双出口NAT+PBR+IPSec V*N

拓扑：

描述：

1、总部HQ有2条公网出口，出接口e0/1连接ISP-1，出接口e0/2接口连接ISP-2；

2、该拓扑有3个分支机构，分别为Branch1、Branch2、Branch3，其中Branch1公网接口是固定IP地址，Branch2和Branch3是动态获取（模拟动态）；

3、HQ连接ISP-1接口的固定ip地址是202.101.1.1/30，通过该接口与各Branch建立IPSec V*N，由于分支机构路由器不支持GRE封装（某些厂商品牌的路由器确实不支持），所以只能建立纯IPSec V*N；

4、ISP-1、ISP-2、Telnet服务器部署在公共网络，通过交换机互联的MA网络地址段8.8.8.0/24，Telnet服务器地址8.8.8.8/24，公网使用eigrp动态路由协议宣告各自直连网段，实现公网互通；

需求：

1、总部HQ内网有2个网段，其中10.100.1.0/24访问公网选择出口ISP-1、10.100.2.0/24访问公网选择出口ISP-2，两条线路互备；

2、总部HQ路由器连接ISP-1出口与各Branch建立IPSec V*N，其中Branch1是固定IP地址、Branch2和Branch3是动态获取公网IP地址；

3、IPSec V*N建立后，可以实现各站点之间内网互通；

4、Branch之间的内网互访需通过HQ进行转发；

公网配置：

hostname ISP-1

interface Ethernet0/0

ip address 202.101.1.2 255.255.255.252

interface Ethernet0/1

ip address 1.3.1.10 255.255.255.0

interface Ethernet0/2

ip address 1.3.2.10 255.255.255.0

interface Ethernet0/3

ip address 8.8.8.1 255.255.255.0

router eigrp 1

network 0.0.0.0

hostname ISP-2

interface Ethernet0/0

ip address 60.137.1.2 255.255.255.252

interface Ethernet0/1

ip address 1.4.1.10 255.255.255.0

interface Ethernet0/2

ip address 8.8.8.2 255.255.255.0

interface Ethernet0/3

no ip address

shutdown

router eigrp 1

network 0.0.0.0

hostname Telnet

username cisco privilege 15 password 0 cisco123

interface Ethernet0/0

ip address 8.8.8.8 255.255.255.0

router eigrp 1

network 0.0.0.0

line vty 0 4

transport input all

通过以上配置，可以实现HQ与各分支机构路由器外网口互通

企业网配置

分支配置

分支机构VPN配置按照正常的IPSec VPN L2L配置，由于访问Internet要在出口路由器做nat，所以注意nat的感兴趣流要排除VPN之间互访流量，由于分支之间也有VPN隧道（分支-中心-分支），所以不要忘记排除分支之间的感兴趣流

hostname Branch1

crypto isakmp policy 10

encr aes

hash sha256

authentication pre-share

group 5

crypto isakmp key cisco123 address 202.101.1.1

crypto ipsec transform-set MYTRANS esp-aes esp-sha256-hmac

mode tunnel

crypto map MYMAP 10 ipsec-isakmp

set peer 202.101.1.1

set transform-set MYTRANS

match address VPN

interface Loopback0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Ethernet0/0

ip address 1.3.1.1 255.255.255.0

ip nat outside

crypto map MYMAP

ip nat inside source list INTERNET interface Ethernet0/0 overload

ip route 0.0.0.0 0.0.0.0 1.3.1.10

ip access-list extended INTERNET

deny ip 10.1.0.0 0.0.255.255 10.100.0.0 0.0.255.255

deny ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.1.0.0 0.0.255.255 10.3.0.0 0.0.255.255

