通过DDN互联VPN作备份配置实例.docx
- 文档编号:10748315
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:13
- 大小:85.06KB
通过DDN互联VPN作备份配置实例.docx
《通过DDN互联VPN作备份配置实例.docx》由会员分享,可在线阅读,更多相关《通过DDN互联VPN作备份配置实例.docx(13页珍藏版)》请在冰点文库上搜索。
通过DDN互联VPN作备份配置实例
项目实战:
通过DDN互联VPN作备份配置实例
项目简介:
最近在做一个北京与深圳两地互联的项目,通过DDN互联VPN作备份,在整个项目实施中也遇到不少问题,最终借助于网络的力量,问题终于一一得到解决,完成整个项目的验收。
在此特别感谢在此项目中一直指导我的烦尘子等几位版主。
拓扑图:
具体网络拓扑如上,客户要求两地通过DDN专线互联并且深圳端上网在DDN正常的情况下,深圳所有出Internet流量必须通过北京端SV2000认证,在DDN断掉的时候通过两条ADSL实现VPN备份接替DDN的业务,而当DDN线路恢复正常时VPN需要处于备份状态,完全由DDN来传输数据。
(其中,北京端ADSL为固定IP,使用VPN时深圳端直接从ADSL出口,无需从北京认证出口。
)
一、以下是DDN配置
北京端DDN配置:
interfaceSerial0/2/0(串口配置)
descriptionlianjieshengzhengwan
ipaddress192.168.100.1255.255.255.0
interfaceFastEthernet0/0
descriptionlianjiebeijinlan
ipaddress192.168.8.253255.255.255.0
ipnatinside
ipvirtual-reassembly
duplexauto
speedauto
iproute192.168.10.0255.255.255.0192.168.100.260track1
iproute0.0.0.00.0.0.0192.168.8.25460track1
深圳只有一个网段为:
192.168.10.0所有到达此网段的路由走192.168.100.2其它所有流量均来自深圳端网络,那么要经过认证以及深圳端与北京端网络的路由(192.168.8.0、192.168.9.0均在SV2000上划分并路由),所有流量均转发到SV2000上面(SV2000上面已经做好路由,所有到达192.168.10.0网段全部转发到192.168.8.253)。
深圳端DDN配置:
interfaceSerial0/2/0
descriptionshengzhengwan
ipaddress192.168.100.2255.255.255.0
interfaceFastEthernet0/0
descriptionshengzhenglan
ipaddress192.168.10.253255.255.255.0
ipnatinside
ipvirtual-reassembly
duplexauto
speedauto
iproute0.0.0.00.0.0.0192.168.100.160track1
以上就是整个DDN互联的配置,在调试过程中遇到一个小小的问题,开始把IP以及路由配置上去之后,测试发现两端不通,查看接口已经UP了,但是协议一直是DOWN的,查看两端的协议封装都为HDLC,改为PPP封装后还是不行,通过打环两端路由均看不到对端的环,开始怀疑问题出在电信端,于是与客户沟通让其联系电信,电信回复说经过测试没有问题,再次查看接口协议以及端口全部UP,但还是PING不通,再次与电信联系电信,电信同意两端同时派人上门,在等待电信的人同时我也查看路由接口以及HDSL发现上面闪的是黄灯,感觉问题应该出于此但当时也不感肯定(因为平时很少留心到电信所提供的设备,只是关心我们自己的产品,所以说有多大把握,但还是凭自己的感觉怀疑是不是光纤插反了而出现此类情况呢?
反正死马当活马医了,两端调换一下,好家伙竟然变绿了,到路由上PING北京端路由惊喜的!
