ipsecvpn高可用性链路冗余备份实例

标题：ipsecvpn的高可用性目的：实现vpn链路的冗余备份拓扑：步骤：1.按照拓扑给路由器的接口分配地址Ip地址规划Branch上branch(config)#intf0/0branch(config-if)#ipadd202.100.1.1255.255.255.0branch(config-if)#noshbranch(config-if)#intlo0branch(config-if)#ipadd1.1.1.1255.255.255.0isp上isp(config)#intf0/1isp(config-if)#ipadd202.100.1.10255.255.255.0isp(config-if)#noshisp(config-if)#intf0/0isp(config-if)#ipadd61.128.1.10255.255.255.0isp(config-if)#noshisp(config-if)#intf1/0isp(config-if)#ipadd137.78.5.10255.255.255.0isp(config-if)#noshactive上active(config)#intf0/1active(config-if)#ipadd61.128.1.1255.255.255.0active(config-if)#noshactive(config-if)#intf0/0active(config-if)#ipadd10.1.1.10255.255.255.0active(config-if)#noshstandby上standby(config)#intf0/1standby(config-if)#ipadd137.78.5.1255.255.255.0standby(config-if)#noshstandby(config-if)#intf0/0standby(config-if)#ipadd10.1.1.20255.255.255.0standby(config-if)#noshinside上inside(config)#intf0/1inside(config-if)#ipadd10.1.1.1255.255.255.0inside(config-if)#noshinside(config-if)#intlo0inside(config-if)#ipadd2.2.2.2255.255.255.0测试直连路由是否可达2.Center中运行动态路由企业内部网络都会运行一种动态路由协议，保障内网用户底层可达Active上active(config)#routerospf1active(config-router)#network10.1.1.00.0.0.255area0standby上standby(config)#routerospf1standby(config-router)#network10.1.1.00.0.0.255area0inside上inside(config)#routerospf1inside(config-router)#network10.1.1.00.0.0.255area0inside(config-router)#network2.2.2.00.0.0.255a03.建立vpn企业网络的边界路由一般使用缺省路由指向互联网首先解决路由问题Branch上Active上Standby上测试连通性然后定义第一阶段的协商策略和认证定义协商策略和认证：认证方式为预共享密钥；配置预共享的key，vpn两端必须一致；为了实现vpn链路的冗余备份，因此需要分支指向中心不同的边界网关，预共享key可以相同，也可以不同Branch上branch(config)#cryptoisakmppolicy10branch(config-isakmp)#authenticationpre-sharebranch(config)#cryptoisakmpkey0ciscoaddress61.128.1.1branch(config)#cryptoisakmpkey0h3caddress137.78.5.1定义协商策略和认证：认证方式为预共享密钥；配置预共享的key，vpn两端必须一致active上active(config)#cryptoisakmppolicy10active(config-isakmp)#authenticationpre-shareactive(config)#cryptoisakmpkey0ciscoaddress202.100.1.1standby上standby(config)#cryptoisakmppolicy10standby(config-isakmp)#authenticationpre-sharestandby(config)#cryptoisakmpkey0h3caddress202.100.1.1在branch、active和standby上开启DPD开启DPD，即死亡邻居检测。以周期性（每10秒）的发送keepalive报文探测vpn链路或者vpn设备是否工作正常，以实现一个快速的切换定义第二阶段的加密策略定义加密策略：配置感兴趣流，配置转换集（des加密，MD5认证，隧道模式）Branch上branch(config)#ipaccess-listextendedvpnbranch(config-ext-nacl)#permitip1.1.1.00.0.0.2552.2.2.00.0.0.255branch(config)#cryptoipsectransform-settransesp-desesp-md5-hmacbranch(cfg-crypto-trans)#modetunnelactive上active(config)#ipaccess-listextendedvpnactive(config-ext-nacl)#permitip2.2.2.00.0.0.2551.1.1.00.0.0.255active(config)#cryptoipsectransform-settransesp-desesp-md5-hmacactive(cfg-crypto-trans)#modetunnelstandby上standby(config)#ipaccess-listextendedvpnstandby(config-ext-nacl)#permitip2.2.2.00.0.0.2551.1.1.00.0.0.255standby(config)#cryptoipsectransform-settransesp-desesp-md5-hmacstandby(cfg-crypto-trans)#modetunnel定义加密图定义加密图：匹配感兴趣流，转换集，配置peer（为实现冗余备份，分支需要与中心的多个边界建立vpn，先匹配的先建立vpn，然后依次建立【default：不加时，当活动链路down掉后，从首到尾依次检查；加上时，以“圆”的形式检查）Branch上branch(config)#cryptomapcisco10ipsec-isakmpbranch(config-crypto-map)#matchaddressvpnbranch(config-crypto-map)#settransform-settransbranch(config-crypto-map)#setpeer61.128.1.1defaultbranch(config-crypto-map)#setpeer137.78.5.1定义加密图：匹配感兴趣流，转换集，配置peer，启用反向路由注入，并给RRI动态产生的路由打上tag10，解决链路备份的回包问题。active上active(config)#cryptomapcisco10ipsec-isakmpactive(config-crypto-map)#matchaddressvpnactive(config-crypto-map)#settransform-settransactive(config-crypto-map)#setpeer202.100.1.1active(config-crypto-map)#reverse-routeactive(config-crypto-map)#setreverse-routetag10standby上standby(config)#cryptomapcisco10ipsec-isakmpstandby(config-crypto-map)#matchaddressvpnstandby(config-crypto-map)#settransform-settransstandby(config-crypto-map)#setpeer202.100.1.1standby(config-crypto-map)#reverse-routestandby(config-crypto-map)#setreverse-routetag10接口调用接口调用加密图，当内网的通信点与vpn对端的通信点进行通信，会触发连接internet的接口（加密点），对数据加密，以保障数据在internet网络中传输时的安全，vpn对端接口则会解密、验证，如果认证通过，数据传输；不通过，直接丢弃Branch上branch(config)#intf0/0branch(config-if)#cryptomapciscoactive上active(config)#intf0/1active(config-if)#cryptomapciscostandby上standby(config)#intf0/1standby(config-if)#cryptomapcisco在active和standby上配置route-map利用route-map来匹配上tag10的路由active(config)#route-maps2opermit10active(config-route-map)#matchtag10standby(config)#route-maps2opermit10standby(config-route-map)#matchtag10在active和standby上将route-map在OSPF中通告将route-map重发布进ospf，通告所有内网用户active(config)#routerospf1active(config-router)#redistributestaticroute-maps2osubnetsstandby(config)#routerospf1standby(config-router)#redistributestaticroute-maps2osubnets4.测试链路是否建立成功首先在active上查看加解密包的个数再查看静态路由RRI，反向路由注入，即指那一台路由器上有ipsecsa，做了启用的反向路由注入，就会在本地路由器上自动产生一条目标是对端通信点，下一跳为对端加密点的静态路由。只有有ipsecsa才会产生，因为没有触发，所以没有加解密的包和产生路由在branch上发起ping命令发起ping命名，触发vpn策略在active上查看加解密包的个数和静态路由加解密包产生，触发了ipsecsa，产生静态路由在inside上查看路由内部网络收到静态路由，且下一跳为10.1.1.10，即说明分支与中心的active建立vpn在standby上查看加解密包的个数和静态路由Standby设备上没有加解密的包和产生路由，也说明分支与中心的active建立vpn再在branch上发起ping命令在isp上将f0/0接口shutdownisp(config)#intf0/0isp(config-if)#shutdown将isp的f0/0口down掉，模拟vpn链路发生问题然后再