permit ip any any

#NAT感兴趣流，不要忘记排除分支之间的感兴趣流

ip access-list extended VPN

permit ip 10.1.0.0 0.0.255.255 10.100.0.0 0.0.255.255

permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

permit ip 10.1.0.0 0.0.255.255 10.3.0.0 0.0.255.255

#VPN感兴趣流，不要忘记添加分支之间的感兴趣流

hostname Branch2

crypto isakmp policy 10

encr aes

hash sha256

authentication pre-share

group 5

crypto isakmp key cisco123 address 202.101.1.1

crypto isakmp keepalive 10 3 periodic

crypto ipsec transform-set MYTRANS esp-aes esp-sha256-hmac

mode tunnel

crypto map MYMAP 10 ipsec-isakmp

set peer 202.101.1.1

set transform-set MYTRANS

match address VPN

interface Loopback0

ip address 10.2.2.2 255.255.255.0

ip nat inside

interface Ethernet0/0

ip address 1.3.2.2 255.255.255.0

ip nat outside

crypto map MYMAP

ip nat inside source list INTERNET interface Ethernet0/0 overload

ip route 0.0.0.0 0.0.0.0 1.3.2.10

ip access-list extended INTERNET

deny ip 10.2.0.0 0.0.255.255 10.100.0.0 0.0.255.255

deny ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255

permit ip any any

#NAT感兴趣流，不要忘记排除分支之间的感兴趣流

ip access-list extended VPN

permit ip 10.2.0.0 0.0.255.255 10.100.0.0 0.0.255.255

permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

permit ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255

#VPN感兴趣流，不要忘记添加分支之间的感兴趣流

hostname Branch3

crypto isakmp policy 10

encr aes

hash sha256

authentication pre-share

group 5

crypto isakmp key cisco123 address 202.101.1.1

crypto ipsec transform-set MYTRANS esp-aes esp-sha256-hmac

mode tunnel

crypto map MYMAP 10 ipsec-isakmp

set peer 202.101.1.1

set transform-set MYTRANS

match address VPN

interface Loopback0

ip address 10.3.3.3 255.255.255.0

ip nat inside

interface Ethernet0/0

ip address 1.4.1.3 255.255.255.0

ip nat outside

crypto map MYMAP

ip nat inside source list INTERNET interface Ethernet0/0 overload

ip route 0.0.0.0 0.0.0.0 1.4.1.10

ip access-list extended INTERNET

deny ip 10.3.0.0 0.0.255.255 10.100.0.0 0.0.255.255

deny ip 10.3.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.3.0.0 0.0.255.255 10.2.0.0 0.0.255.255

permit ip any any

#NAT感兴趣流，不要忘记排除分支之间的感兴趣流

ip access-list extended VPN

permit ip 10.3.0.0 0.0.255.255 10.100.0.0 0.0.255.255

permit ip 10.3.0.0 0.0.255.255 10.1.0.0 0.0.255.255

permit ip 10.3.0.0 0.0.255.255 10.2.0.0 0.0.255.255

#VPN感兴趣流，不要忘记添加分支之间的感兴趣流

HQ总部配置

hostname HQ

ip sla 1

icmp-echo 202.101.1.2 source-ip 202.101.1.1

frequency 5

ip sla schedule 1 life forever start-time now

ip sla 2

icmp-echo 60.137.1.2 source-ip 60.137.1.1

frequency 5

ip sla schedule 2 life forever start-time now

track 1 ip sla 1 reachability

#track 1 关联 ip sla 1 可达性

track 2 ip sla 2 reachability

#track 2 关联 ip sla 2 可达性

crypto isakmp policy 10

encr aes

hash sha256

authentication pre-share

group 5

#第一阶段策略

crypto isakmp key cisco123 address 0.0.0.0

#由于Branch2和Branch3是动态地址，所以只能使用0.0.0.0来匹配任意地址，也就是说不管Branch使用什么公网地址，只要有相同的预共享密钥，就能建立IPSec VPN

crypto ipsec transform-set MYTRANS esp-aes esp-sha256-hmac

mode tunnel

#第二阶段转换集

crypto dynamic-map MYDYMAP 9999

set transform-set MYTRANS

#创建动态map，用于与动态获取公网地址的Branch建立第二阶段SA，动态crypto map配置模式下只需要设置转换集，任意的peer和感兴趣流都可以被HQ中心站点接受，其实中心站点也无法设置peer和感兴趣流。因为Branch端公网地址和内部网络中心站点并不知道。所以，HQ和分支之间如果要建立隧道，只能由分支先触发感兴趣流，等建立了第一阶段和第二阶段的SA后，HQ就可以主动访问分支的内网了

