cisco 双ISP线路接入,链路自动切换方案
2024-05-17 00:22:58
最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 515作IPsec ×××对接,现客户要求是新增一条网通DDN专线用来专跑ERP数据业务,就是要求平时总部去分部访问ERP服务器的数据走DDN专线,访问邮件服务器的数据走ipsec×××,但当这两条链路其中有出现故障中断时,能做到链路自动切换,例DDN专线出现故障,原走这条线路的ERP数据能自动切换到ipsec ×××线路去,如果线路恢复线路又自动切换。
对netscreen 作了研究它是支持策略路由,但好像不支持线路检测(如知道者请提供资料,学习一下)。
为满足客户要求,我推荐用思科1841路由器,思科支持策略路由与线路检测,一直有看过相应的文档,但没实施过,呵呵,终于有机会了。
解方案如下图:
IP分配如下:
总部IP段为:192.168.1.0/24 网关:192.168.1.111/24
netscreen ssg-140 和透明接入,
R1配置:
FastEthernet0/0 -- 192.168.1.111/24
FastEthernet0/1 -- 192.168.2.1/24 (铁通线路 IP 有改^_^)
Serial0/0 --- 192.168.3.1/24 (网通线路)
PIX 515配置:
Ethernet1 (outside) -- 192.168.2.2/24
Ethernet0 (inside) -- 192.168.4.1/24
R2配置:
FastEthernet0/0 -- 192.168.4.2/24
FastEthernet0/1-- 192.168.5.1/24
Serial0/0 -- 192.168.3.2/24
Serial0/0 -- 192.168.3.2/24
下面只列出重点部分:
×××配置R1----PIX515
R1:
第一步:在路由器上定义NAT的内部接口和外部接口
R1(config)#int f0/0
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#int f0/1
R1(config-if)#exit
R1(config)#int f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
第二步:定义需要被NAT的数据流(即除去通过×××传输的数据流)
R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config-if)#exit
第二步:定义需要被NAT的数据流(即除去通过×××传输的数据流)
R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
R1(config)#access-list 101 permit ip any any
第三步:定义NAT。
R1(config)#ip nat inside source list 101 interface f0/1 overload
第四步:定义感兴趣数据流,即将来需要通过×××加密传输的数据流。
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config)#ip nat inside source list 101 interface f0/1 overload
第四步:定义感兴趣数据流,即将来需要通过×××加密传输的数据流。
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
第五步:定义ISAKMP策略。
R1(config)#crypto isakmp enable
//启用ISAKMP
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
//认证方法使用预共享密钥
R1(config-isakmp)#encryption des
//加密方法使用des
R1(config-isakmp)#hash md5
//散列算法使用md5
R1(config-isakmp)#group 2
//DH模长度为1024
第六步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。
R1(config)#crypto isakmp enable
//启用ISAKMP
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
//认证方法使用预共享密钥
R1(config-isakmp)#encryption des
//加密方法使用des
R1(config-isakmp)#hash md5
//散列算法使用md5
R1(config-isakmp)#group 2
//DH模长度为1024
第六步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。
R1(config)#crypto isakmp identity address
R1(config)#crypto isakmp key cisco123456 address 192.168.2.2
第七步:设置ipsec转换集。
R1(config)#crypto ipsec transform-set my*** esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel
第八步:设置加密图。
R1(config)#crypto map my***map 10 ipsec-isakmp
R1(config-crypto-map)#match address 102
//加载感兴趣流
R1(config-crypto-map)#set peer 192.168.2.2
R1(config)#crypto isakmp key cisco123456 address 192.168.2.2
第七步:设置ipsec转换集。
R1(config)#crypto ipsec transform-set my*** esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel
第八步:设置加密图。
R1(config)#crypto map my***map 10 ipsec-isakmp
R1(config-crypto-map)#match address 102
//加载感兴趣流
R1(config-crypto-map)#set peer 192.168.2.2
//设置对等体地址
R1(config-crypto-map)#set transform-set my***
//选择转换集
R1(config-crypto-map)#set pfs group2
//设置完美前向保密,DH模长度为1024
第九步:在外部接口上应用加密图。
R1(config)#int f0/1
R1(config-crypto-map)#set transform-set my***
//选择转换集
R1(config-crypto-map)#set pfs group2
//设置完美前向保密,DH模长度为1024
第九步:在外部接口上应用加密图。
R1(config)#int f0/1
R1(config-if)#crypto map my***map
PIX:
第一步:定义感兴趣数据流,即将来需要通过×××加密传输的数据流。
PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
PIX(config)# access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0
第二步:通过×××传输的数据包不需要做NAT,因此,将这些数据包定义到nat 0,nat 0不对数据包进行地址转换。nat0的处理始终在其他nat(例如nat1、nat2、nat3……)之前。
PIX(config)# nat (inside) 0 access-list no-nat
PIX(config)# nat (inside) 0 access-list no-nat
第三步:访问internet的数据流使用PAT出去。
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步:定义ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上启用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//认证方法使用预共享密钥
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模长度为1024
第五步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步:定义ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上启用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//认证方法使用预共享密钥
