MSR系列路由器总部双出口固定IP分支动态地址IPSec备份.docx
- 文档编号:1063836
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:13
- 大小:51.90KB
MSR系列路由器总部双出口固定IP分支动态地址IPSec备份.docx
《MSR系列路由器总部双出口固定IP分支动态地址IPSec备份.docx》由会员分享,可在线阅读,更多相关《MSR系列路由器总部双出口固定IP分支动态地址IPSec备份.docx(13页珍藏版)》请在冰点文库上搜索。
MSR系列路由器总部双出口固定IP分支动态地址IPSec备份
MSR系列路由器
总部双出口固定IP、分支动态地址IPSec备份
一、组网:
二、客户需求
总部使用联通、电信双出口,分支单出口。
要求总部和分支之间通过IPSec建立VPN,并进行相互备份。
部分分支与总部联通线路相连,电信链路作为备份;另一部分与总部电信线路相连,联通线路作为备份。
假设RTC是优选电信线路,RTD是优选联通线路。
三、设计方案
地址,路由设计:
1. 假设分支和总部合起来不超过126个,那么所有Loopback可以使用一个192.168.254.0的C类网段,如果超过,就使用192.168.254.0和192.168.253.0两个C网段。
2. 所有Loopback0对应联通线路,从192.168.254.1至192.168.254.126,如总部可以使用192.168.254.1,其余分支从2至126。
3. 所有Loopback1对应电信线路,从192.168.254.129至192.168.253.254,如总部可以使用192.168.254.129,其余分支从130至254。
4. 总部和各分支的Loopback0作为源、目的建立一条GRE隧道,tunnel编号从2至126,对应分支loopback0地址末端,便于记忆,该隧道只从联通线路建立。
5. 总部和各分支的Loopback1作为源、目的建立一条GRE隧道,tunnel编号从130至254,对应分支loopback1地址末端,便于记忆,该隧道只从电信线路建立。
6. 在GRE隧道上配置Keeplive,用于监测tunnel接口状态,使用Keeplive后就不需要使用NQA探测了。
7. 总部配置各Loopback0路由iprouting-table192.168.254.025 联通出口。
8. 总部配置各Loopback1路由iprouting-table192.168.254.128.025 电信出口。
9. 各分支建立两条GRE隧道,源分别是Loopback0、Loopback1,目的分别是总部的Loopback0和Loopback1,编号分别是tunnel2~126和tunnel130~254,tunnel接口编号和所使用源Loopback地址最后一段一致,便于记忆。
10. 分支由于是只有一条拨号线路,使用默认路由即可。
11. 总部将部分分支(优选联通线路)的VPN网段路由指向以Loopback0为源的GRE隧道,优先级默认60,指向以Loopback1为源的GRE隧道,优先级为80,作为备份。
12. 总部将部分分支(优选电信线路)的VPN网段路由指向以Loopback1为源的GRE隧道,优先级默认60,指向以Loopback0为源的GRE隧道,优先级为80,作为备份
13. 部分分支(优选联通线路)将总部VPN网段路由指向以Loopback0为源的GRE隧道,优先级默认60,指向以Loopback1为源的GRE隧道,优先级为80,作为备份。
14. 部分分支(优选电信线路)将总部VPN网段路由指向以Loopback1为源的GRE隧道,优先级默认60,指向以Loopback0为源的GRE隧道,优先级为80,作为备份。
IPSec设计:
1. 由于分支端地址由拨号动态获取或存在NAT设备,所以使用野蛮模式IKE。
2. 总部配置1个ikepeerbranch即可,配置pre-shared-key、exchang-modeaggressive、nattraversal即可。
3. 分支需要配置2个ikepeer,ikepeerunicom和ikepeertelecom,除配置pre-shared-key、exchang-modeaggressive、nattraversal外,还需要配置remote-address。
4. ikeproposal不需要配置,使用默认,配置ipsecproposaldef即可。
5. 分支配置两个ACL,aclnumber3000rulepermitgresource 分支Loopback00destination 总部Loopback0,aclnumber3001rulepermitgresource 分支Loopback10destination 总部Loopback1
6. 总部配置IPSecpolicy-templatetemp1,指定ike-peerbranch,proposaldef即可,使用模板不需要配置acl。
7. 分支配置ipsecpolicyheadquarter1isakmp,绑定ike-peerunicom,proposaldef, securityacl3000。
8. 分支配置ipsecpolicyheadquarter2isakmp,绑定ike-peertelecom,proposaldef, securityacl3001。
9. 总部配置ipsecpolicybranch1isakmptemplatetemp。
10. 分支将ipsecpolicyheadquarter下发到外网接口。
11. 总部将ipsecpolicybranch分别下发到联通和电信接口即可。
三、配置
RTA配置
#
//为联通线路创建LoopBack0
interfaceLoopBack0
ipaddress192.168.254.1255.255.255.255
#
//为电信线路创建LoopBack1
interfaceLoopBack1
ipaddress192.168.254.129255.255.255.255
#
//创建LoopBack10 模拟总部的内部网络
interfaceLoopBack10