出现了),通过一些路由的设定完全实现了用户要求的走DDN线路由深圳端出Internet要经过北京端SV2000认证,DDN到此基本完全结束。
北京端VPN配置:
ISAKMP的配置:
cryptoisakmppolicy10
hashmd5
authenticationpre-share
cryptoisakmpkeyciscoaddress0.0.0.00.0.0.0
cryptoisakmpkeepalive10periodic
转换集的配置:
cryptoipsectransform-setciscoesp-3desesp-md5-hmac
动态加密图的配置:
cryptodynamic-mapcisco10
settransform-setcisco
matchaddress100
把动态加密图加入到MAP上:
cryptomapcisco10ipsec-isakmpdynamiccisco
把加密图应用到接口上:
interfaceFastEthernet0/1
noipaddress
ipnatoutside
ipvirtual-reassembly
duplexauto
speedauto
pppoeenable
pppoe-clientdial-pool-number1
cryptomapcisco
interfaceDialer1
mtu1492
ipaddressnegotiated
ipnatoutside
ipvirtual-reassembly
encapsulationppp
noiproute-cachecef
noiproute-cache
noipmroute-cache
dialerpool1
dialer-group1
pppauthenticationpapcallin
pppchaphostname*
pppchappassword0*
ppppapsent-username*password0*
cryptomapcisco
定义需要加密的流量:
access-list100permitip192.168.7.00.0.0.255192.168.10.00.0.0.255
access-list100permitip192.168.8.00.0.0.255192.168.10.00.0.0.255
access-list100permitip192.168.9.00.0.0.255192.168.10.00.0.0.255
access-list100permitip192.168.11.00.0.0.255192.168.10.00.0.0.255
access-list100deny
ip192.168.7.00.0.0.255any
access-list100deny
ip192.168.8.00.0.0.255any
access-list100deny
ip192.168.9.00.0.0.255any
access-list100deny
ip192.168.11.00.0.0.255any
定义不需要NAT转换的地址:
access-list101deny
ip192.168.7.00.0.0.255192.168.10.00.0.0.255
access-list101deny
ip192.168.8.00.0.0.255192.168.10.00.0.0.255
access-list101deny
ip192.168.9.00.0.0.255192.168.10.00.0.0.255
access-list101deny
ip192.168.11.00.0.0.255192.168.10.00.0.0.255
access-list101permitip192.168.8.00.0.0.255any
深圳端VPN配置:
ISAKMP的配置:
cryptoisakmppolicy10
hashmd5
authenticationpre-share
cryptoisakmpkeyciscoaddress222.128.50.112
cryptoisakmpkeepalive3010periodic
转换集的配置:
cryptoipsectransform-setciscoesp-3desesp-md5-hmac
加密码图的配置:
cryptomapcisco10ipsec-isakmp
setpeer222.128.50.112
settransform-setcisco
matchaddress100
把加密图应用到接口:
interfaceFastEthernet0/1
noipaddress
ipnatoutside
ipvirtual-reassembly
duplexauto
speedauto
pppoeenable
pppoe-clientdial-pool-number1
cryptomapcisco
interfaceDialer1
mtu1492
ipaddressnegotiated
ipnatoutside
ipvirtual-reassembly
encapsulationppp
noiproute-cachecef
noiproute-cache
noipmroute-cache
dialerpool1
dialer-group1
pppauthenticationpapcallin
pppchaphostname*
pppchappassword0*
ppppapsent-username*password0*
cryptomapcisco
定义需要加密码的流量:
access-list100permitip192.168.10.00.0.0.255192.168.7.00.0.0.255
access-list100permitip192.168.10.00.0.0.255192.168.8.00.0.0.255
access-list100permitip192.168.10.00.0.0.255192.168.9.00.0.0.255
access-list100permitip192.168.10.00.0.0.255192.168.11.00.0.0.255
access-list100deny
ip192.168.10.00.0.0.255any
定义不需要NAT转换的地址:
access-list101deny
ip192.168.10.00.0.0.255192.168.7.00.0.0.255
access-list101deny
ip192.168.10.00.0.0.255192.168.8.00.0.0.255
access-list101deny
ip192.168.10.00.0.0.255192.168.9.00.0.0.255
access-list101deny
ip192.168.10.00.0.0.255192.168.11.00.0.0.255
access-list101permitip192.168.10.00.0.0.255any
dialer-list1protocolippermit