ip access-list extended VPN_LIST_Branch1

permit ip 10.100.0.0 0.0.255.255 10.1.0.0 0.0.255.255

permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

permit ip 10.3.0.0 0.0.255.255 10.1.0.0 0.0.255.255

#中心站点HQ与Branch1分支建立隧道的感兴趣流，由于HQ中转分支之间的VPN互访流量，所以不要忘记添加从其他分支到Branch1的感兴趣流

crypto map MYMAP 10 ipsec-isakmp

set peer 1.3.1.1

set transform-set MYTRANS

match address VPN_LIST_Branch1

#与Branch1分支建立静态map

crypto map MYMAP 1000 ipsec-isakmp dynamic MYDYMAP

#由于一个互联网接口只能调用一个crypto map，如果中心站点路由器要同时与多个对等体建立多个IPSec VPN，可以通过配置多个crypto map的序号来实现。例如，crypto map MYMAP 10和第一个站点建立IPSec VPN，crypto map MYMAP 20和第二个站点建立IPSec VPN。一般动态crypto map的序号应该配置较大，是为了让那些序号小的静态crypto map策略优先匹配，如果匹配不上明细策略，剩余的IPSec VPN连接请求由动态crypto map来处理。

interface Ethernet0/0

ip address 10.100.254.1 255.255.255.252

ip nat inside

ip policy route-map RM_PBR

#接口调用PBR，实现数据分流，PBR的方向永远是接收数据in方向

interface Ethernet0/1

ip address 202.101.1.1 255.255.255.252

ip nat outside

crypto map MYMAP

#连接ISP-1的外网接口，调用crypto map，该接口为固定IP地址，与分支建立IPSec VPN

interface Ethernet0/2

ip address 60.137.1.1 255.255.255.252

ip nat outside

router ospf 100

router-id 10.100.255.1

network 10.100.254.1 0.0.0.0 area 0

default-information originate

#内网OSPF配置，不做过多赘述

ip access-list extended NAT_LIST_INTERNET

deny ip 10.100.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.100.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.100.0.0 0.0.255.255 10.3.0.0 0.0.255.255

deny ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.3.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.3.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.1.0.0 0.0.255.255 10.3.0.0 0.0.255.255

deny ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255

permit ip any any

#定义内网访问外网NAT转换list，此处要排除VPN感兴趣流量，由于有分支之间互访流量，所以不要忘记排除分支之间互访的感兴趣流

！

route-map NAT_ISP1 permit 10

match ip address NAT_LIST_INTERNET

match interface Ethernet0/1

#创建名称为NAT_ISP1的route-map，用于nat转换源使用，匹配名称为NAT_LIST_INTERNET的感兴趣流和出接口Ethernet0/1，两个match语句必须都匹配

route-map NAT_ISP2 permit 10

match ip address NAT_LIST_INTERNET

match interface Ethernet0/2

#创建名称为NAT_ISP2的route-map，用于nat转换源使用，匹配名称为NAT_LIST_INTERNET的感兴趣流和出接口Ethernet0/2，两个match语句必须都匹配

ip nat inside source route-map NAT_ISP1 interface Ethernet0/1 overload

#创建第一个NAT转换表项，通过查找路由表，如果数据流匹配了该route-map语句，流量源来至NAT_LIST_INTERNET，出接口是e0/1，则转换出接口e0/1的接口IP地址，并做PAT

ip nat inside source route-map NAT_ISP2 interface Ethernet0/2 overload

#创建第二个NAT转换表项，通过查找路由表，如果数据流匹配了该route-map语句，流量源来至NAT_LIST_INTERNET，出接口是e0/2，则转换出接口e0/2的接口IP地址，并做PAT

ip route 0.0.0.0 0.0.0.0 202.101.1.2

ip route 0.0.0.0 0.0.0.0 60.137.1.2

#配置默认路由，用于访问Internet，由于是双出口，所以有两条默认路由

ip route 10.0.0.0 255.0.0.0 202.101.1.2

#由于是双出口，所以HQ内部网络出流量有两条路径可选，为了让VPN流量之间互访通过建立VPN隧道接口转发，则需要配置静态路由，手动指定从哪个路径转发VPN流量

ip access-list extended PBR_LIST_ISP1

permit ip 10.100.1.0 0.0.0.255 any

#配置策略路由的感兴趣流，匹配HQ中心站点内网10.100.1.0/24网段的源地址

ip access-list extended PBR_LIST_ISP2

deny ip 10.100.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.100.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.100.0.0 0.0.255.255 10.3.0.0 0.0.255.255

deny ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.3.0.0 0.0.255.255 10.1.0.0 0.0.255.255

deny ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.3.0.0 0.0.255.255 10.2.0.0 0.0.255.255