ipaddress10.10.10.10255.255.255.255
#
//创建总部到分支RTC的联通 GRE隧道
interfaceTunnel2
ipaddress7.1.1.2255.255.255.0
source192.168.254.1
destination192.168.254.2
keepalive
#
//创建总部到分支RTD的联通 GRE隧道
interfaceTunnel3
ipaddress12.1.1.2255.255.255.0
source192.168.254.1
destination192.168.254.3
keepalive
#
//创建总部到分支RTC的电信GRE隧道
interfaceTunnel130
ipaddress8.1.1.2255.255.255.0
source192.168.254.129
destination192.168.254.130
keepalive
#
//创建总部到分支RTD的电信GRE隧道
interfaceTunnel131
ipaddress13.1.1.2255.255.255.0
source192.168.254.129
destination192.168.254.131
keepalive
#
//电信线路作为前往分支4.1.1.1主线路
iproute-static4.1.1.0255.255.255.03.1.1.2
//联通线路作为前往分支4.1.1.1的备份
iproute-static4.1.1.0255.255.255.02.1.1.2preference80
//电信线路作为前往分支5.1.1.1的备份
iproute-static5.1.1.0255.255.255.03.1.1.2preference80
//联通线路作为前往分支5.1.1.1的主线路
iproute-static5.1.1.0255.255.255.02.1.1.2
//配置电信的GRE隧道为总部到分支RTC的主线路
iproute-static10.1.1.0255.255.255.0Tunnel130
//配置联通的GRE隧道为总部到分支RTC的备份线路
iproute-static10.1.1.0255.255.255.0Tunnel2preference80
//配置电信的GRE隧道为总部到分支RTD的备份链路
iproute-static11.1.1.0255.255.255.0Tunnel131preference80
//配置联通的GRE隧道为总部到分支RTD的主链路
iproute-static11.1.1.0255.255.255.0Tunnel3
//通过联通线路到达每个分支的LoopBack0
iproute-static192.168.254.0255.255.255.1282.1.1.2
//通过电信通线路到达每个分支的LoopBack1
iproute-static192.168.254.128255.255.255.1283.1.1.2
#
ikepeerbranch
//由于分支端地址由拨号动态获取或存在NAT设备,所以使用野蛮模式IKE
exchange-modeaggressive
pre-shared-key123
nattraversal
#
//安全提议采用默认的
ipsecproposaldef
#
//总部使用模板,不用配置acl
ipsecpolicy-templatetemp1
ike-peerbranch
proposaldef
#
ipsecpolicybranch1isakmptemplatetemp
#
//联通接口
interfaceEthernet0/0
portlink-moderoute
ipaddress2.1.1.1255.255.255.0
//在接口上下发安全策略
ipsecpolicybranch
#
//电信接口
interfaceEthernet0/1
portlink-moderoute
ipaddress3.1.1.1255.255.255.0
//在接口上下发安全策略
ipsecpolicybranch
#
RTB配置
//用RTB来模拟Internet
#
interfaceEthernet0/0
portlink-moderoute
ipaddress3.1.1.2255.255.255.0
#
interfaceEthernet0/1
portlink-moderoute
ipaddress2.1.1.2255.255.255.0
#
interfaceEthernet0/2
portlink-moderoute
ipaddress4.1.1.2255.255.255.0
#
interfaceEthernet0/3
portlink-moderoute
ipaddress5.1.1.2255.255.255.0
#
RTC配置
#
//为联通线路创建LoopBack0
interfaceLoopBack0
ipaddress192.168.254.2255.255.255.255
#
//为电信线路创建LoopBack1
interfaceLoopBack1
ipaddress192.168.254.130255.255.255.255
#
//创建联通线路的GRE隧道
interfaceTunnel2
ipaddress7.1.1.1255.255.255.0
source192.168.254.2
destination192.168.254.1
keepalive
#
//创建电信线路的GRE隧道
interfaceTunnel130
ipaddress8.1.1.1255.255.255.0
source192.168.254.130
destination192.168.254.129
keepalive
#
//配置一条默认路由来制定出口方向
iproute-static0.0.0.00.0.0.04.1.1.2
//配置联通的GRE隧道为分支访问总部的备份线路
iproute-static10.10.10.10255.255.255.255Tunnel2preference80
//配置电信的GRE隧道为分支访问总部的主线路
