通過DDN互聯VPN作備份配置實例

來源:本站原創 VPN 超過1,040 views圍觀 0條評論

回復說經過測試沒有問題,再次查看接口協議以及端口全部UP,但還是PING不通,再次與電信聯系電信,電信同意兩端同時派人上門,在等待電信的人同時我也查看路由接口以及HDSL發現上面閃的是黃燈,感覺問題應該出于此但當時也不感肯定(因為平時很少留心到電信所提供的設備,只是關心我們自己的產品,所以說有多大把握,但還是憑自己的感覺懷疑是不是光纖插反了而出現此類情況呢?反正死馬當活馬醫了,兩端調換一下,好家伙竟然變綠了,到路由上PING北京端路由驚喜的!出現了),通過一些路由的設定完全實現了用戶要求的走DDN線路由深圳端出Internet要經過北京端SV2000認證,DDN到此基本完全結束。

449234062847054683[1]

北京端VPN配置:

ISAKMP的配置:

crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 periodic

轉換集的配置:

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

動態加密圖的配置:

crypto dynamic-map cisco 10

set transform-set cisco

match address 100

把動態加密圖加入到MAP上:

crypto map cisco 10 ipsec-isakmp dynamic cisco

把加密圖應用到接口上:

interface FastEthernet0/1
no ip address
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
crypto map cisco
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp chap hostname *
ppp chap password 0 *
ppp pap sent-username * password 0 *
crypto map cisco

定義需要加密的流量:

access-list 100 permit ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 192.168.9.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny
ip 192.168.7.0 0.0.0.255 any
access-list 100 deny
ip 192.168.8.0 0.0.0.255 any
access-list 100 deny
ip 192.168.9.0 0.0.0.255 any
access-list 100 deny
ip 192.168.11.0 0.0.0.255 any

定義不需要NAT轉換的地址:

access-list 101 deny
ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 deny
ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 deny
ip 192.168.9.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 deny
ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.8.0 0.0.0.255 any

深圳端VPN配置:

ISAKMP的配置:

crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 222.128.50.112
crypto isakmp keepalive 30 10 periodic

轉換集的配置:

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

加密碼圖的配置:

crypto map cisco 10 ipsec-isakmp
set peer 222.128.50.112
set transform-set cisco
match address 100

把加密圖應用到接口:

interface FastEthernet0/1
no ip address
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
crypto map cisco
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp chap hostname *
ppp chap password 0 *
ppp pap sent-username * password 0 *
crypto map cisco

定義需要加密碼的流量:

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 100 deny
ip 192.168.10.0 0.0.0.255 any

定義不需要NAT轉換的地址:

access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit

在整個VPN配置中遇到很多問題,主要原因是開始建立VPN之時,用戶不同意使用兩條獨立的線路來建立VPN,想使用北京端現有的Internet線路通過NAT的方式來做VPN,那么這樣做就勢必受到很多影響,因為要從3640上NAT到現有的2801上面要經過三次NAT,這樣做就涉及到安全以及轉換的問題,由于客戶時間、安全的問題,我沒能拿以上三臺設備的管理權限,一切只能由他們來做,最終我也不能確定他們在PIX以及SV2000是否正確,最終導致整個VPN的構建失敗,由于DDN前期投入到正常使用,這樣的測試沒有太多時間來完成測試及實驗,只能建議客戶在北京端申請一條固定IP的ADSL,當兩邊都為獨立的外部線路來建立VPN,比較順利一次成功,但在測試中SHUTDOWN掉S0/2/0后VPN能馬上起來接替DDN而NO SHUTDOWN后DDN線路能起來,但是當再次SHUTDOWN掉S0/2/0接口后,而VPN一直不能建立連接,DEBUG看到一直提示:*Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 61.144.56.100 dst 61.144.56.101 for SPI 0x3A7B69BF,基本確定問題出現在ISAKMP,只能從此著手,經過查看CISCO官方網站得出結論大概是ISAKMP有一個存活時間,在此次存活時間內,有一端ISAKMP未失效而另一端又采用新的ISAKMP建立連接,出現匹配造成VPN建立不成功,通過在兩端加上ISAKMP的KEEPALIVE存活時間設置,最終問題得到解決,從而實現了正常的切換。

