![双链路方案的配置_第1页](http://file4.renrendoc.com/view/4a93a8f1ca269a580f482f1bd9f5b469/4a93a8f1ca269a580f482f1bd9f5b4691.gif)
![双链路方案的配置_第2页](http://file4.renrendoc.com/view/4a93a8f1ca269a580f482f1bd9f5b469/4a93a8f1ca269a580f482f1bd9f5b4692.gif)
![双链路方案的配置_第3页](http://file4.renrendoc.com/view/4a93a8f1ca269a580f482f1bd9f5b469/4a93a8f1ca269a580f482f1bd9f5b4693.gif)
![双链路方案的配置_第4页](http://file4.renrendoc.com/view/4a93a8f1ca269a580f482f1bd9f5b469/4a93a8f1ca269a580f482f1bd9f5b4694.gif)
![双链路方案的配置_第5页](http://file4.renrendoc.com/view/4a93a8f1ca269a580f482f1bd9f5b469/4a93a8f1ca269a580f482f1bd9f5b4695.gif)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、配置举例组网需求如图1所示,Router A和Router B各有两条链路连接到互连网,可以实现主备链路 的切换,提高应用的可靠性。出于安全的考虑,要求对 Router A和Router B之间私 网数据进行IPsec加密。图1双链路备份环境中IPsec应用方案的配置组网图22.2232Router B配置思路由于在一个发起方的 IKE Peer中,只能和一个remote-address 发起协商,把IPsec策略下发到物理接口时,只能建立2对SA ,没有办法建立4对;而且,当Router A 主备接口和 Router B 主备接口同时 Down ,那么此时IPsec SA将无法使用,客户内网
2、流量将被中断。因此,可以建立一个GRE虚接口,然后把IPsec策略下发到 GRE隧道中,IPsec SA可以保证和 GRE接口同时 存活,再把私网数据导入到GRE隧道中即可实现加密。Router A和Router B的内网中的 VLAN各不相同,为了实现指定 VLAN 间的互通,需要使用 VLAN终结功能。配置注意事项注意要把IPsec加密和链路备份分开实现,通过 GRE隧道屏蔽传输链路的切换,为IPsec SA建立一个始终 UP的接口,最终做到网络切换,SA不切换。注意把GRE的源、目的地址路由引入到Internet中,并且要求Internet可以根据主备链路状况进行路由切换。配置步骤Rou
3、ter A的配置#创建环回接口 Loopback。 system-viewRouterA interface loopback 0|RouterA-LoopBackO ip address 1.1,1,1 255.255.255,255|RouterA-LoopBack0 quit配置主链路子接口IP地址。RouterA interface ethernet 0/0.10|RouterA-Ethernet0/0.10 ip address 1.10.0.1 255.255.255.0|使能Dot1q终结功能,并指定可以终结的最外层VLAN ID为10的报文。RouterA-Ethernet0/
4、0.10 vlan-type dot1q vid 10RouterA-Ethernet0/0.10 quit配置备份链路子接口IP地址。 TOC o 1-5 h z RouterA interface ethernet 0/0.11|RouterA-Ethernet0/0.11 ip address 1.11.0.1 255.255.255.0使能Dot1q终结功能,并指定可以终结的最外层VLAN ID为11的报文。RouterA-Ethernet0/0.11 vlan-type dot1q vid 11IRouterA-Ethernet0/0.11 quit创建内网接口。RouterA in
5、terface vlan-interface1RouterA-Vlan-interface1 ip address 192.168.1.1 255.255.255.0|RouterA-Vlan-interface1 quit配置GRE隧道,以环回口地址做为隧道源和目的地址。RouterA interface tunnel 0|RouterA-Tunnel0 ip address 1.2.0.1 255.255.255.252RouterA-Tunnel0 source loopback。|RouterA-Tunnel0 destination 2.2.2.2|RouterA-Tunnel0 q
6、uit配置到Router B的环回口的静态路由,下一跳指向外网,并设置主备链路。RouterA ip route-static 2.2.2.2 255.255.255.255 1.10.0.2RouterA ip route-static 2.2.2.2 255.255.255.255 1.11.0.2 preference 100配置到Router B内网的静态路由,下一跳为对端 GRE隧道接口地址。RouterA ip route-static 192.168.2.0 255.255.255.0 1.2.0.2|配置 ACL,定义由 192.168.1.0/24至U 192.168.2.0
7、/24 的数据流。RouterA acl number 3000|RouterA-acl-adv-3000 rule 0 permit ip source 192.168.1.0 0.0.0.255destination |192.168.2.0 0.0.0.255RouterA-acl-adv-3000 quit配置IKE对等体。 TOC o 1-5 h z RouterA-acl-adv-3000 ike peer peer|RouterA-ike-peer-peer pre-shared-key 123|RouterA-ike-peer-peer remote-address 1.2.0
8、.2|RouterA-ike-peer-peer quit采用安全提议的缺省配置。RouterA ipsec proposal def|RouterA-ipsec-transform-set-def esp authentication-algorithm md5|RouterA-ipsec-transform-set-def quit配置IPsec安全策略policy ,其协商方式为isakmp。RouterA ipsec policy policy 1 isakmp|RouterA-ipsec-policy-isakmp-policy-1 security acl 3000|RouterA
