后VPN能马上起来接替DDN而NO SHUTDOWN后DDN线路能起来，但是当再次SHUTDOWN掉S0/2/0接口后，而VPN一直不能建立连接，DEBUG看到一直提示：*Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 00 dst 01 for SPI 0x3A7B69BF，基本确定问题出现在ISAKMP，只能从此着手，经过查看CISCO官方网站得出结论大概是ISAKMP有一个存活时间，在此次存活时间内，有一端ISAKMP未失效而另一端又采用新的ISAKMP建立连接，出现匹配造成VPN建立不成功，通过在两端加上ISAKMP的KEEPALIVE存活时间设置，最终问题得到解决，从而实现了正常的切换。三、DDN与VPN切换的配置北京切换配置：ip sla monitor 1 /建立监视组1探测深圳端的IPtype echo protocol ipIcmpEcho /发送ICMP探测深圳端IPtimeout 999 /超时时间999MSfrequency 1 /发送一个包ip sla monitor schedule 1 life forever start-time now /定义监视组的SCHEDULE、LIFE、FOREVER的开始时间track 1 rtr 1 reachability /定义TRACK组ip route 60 track 1ip route 54 60 track 1ip route Dialer1 70ip route 54 70ip route 54 70ip route 54 70此处几条路由也就是整个线路切换与恢复的关健所在，依次描述。当DDN正常时默认所有到达深圳端的流量都走S0/2/0端口，并由TRACK1检测是否把此条路由放入路由表中。当DDN正常时，所有深圳端过来的流量全部转发到SV2000的LAN口，实现深圳出公网的认证以及深圳端与北京端路由，并由TRACK1检测是否把此条路由放入路由表中。当DDN当掉后，通过TRACK1检测路由会默认关闭S0/2/0，此路由会被放到路由表中，而建立两端的VPN而实现DDN业务的接替，当TRACK1检测到DDN恢复后，此表路由会被删除。其余几条基本同上一条功能一样，只是更详细的匹配了VPN建立后流量的转发，而实现深圳端与北京端内网的路由。实现的效果：走专线时：pekru020#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is 54 to network /32 is subnetted, 2 subnetsC12 is directly connected, Dialer1C5 is directly connected, Dialer1C/24 is directly connected, FastEthernet0/0S/24 70/0 via 54S/24 60/0 via S/24 70/0 via 54S/24 70/0 via 54C/24 is directly connected, Serial0/2/0S*/0 60/0 via 54走VPN时:pekru020#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is to network /32 is subnetted, 2 subnetsC12 is directly connected, Dialer1C5 is directly connected, Dialer1C/24 is directly connected, FastEthernet0/0S/24 70/0 via 54S/24 70/0 via 54S/24 70/0 via 54S*/0 is directly connected, Dialer1完全实现了线路的自动切换与恢复。深圳端切换配置：ip sla monitor 1type echo protocol ipIcmpEcho timeout 999frequency 1ip sla monitor schedule 1 life forever start-time nowtrack 1 rtr 1 reachabilityip route 60 track 1ip route Dialer1 70深圳端相对简单，配置原理与北京端相同，在此也不再阐述相关配置了。在此需要特别注意的地方是，像电信所提供的数字线路，一定需要配合使用监视组来查看业务是否中断，因为当一端DOWN后，而另一端的链路由于连接的是运营商端，只要客户端与运营商端线路正常，那么另一端协议以及端口都会处于UP状态，那么也不能使管理距离为60的路由在路由表里及时删除也会造成管理距离为70的路由被放到路由表。附完整配置：北京端：pekru020#show runBuilding configuration.Current configuration : 4542 bytes!version 12.4service timestamps debug datetimeservice timestamps log datetimeno service password-encryption!hostname pekru020!boot-start-markerboot system flash:c2801-advsecurityk9-mz.124-3d.binboot system romboot-end-marker!logging buffered 51200 warnings!no aaa new-model!resource policy!mmi polling-interval 60no mmi auto-configureno mmi pvcmmi snmp-timeout 180ip subnet-zeroip cef!ip domain name ip sla monitor 1type echo protocol ipIcmpEcho timeout 999frequency 1ip sla monitor schedule 1 life forever start-time nowvpdn enablevpdn authen-before-forwardvpdn session-limit 10!vpdn-group PPPoE!username admin privilege 15 secret 5 $1$cuwF$shOWpZQwEuy.r1Tb3P6F31!track 1 rtr 1 reachability!track 2 rtr 2 reachability!crypto isakmp policy 10hash md5authentication pre-sharecrypto isakmp key cisco address crypto isakmp keepalive 10 periodic!crypto ipsec transform-set cisco esp-3des esp-md5-hmac!crypto dynamic-map cisco 10set transform-set ciscomatch address 10