deny ip 10.1.0.0 0.0.255.255 10.3.0.0 0.0.255.255

deny ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255

permit ip 10.100.2.0 0.0.0.255 any

#配置策略路由的感兴趣流，匹配HQ中心站点内网10.100.2.0/24网段的源地址，此处不要忘记排除掉VPN流量，因为该感兴趣流接下来要指定通过ISP-2线路转发，该线路不建立VPN隧道，所以要进行排除，因为如果流量匹配到了10.100.2.0/24网段作为源地址，那么根据PBR就会选择通过ISP-2路径转发，该路径出接口并没有配置VPN，所以要进行排除

route-map RM_PBR permit 10

match ip address PBR_LIST_ISP1

set ip next-hop verify-availability 202.101.1.2 1 track 1

set ip next-hop 60.137.1.2

#PBR配置，源目地址匹配PBR_LIST_ISP1感兴趣流，则下一跳选择ISP-1，并且跟踪出接口可达性，如果接口down，立即切换ISP-2路径，切换时间根据IP SLA定义的频率和超时时间测算

route-map RM_PBR permit 20

match ip address PBR_LIST_ISP2

set ip next-hop verify-availability 60.137.1.2 1 track 2

set ip next-hop 202.101.1.2

#PBR配置，源目地址匹配PBR_LIST_ISP2感兴趣流，则下一跳选择ISP-2，并且跟踪出接口可达性，如果接口down，立即切换ISP-1路径，切换时间根据IP SLA定义的频率和超时时间测算

以下配置为避坑环节，测试的时候Branch与HQ建立第一阶段ISAKMP SA的流量，如果HQ选择ISP-1出接口，则不会遇到坑，如果通过ISP-2出接口建立第一阶段SA，此坑就出现了。因为该拓扑Branch2和Branch3是动态地址，需要Branch主动发起流量来触发vpn隧道建立，而第一阶段SA是通过公网地址之间建立，分支配置了set peer 202.101.1.1，源地址是分支的公网IP地址，目的IP地址是202.101.1.1，该方向的流量没有问题，但是当HQ回包流量如果选择了ISP-2作为下一跳（例如该拓扑，Branch3与HQ建立isakmp sa时，HQ的回包选择了ISP-2作为下一跳），那么ISAKMP SA就无法建立成功，为了避坑，使得第一阶段ISAKMP SA建立成功，需要配置一个本地PBR，让UDP 500的流量始终通过ISP-1路径转发。

ip access-list extended ISAKMP

permit udp any eq isakmp any eq isakmp

#创建名称为ISAKMP的ACL，匹配源目端口号UDP 500的所有流量

route-map LOCAL_PBR permit 10

match ip address ISAKMP

set ip next-hop 202.101.1.2

#名称为LOCAL_PBR的route-map，match名称为ISAKMP的感兴趣流，set下一跳为ISP-1

ip local policy route-map LOCAL_PBR

#配置本地PBR

hostname R102

interface Loopback1

ip address 10.100.1.1 255.255.255.0

interface Loopback2

ip address 10.100.2.2 255.255.255.0

interface Ethernet0/0

ip address 10.100.254.2 255.255.255.252

router ospf 100

router-id 10.100.255.102

redistribute connected subnets

network 10.100.254.2 0.0.0.0 area 0

注意：

1、动态地址站点需要主动建立VPN隧道（触发感兴趣流），如果两个站点都是动态地址，那么两个站点建立隧道（需要中心站点中转），要同时主动触发到达彼此之间的感兴趣流（前提是到达中心站点的隧道已经建立完成）；

2、中心站点手工配置到达分支VPN流量的静态路由，下一跳为建立VPN隧道接口的下一跳公网地址；

3、双出口，只有一个出口建立VPN隧道，那么一定要配置本地PBR，让UDP 500的ISAKMP流量通过指定出口（建立VPN接口）转发，使得可以成功建立第一阶段SA；

4、该方案用于实际生产环境中不支持GRE封装IPSec的设备，如果是纯思科设备建立采用DMVPN来实现，如果是多厂商设备，而都支持GRE封装，那么建议配置GRE over IPSec VPN，内网配置动态路由协议。

如下图：

Branch3主动建立到HQ的VPN隧道，从Branch3内网发起一个icmp到HQ的内网

撞击了名称为ISAKMP的ACL感兴趣流，调用本地PBR，通过ISP-1接口回包，使得隧道成功建立