在整个VPN配置中遇到很多问题,主要原因是开始建立VPN之时,用户不同意使用两条独立的线路来建立VPN,想使用北京端现有的Internet线路通过NAT的方式来做VPN,那么这样做就势必受到很多影响,因为要从3640上NAT到现有的2801上面要经过三次NAT,这样做就涉及到安全以及转换的问题,由于客户时间、安全的问题,我没能拿以上三台设备的管理权限,一切只能由他们来做,最终我也不能确定他们在PIX以及SV2000是否正确,最终导致整个VPN的构建失败,由于DDN前期投入到正常使用,这样的测试没有太多时间来完成测试及实验,只能建议客户在北京端申请一条固定IP的ADSL,当两边都为独立的外部线路来建立VPN,比较顺利一次成功,但在测试中SHUTDOWN掉S0/2/0后VPN能马上起来接替DDN而NOSHUTDOWN后DDN线路能起来,但是当再次SHUTDOWN掉S0/2/0接口后,而VPN一直不能建立连接,DEBUG看到一直提示:
*Mar2515:
47:
45.423:
ISAKMP:
ignoringrequesttosenddeletenotify(noISAKMPsa)src61.144.56.100dst61.144.56.101forSPI0x3A7B69BF,基本确定问题出现在ISAKMP,只能从此着手,经过查看CISCO官方网站得出结论大概是ISAKMP有一个存活时间,在此次存活时间内,有一端ISAKMP未失效而另一端又采用新的ISAKMP建立连接,出现匹配造成VPN建立不成功,通过在两端加上ISAKMP的KEEPALIVE存活时间设置,最终问题得到解决,从而实现了正常的切换。
三、DDN与VPN切换的配置
北京切换配置:
ipslamonitor1/建立监视组1探测深圳端的IP
typeechoprotocolipIcmpEcho192.168.100.2/发送ICMP探测深圳端IP
timeout999/超时时间999MS
frequency1/发送一个包
ipslamonitorschedule1lifeforeverstart-timenow/定义监视组的SCHEDULE、LIFE、FOREVER的开始时间
track1rtr1reachability/定义TRACK组
iproute192.168.10.0255.255.255.0192.168.100.260track1
iproute0.0.0.00.0.0.0192.168.8.25460track1
iproute0.0.0.00.0.0.0Dialer170
iproute192.168.7.0255.255.255.0192.168.8.25470
iproute192.168.9.0255.255.255.0192.168.8.25470
iproute192.168.11.0255.255.255.0192.168.8.25470
此处几条路由也就是整个线路切换与恢复的关健所在,依次描述。
①
当DDN正常时默认所有到达深圳端的流量都走S0/2/0端口,并由TRACK1检测是否把此条路由放入路由表中。
②
当DDN正常时,所有深圳端过来的流量全部转发到SV2000的LAN口,实现深圳出公网的认证以及深圳端与北京端路由,并由TRACK1检测是否把此条路由放入路由表中。
③
当DDN当掉后,通过TRACK1检测路由会默认关闭S0/2/0,此路由会被放到路由表中,而建立两端的VPN而实现DDN业务的接替,当TRACK1检测到DDN恢复后,此表路由会被删除。
④
其余几条基本同上一条功能一样,只是更详细的匹配了VPN建立后流量的转发,而实现深圳端与北京端内网的路由。
实现的效果:
走专线时:
pekru020#showiproute
Codes:
C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute
Gatewayoflastresortis192.168.8.254tonetwork0.0.0.0
222.128.50.0/32issubnetted,2subnets
C
222.128.50.112isdirectlyconnected,Dialer1
C
222.128.50.65isdirectlyconnected,Dialer1
C
192.168.8.0/24isdirectlyconnected,FastEthernet0/0
S
192.168.9.0/24[70/0]via192.168.8.254
S
192.168.10.0/24[60/0]via192.168.100.2
S
192.168.11.0/24[70/0]via192.168.8.254
S
192.168.7.0/24[70/0]via192.168.8.254
C
192.168.100.0/24isdirectlyconnected,Serial0/2/0
S*
0.0.0.0/0[60/0]via192.168.8.254
走VPN时:
pekru020#showiproute
Codes:
C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute
Gatewayoflastresortis0.0.0.0tonetwork0.0.0.0
222.128.50.0/32issubnetted,2subnets
C
222.128.50.112isdirectlyconnected,Dialer1
C
222.128.50.65isdirectlyconnected,Dialer1
C
192.168.8.0/24isdirectlyconnected,FastEthernet0/0
S
192.168.9.0/24[70/0]via192.168.8.254
S
192.168.11.0/24[70/0]via192.168.8.254
S
192.168.7.0/24[70/0]via192.168.8.254
S*
0.0.0.0/0isdirectlyconnected,Dialer1
完全实现了线路的自动切换与恢复。
深圳端切换配置:
ipslamonitor1
typeechoprotocolipIcmpEcho192.168.100.1
timeout999
frequency1
ipslamonitorschedule1lifeforeverstart-timenow
track1rtr1reachability
iproute0.0.0.00.0.0.0192.168.100.160track1
iproute0.0.0.00.0.0.0Dialer170
深圳端相对简单,配置原理与北京端相同,在此也不再阐述相关配置了。
在此需要特别注意的地方是,像电信所提供的数字线路,一定需要配合使用监视组来查看业务是否中断,因为当一端DOWN后,而另一端的链路由于连接的是运营商端,只要客户端与运营商端线路正常,那么另一端协议以及端口都会处于UP状态,那么也不能使管理距离为60的路由在路由表里及时删除也会造成管理距离为70的路由被放到路由表。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 通过 DDN 互联 VPN 备份 配置 实例