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模长度为1024
第五步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco123456”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1
第六步:设置ipsec转换集。
PIX(config)# crypto ipsec transform-set my*** esp-des esp-md5-hmac
第七步:设置加密图。
PIX(config)# crypto map my***map 10 ipsec-isakmp
PIX(config)# crypto map cmy***map 10 match address no-nat
//加载感兴趣流
PIX(config)# crypto map my***map 10 set transform-set my***
//选择转换集
PIX(config)# crypto map my***map 10 set peer 192.168.2.1
//设置对等体地址
PIX(config)# crypto map my***map 10 set pfs group2
//设置完美前向保密,DH模长度为1024
第八步:在外部接口上应用加密图。
PIX(config)# crypto map my***map interface outside
第九步:指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec
PIX(config)# crypto ipsec transform-set my*** esp-des esp-md5-hmac
第七步:设置加密图。
PIX(config)# crypto map my***map 10 ipsec-isakmp
PIX(config)# crypto map cmy***map 10 match address no-nat
//加载感兴趣流
PIX(config)# crypto map my***map 10 set transform-set my***
//选择转换集
PIX(config)# crypto map my***map 10 set peer 192.168.2.1
//设置对等体地址
PIX(config)# crypto map my***map 10 set pfs group2
//设置完美前向保密,DH模长度为1024
第八步:在外部接口上应用加密图。
PIX(config)# crypto map my***map interface outside
第九步:指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec
接下是本部份重点,就是路由选择与链路检测配置:
R1:
ip access-list extended lan-erp
permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)
ip access-list extended lan-mail
permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP)
permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)
ip access-list extended lan-mail
permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP)
定义route-map 的感兴趣流
ip sla monitor 1
type echo protocol ipIcmpEcho 192.168.3.2
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 192.168.2.2
ip sla monitor schedule 2 life forever start-time now
type echo protocol ipIcmpEcho 192.168.3.2
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 192.168.2.2
ip sla monitor schedule 2 life forever start-time now
track 123 rtr 1 reachability
track 124 rtr 2 reachability
track 124 rtr 2 reachability
启用思科SLA协议,动态检测链路。
route-map test permit 10
match ip address lan-erp
set ip next-hop verify-availability 192.168.3.2 1 track 123
set ip next-hop verify-availability 192.168.2.2 2 track 124
!
route-map test permit 20
match ip address lan-mail
match ip address lan-erp
set ip next-hop verify-availability 192.168.3.2 1 track 123
set ip next-hop verify-availability 192.168.2.2 2 track 124
!
route-map test permit 20
match ip address lan-mail
set ip next-hop verify-availability 192.168.2.2 1 track 124
set ip next-hop verify-availability 192.168.3.2 2 track 123
set ip next-hop verify-availability 192.168.3.2 2 track 123
启用routermap 对数据进行分流。
R2:
ip access-list extended erp-lan
permit ip host 192.168.5.53 192.168.1.0 0.0.0.255
ip access-list extended mail-lan
permit ip host 192.168.5.50 192.168.1.0 0.0.0.255
permit ip host 192.168.5.53 192.168.1.0 0.0.0.255
ip access-list extended mail-lan
permit ip host 192.168.5.50 192.168.1.0 0.0.0.255
定义route-map 的感兴趣流
ip sla monitor 1
type echo protocol ipIcmpEcho 192.168.3.1
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 192.168.2.1
ip sla monitor schedule 2 life forever start-time now
type echo protocol ipIcmpEcho 192.168.3.1
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 192.168.2.1
ip sla monitor schedule 2 life forever start-time now
track 123 rtr 1 reachability
track 124 rtr 2 reachability
track 124 rtr 2 reachability
启用思科SLA协议,动态检测链路。
route-map test permit 10
match ip address mail-erp
set ip next-hop verify-availability 192.168.3.1 1 track 123
set ip next-hop verify-availability 192.168.4.1 2 track 124
!
route-map test permit 20
match ip address erp-mail
match ip address mail-erp
set ip next-hop verify-availability 192.168.3.1 1 track 123
set ip next-hop verify-availability 192.168.4.1 2 track 124
!
route-map test permit 20
match ip address erp-mail
set ip next-hop verify-availability 192.168.4.1 1 track 124
set ip next-hop verify-availability 192.168.3.1 2 track 123
set ip next-hop verify-availability 192.168.3.1 2 track 123
定义route-map 的感兴趣流.