9、-ipsec-policy-isakmp-policy-1 ike-peer peer|RouterA-ipsec-policy-isakmp-policy-1 proposal def RouterA-ipsec-policy-isakmp-policy-1 quit#在GRE隧道接口上应用安全策略。RouterA interface tunnel 0|RouterA-Tunnel0 ipsec policy policyRouterA-Tunnel0 quit|Router B的配置创建环回接口 Loopback0 。 system-viewRouterB interface loopba
10、ck 0RouterB-LoopBack0 ip address 2222 255.255.255.255RouterB-LoopBack0 quit配置主链路子接口IP地址。RouterB interface ethernet 0/0.20RouterB-Ethernet0/0.20 ip address 1.10.0.3 255.255.255.0使能Dot1q终结功能,并指定可以终结的最外层VLAN ID为20的报文。RouterB-Ethernet0/0.20 vlan-type dot1q vid 20RouterB-Ethernet0/0.20 quit配置备份链路子接口IP地址。
11、RouterB interface ethernet 0/0.21RouterB-Ethernet0/0.21 ip address 1.11.0.3 255.255.255.0使能Dot1q终结功能,并指定可以终结的最外层VLAN ID为21的报文。RouterB-Ethernet0/0.21 vlan-type dot1q vid 21RouterB-Ethernet0/0.21 quit创建内网接口。RouterB interface vlan-interface1RouterB-Vlan-interface1 ip address 192.168.2.1 255.255.255.0Ro
12、uterB-Vlan-interface1 quit配置GRE隧道,以环回口地址做为隧道源和目的地址。RouterB interface tunnel 0RouterB-Tunnel0 ip address 1.2.0.2 255.255.255.252RouterB-Tunnel0 source loopback0RouterB-Tunnel0 destination 1.1.1.1RouterB-Tunnel0 quit配置到Router A的环回口的静态路由,下一跳指向外网,并设置主备链路。RouterB ip route-static 1.1.1.1 255.255.255.255 1
13、.10.0.4RouterB ip route-static 1.1.1.1 255.255.255.255 1.11.0.4 preference 100配置到Router A内网的静态路由,下一跳为对端 GRE隧道接口地址。RouterB ip route-static 192.168.1.0 255.255.255.0 1.2.0.1配置 ACL,定义由 192.168.2.0/24 至U 192.168.1.0/24 的数据流。RouterB acl number 3000RouterB-acl-adv-3000 rule 0 permit ip source 192.168.2.0
14、0.0.0.255destination192.168.1.0 0.0.0.255RouterB-acl-adv-3000 quit配置IKE对等体。RouterB ike peer peerRouterB-ike-peer-peer pre-shared-key 123RouterB-ike-peer-peer remote-address 1.2.0.1RouterB-ike-peer-peer quit采用安全提议的缺省配置。RouterB ipsec proposal defRouterB-ipsec-transform-set-def esp authentication-algor
15、ithm md5RouterB-ipsec-transform-set-def quit配置IPsec安全策略policy ,其协商方式为isakmp。RouterB ipsec policy policy 1 isakmpRouterB-ipsec-policy-isakmp-policy-1 security acl 3000RouterB-ipsec-policy-isakmp-policy-1 ike-peer peerRouterB-ipsec-policy-isakmp-policy-1 proposal defRouterB-ipsec-policy-isakmp-policy-
16、1 quit#在GRE隧道接口上应用安全策略。RouterB interface tunnel 0RouterB-Tunnel0 ipsec policy policyRouterB-Tunnel0 quit验证配置完成以上配置后,GRE隧道即可建立起来,且 IPsec策略直接下发到 GRE隧道, 即使物理口 Down掉,也不会影响内网之间的通信,这里以Router A为例进行验证。#在主备链路都完好的情况下,将以主链路进行通信。 display ip routing-tableRouting Tables: PublicDestinations : 17 Routes : 17Destina
17、tion/Mask Proto Pre Cost NextHop Interface1.1.1.1/32Direct 00127.0.0.1InLoop01.2.0.0/30Direct 001.2.0.1Tun01.2.0.1/32Direct 00127.0.0.1InLoop01.10.0.0/24Direct 001.10.0.1Eth0/0.101.10.0.1/32Direct 00127.0.0.1InLoop01.11.0.0/24Direct 001.11.0.1Eth0/0.111.11.0.1/32Direct 00127.0.0.1InLoop02.2.2.2/32St