iproute-static10.10.10.10255.255.255.255Tunnel130
#
//配置ACL3000匹配联通线路GRE流量
aclnumber3000
rule0permitgresource192.168.254.20destination192.168.254.10
//配置ACL3001匹配电信线路GRE流量
aclnumber3001
rule0permitgresource192.168.254.1300destination192.168.254.1290
#
//配置电信线路的IKE对等体
ikepeertelecom
exchange-modeaggressive
pre-shared-key123
remote-address3.1.1.1
nattraversal
#
//配置联通线路的IKE对等体
ikepeerunicom
exchange-modeaggressive
pre-shared-key123
remote-address2.1.1.1
nattraversal
#
//配置默认的安全提议
ipsecproposaldef
#
//配置走联通线路的路由策略
ipsecpolicyheadquarter1isakmp
securityacl3000
ike-peerunicom
proposaldef
#
//配置走电信线路的路由策略
ipsecpolicyheadquarter2isakmp
securityacl3001
ike-peertelecom
proposaldef
#
interfaceGigabitEthernet0/0
portlink-moderoute
ipaddress4.1.1.1255.255.255.0
//在端口上应用路由策略
ipsecpolicyheadquarter
#
//给G0/1配置一个IP地址模拟分支内部网络
interfaceGigabitEthernet0/1
portlink-moderoute
ipaddress10.1.1.1255.255.255.0
#
RTD配置
#
//为联通线路创建LoopBack0
interfaceLoopBack0
ipaddress192.168.254.3255.255.255.255
#
//为电信线路创建LoopBack1
interfaceLoopBack1
ipaddress192.168.254.131255.255.255.255
#
//创建联通线路的GRE隧道
interfaceTunnel3
ipaddress12.1.1.1255.255.255.0
source192.168.254.3
destination192.168.254.1
keepalive
#
//创建电信线路的GRE隧道
interfaceTunnel131
ipaddress13.1.1.1255.255.255.0
source192.168.254.131
destination192.168.254.129
keepalive
#
//配置一条默认路由来制定出口方向
iproute-static0.0.0.00.0.0.05.1.1.2
//配置联通的GRE隧道为分支访问总部的主线路
iproute-static10.10.10.10255.255.255.255Tunnel3
//配置电信的GRE隧道为分支访问总部的备份线路
iproute-static10.10.10.10255.255.255.255Tunnel131preference80
#
//配置ACL3000匹配联通线路
aclnumber3000
rule0permitgresource192.168.254.30destination192.168.254.10
//配置ACL3001匹配电信线路
aclnumber3001
rule0permitgresource192.168.254.1310destination192.168.254.1290
#
//配置电信线路的IKE对等体
ikepeertelecom
exchange-modeaggressive
pre-shared-key123
remote-address3.1.1.1
nattraversal
#
//配置联通线路的IKE对等体
ikepeerunicom
exchange-modeaggressive
pre-shared-key123
remote-address2.1.1.1
nattraversal
#
//配置默认的安全提议
ipsecproposaldef
#
//配置走联通线路的路由策略
ipsecpolicyheadquarter1isakmp
securityacl3000
ike-peerunicom
proposaldef
#
//配置走电信线路的路由策略
ipsecpolicyheadquarter2isakmp
securityacl3001
ike-peertelecom
proposaldef
#
interfaceGigabitEthernet0/0
portlink-moderoute
ipaddress5.1.1.1255.255.255.0
//在端口上应用路由策略
ipsecpolicyheadquarter
#
//给G0/1配置一个IP地址模拟分支内部网络
interfaceGigabitEthernet0/1
portlink-moderoute
ipaddress11.1.1.1255.255.255.0
#
四、配置关键点
1. 在配置总部的IKE对等体的时候,不能配置remote-address,否则不能实现总部到多个分支的通信。
2. 配置总部安全策略的时候,使用模板,不用配置acl。
3. 用RTB模拟Internet的时候,要配置静态路由以保证Internet内部路由可达。
4. 分别用LoopBack10,和G0/1来模拟总部和分支的内部网络,通过测试它们之间的联通性来确保总部和分支内部网络之间的可达。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MSR 系列 路由器 总部 出口 固定 IP 分支 动态 地址 IPSec 备份