三、DDN與VPN切換的配置

北京切換配置:

ip sla monitor 1 /建立監視組1探測深圳端的IP
type echo protocol ipIcmpEcho 192.168.100.2 /發送ICMP探測深圳端IP
timeout 999 /超時時間999MS
frequency 1 /發送一個包
ip sla monitor schedule 1 life forever start-time now /定義監視組的SCHEDULE、LIFE、FOREVER的開始時間
track 1 rtr 1 reachability /定義TRACK組
ip route 192.168.10.0 255.255.255.0 192.168.100.2 60 track 1
ip route 0.0.0.0 0.0.0.0 192.168.8.254 60 track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 70
ip route 192.168.7.0 255.255.255.0 192.168.8.254 70
ip route 192.168.9.0 255.255.255.0 192.168.8.254 70
ip route 192.168.11.0 255.255.255.0 192.168.8.254 70

此處幾條路由也就是整個線路切換與恢復的關健所在,依次描述。

當DDN正常時默認所有到達深圳端的流量都走S0/2/0端口,并由TRACK1檢測是否把此條路由放入路由表中。

當DDN正常時,所有深圳端過來的流量全部轉發到SV2000的LAN口,實現深圳出公網的認證以及深圳端與北京端路由,并由TRACK1檢測是否把此條路由放入路由表中。

當DDN當掉后,通過TRACK1檢測路由會默認關閉S0/2/0,此路由會被放到路由表中,而建立兩端的VPN而實現DDN業務的接替,當TRACK1檢測到DDN恢復后,此表路由會被刪除。

其余幾條基本同上一條功能一樣,只是更詳細的匹配了VPN建立后流量的轉發,而實現深圳端與北京端內網的路由。

實現的效果:

走專線時:

pekru020#show ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is 192.168.8.254 to network 0.0.0.0
222.128.50.0/32 is subnetted, 2 subnets
C
222.128.50.112 is directly connected, Dialer1
C
222.128.50.65 is directly connected, Dialer1
C
192.168.8.0/24 is directly connected, FastEthernet0/0
S
192.168.9.0/24 [70/0] via 192.168.8.254
S
192.168.10.0/24 [60/0] via 192.168.100.2
S
192.168.11.0/24 [70/0] via 192.168.8.254
S
192.168.7.0/24 [70/0] via 192.168.8.254
C
192.168.100.0/24 is directly connected, Serial0/2/0
S*
0.0.0.0/0 [60/0] via 192.168.8.254

走VPN時:

pekru020#show ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
222.128.50.0/32 is subnetted, 2 subnets
C
222.128.50.112 is directly connected, Dialer1
C
222.128.50.65 is directly connected, Dialer1
C
192.168.8.0/24 is directly connected, FastEthernet0/0
S
192.168.9.0/24 [70/0] via 192.168.8.254
S
192.168.11.0/24 [70/0] via 192.168.8.254
S
192.168.7.0/24 [70/0] via 192.168.8.254
S*
0.0.0.0/0 is directly connected, Dialer1

完全實現了線路的自動切換與恢復。

深圳端切換配置:

ip sla monitor 1
type echo protocol ipIcmpEcho 192.168.100.1
timeout 999
frequency 1
ip sla monitor schedule 1 life forever start-time now
track 1 rtr 1 reachability
ip route 0.0.0.0 0.0.0.0 192.168.100.1 60 track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 70

深圳端相對簡單,配置原理與北京端相同,在此也不再闡述相關配置了。

在此需要特別注意的地方是,像電信所提供的數字線路,一定需要配合使用監視組來查看業務是否中斷,因為當一端DOWN后,而另一端的鏈路由于連接的是運營商端,只要客戶端與運營商端線路正常,那么另一端協議以及端口都會處于UP狀態,那么也不能使管理距離為60的路由在路由表里及時刪除也會造成管理距離為70的路由被放到路由表。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=195轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