为什么R2也要配置,请读者自己去思考了。有兴趣大家可做下实验,本文结束。
本文出自 “蓝冰天下(NICK)” 博客,请务必保留此出处[url]http://nicklyj.blog.51cto.com/81129/151291[/url]
本文出自 51CTO.COM技术博客
转载于:https://blog.51cto.com/jiutouniao/151809
cisco 双ISP线路接入,链路自动切换方案相关推荐
- cisco 双ISP线路接入 链路自动切换方案
最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 5 ...
- Cisco双ISP线路之单路由器解决方案
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> Cisco 双 ...
- mysql双主故障自动切换_MySQL主库高可用 -- 双主单活故障自动切换方案
前言:(PS:前言是后来修改本文时加的)对于这篇文章,有博友提出了一些疑问和见解, 有了博友的关注,也促使我想把这套东西做的更实用.更安全.后来又经过思考,对脚本中一些条件和行为做了些改变.经过几次修 ...
- Cisco双ISP双链路NAT接入案例
一.实验拓扑: 二.需求概述: R1.R2作为本地网络12.0.0.0/24.21.0.0.0/24的网关,为连接远端R5上的网段5.0.0.0/24,分别向两个ISP(ISP1.ISP2)申请了1条 ...
- 针对web服务器容灾自动切换方案
思路: 当服务器A 发生故障,服务器B可以迅速接管服务器A的任务,不影响用户的正常访问. 当服务器A 故障恢复,服务器A可以马上接管服务器B的任务,服务器B恢复备机状态. 做法: 两台服务器上配置一个 ...
- Redis Sentinel主从复制自动切换方案
一.准备环境 #配置环境: Redis Sentinel:192.68.40.16:26379 Redis server主:192.168.40.17:6379 Redis server从:192.1 ...
- Cisco 防火墙Firwall Failover ActiveActive 双HSRP 实现双ISP完美切换
简介 failover Active/Active是与context结合,实现一个context出现了故障,自动切换到另外一个,实现流量不间断转发,当然不间断是需要合理的配置holdtime时间的,默 ...
- 宏正自动科技发表新款8/16端口双滑轨LCD KVM多电脑切换器
2019独角兽企业重金招聘Python工程师标准>>> CL5808/CL5816整合多项先进技术,有效节省机房空间.提升管理效益 全球数字信息分享领导厂商 – ...
- mysql双主故障自动切换_mysql双主热备宕机自动切换
一.定义 通常说的「双机热备」是指两台机器都在运行,但并不是两台机器都同时在提供服务.当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短. 二.原理 Keepal ...
最新文章
- 字符串处理分割字符串
- flink报错:Error: Static methods in interface require -target:jvm-1.8 已解决
- Windows 7 下安装 Oracle 数据库和 PL/SQL Developer
- android 热修复 需要重启应用嘛?_Android热修复方案盘点
- 马云等第一代互联网创始人退休,BAT 谁来接手?| 畅言
- springboot - 应用实践(N)使用springboot内置的@Scheduled
- Unity3D插件 Puppet3D的使用
- 多开 android模拟器,安卓模拟器如何多开窗口保证游戏不封号
- AUTOCAD——制作剪裁图块
- 2022年终总结-知识沉淀、疫情、展望未来
- 安卓手机玩游戏卡顿怎么解决_安卓手机卡顿如何解决?教你四招,流畅度立刻飙升!...
- Java金额转换工具类
- 模式分解的无损连接性之深入剖析
- 用开源力量抗击新冠疫情!腾讯作为创始成员加入Linux基金会公共卫生计划
- ITOM(IT运维管理软件)
- 使用伪类(before,after)给元素添加分割线(|)
- xxl-job学习,基本测试1
- 头豹研究院发布《2022年腾讯安全威胁情报能力中心分析报告》:助力企业掌握安全防御主动权
- JS对比两个对象键值全等
- CSS盒子模型 - 弹性盒模型
热门文章
- mysql数据库分表备份脚本_mysql 分库分表备份脚本
- dual mysql 获取序列_MySQL JDBC客户端反序列化漏洞
- 数据结构——无向图创建邻接表以及深度遍历、广度遍历(C语言版)
- python items函数用法,Python中dictionary items()系列函数的用法实例
- 惠新宸php教程_惠新宸:PHP在百度的应用现状及展望
- java jdbc reparecall_Java Connection.prepareCall方法代碼示例
- 栈出现的异常和设置栈的大小-Xss
- 后端:MyBatis缓存知识介绍
- 电脑维修:电脑故障通用处理思路,你有必要了解一下!
- 16个烧光你脑细胞的悖论