18、atic 6001.10.0.2Eth0/0.10127.0.0.1/32Direct0 0127.0.0.1InLoop0192.168.1.0/24 Direct0 0192.168.1.1Vlan1192.168.1.1/32 Direct0 0127.0.0.1InLoop0192.168.2.0/24 Static 60 01.2.0.2 Tun0#可以通过如下显示信息看到,内网主机间实现互通。 ping -a 192.168.1.1 192.168.2.1PING 192.168.2.1: 56 data bytes, press CTRL_C to breakRequest ti
19、me outReply from 192.168.2.1: bytes=56 Sequence=1 ttl=255 time=4 msReply from 192.168.2.1: bytes=56 Sequence=2 ttl=255 time=3 msReply from 192.168.2.1: bytes=56 Sequence=3 ttl=255 time=3 msReply from 192.168.2.1: bytes=56 Sequence=4 ttl=255 time=3 ms- 192.168.2.1 ping statistics -5 packet(s) transmi
20、tted4 packet(s) received20.00% packet lossround-trip min/avg/max = 3/3/4 ms#可以通过如下显示信息看到,GRE隧道建立成功并有内网数据通过。RouterA display interface tunnel0Tunnel0 current state: UPLine protocol current state: UPDescription: Tunnel0 InterfaceThe Maximum Transmit Unit is 1476Internet Address is 1.2.0.1/30 PrimaryEnc
21、apsulation is TUNNEL, service-loopback-group ID not set.Tunnel source 1.1.1.1 (LoopBack0), destination 2.2.2.2Tunnel bandwidth 64 (kbps)Tunnel keepalive disabledTunnel protocol/transport GRE/IPGRE key disabledChecksumming of GRE packets disabledOutput queue : (Urgent queuing : Size/Length/Discards)
22、0/100/0Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0Last clearing of counters: NeverLast 300 seconds input: 0 bytes/sec, 0 packets/secLast 300 seconds output: 0 bytes/sec, 0 packets/sec8 packets input, 1116 bytes0 input er
23、ror18 packets output, 2204 bytes0 output error可以通过如下显示信息看到,IKE协商成功,生成了两个阶段的SA。 display ike satotal phase-1 SAs: 1connection-id peerflagphase doi31.2.0.2RD|ST1 IPSEC41.2.0.2RD|ST2 IPSECflag meaningRD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT RK-REKEY可以通过如下显示信息查看协商生成的IPsec SA。 display ipsec
24、saInterface: Tunnel0path MTU: 1476IPsec policy name: policy1 sequence number: 1 acl version: ACL4 mode: isakmpPFS: N, DH group: nonetunnel:local address: 1.2.0.1remote address: 1.2.0.2flow:sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IPdest addr: 192.168.2.0/255.255.255.0 port: 0 protocol:
25、 IPinbound ESP SAsspi: 0 x7FE5F3c0(2145776576)transform: ESP-ENCRYPT-NULL ESP-AUTH-MD5in use setting: Tunnelconnection id: 1sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843199/3444anti-replay detection: Enabledanti-replay window size(counter based): 32udp encapsulation used for nat traversal: Noutbound ESP SAsspi: 0 x919FD949(2443172169)transform: ESP-E
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2022五年级上册道德与法治 期中测试卷及参考答案(夺分金卷)
- 低年级小学生告状行为的动机及对策研究 论文
- 于细微处入情 于无声处润物 论文
- 2022六年级上册数学期末测试卷带答案(培优a卷)
- 思维导图融入新高考物理复习课教学的策略研究 论文
- 2022年数学六年级上册期末考试试卷及参考答案【基础题】
- 人教版小学五年级数学上册期中测试卷及答案【有一套】
- 二年级数学应用题50道附答案【基础题】
- 2023年教科版小升初科学试卷含答案(a卷)
- 2022人教版数学六年级上册期中测试卷含答案(突破训练)
- 2023-2024年微短剧行业现状及发展趋势研究报告
- 2023-2024年中国人工智能计算力发展评估报告
- Unit6Craftsmanship+单词课件-中职高二英语高教版(2021)基础模块2
- DSP期末考试题大全(整合版 全3套)
- 配电工程 投标方案(技术方案)
- 静脉输液考试试题及答案
- 25 黄帝的传说 课件
- 红旅赛道创意组项目计划书范文(通用3篇)
- 医院物业服务人员培训方案
- 2023家庭教育促进法PPT
- Revit软件在建筑施工图绘制中的应用与研究
评论
0/150
提交评论