雙ISP線路接入，鏈路自動切換方案

最 近接到的一個項目，客戶總部在惠州，分部在香港，在香港分部設有ERP服務器與郵件服務器，總部出口爲鐵通10M光纖與網通1M DDN 專線（新增），原總部是用netscreen 防火牆與香港的pix 515做IPsec ×××對接，現客戶要求是新增一條網通DDN專線用來專跑ERP數據業務，就是要求平時總部去分部訪問ERP服務器的數據走DDN專線，訪問郵件服務器的 數據走ipsec×××,但當這兩條鏈路 其中有出現故障中斷時，能作到鏈路自動切換，例DDN專線出現故障，原走這條線路的ERP數據能自動切換到ipsec ×××線路去，若是線路恢復線路又自動切換。     對netscreen 做了研究它是支持策略路由，但好像不支持線路檢測（如知道者請提供資料，學習一下）。     爲知足客戶要求，我推薦用思科1841路由器，思科支持策略路由與線路檢測，一直有看過相應的文檔，但沒實施過，呵呵，終於有機會了。     解方案以下圖：

IP分配以下：

    總部IP段爲：192.168.1.0/24  網關：192.168.1.111/24
    netscreen ssg-140 和透明接入，
    R1配置：
    FastEthernet0/0 -- 192.168.1.111/24
    FastEthernet0/1 -- 192.168.2.1/24 (鐵通線路 IP 有改^_^）
    Serial0/0 --- 192.168.3.1/24  (網通線路)

    PIX 515配置：
    Ethernet1 (outside) -- 192.168.2.2/24
    Ethernet0 (inside) -- 192.168.4.1/24

    R2配置：

    FastEthernet0/0 -- 192.168.4.2/24
    FastEthernet0/1-- 192.168.5.1/24
    Serial0/0 -- 192.168.3.2/24

下面只列出重點部分：

    ×××配置R1----PIX515

    R1:
    第一步：在路由器上定義NAT的內部接口和外部接口
    R1(config)#int f0/0
    R1(config-if)#ip nat inside
    R1(config-if)#exit
    R1(config)#int f0/1
    R1(config-if)#ip nat outside
    R1(config-if)#exit
    第二步：定義須要被NAT的數據流（即除去經過×××傳輸的數據流）
    R1(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
    R1(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
    R1(config)#access-list 101 permit ip any any
    第三步：定義NAT。
    R1(config)#ip nat inside source list 101 interface f0/1 overload
    第四步：定義感興趣數據流，即未來須要經過×××加密傳輸的數據流。
    R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
    R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
    第五步：定義ISAKMP策略。
    R1(config)#crypto isakmp enable
    //啓用ISAKMP
    R1(config)#crypto isakmp policy 10
    R1(config-isakmp)#authentication pre-share
    //認證方法使用預共享密鑰
    R1(config-isakmp)#encryption des
    //加密方法使用des
    R1(config-isakmp)#hash md5
    //散列算法使用md5
    R1(config-isakmp)#group 2
    //DH模長度爲1024
    第六步：將ISAKMP預共享密鑰和對等體關聯，預共享密鑰爲「cisco123456」。
    R1(config)#crypto isakmp identity address
    R1(config)#crypto isakmp key cisco123456 address 192.168.2.2
    第七步：設置ipsec轉換集。
    R1(config)#crypto ipsec transform-set my*** esp-des esp-md5-hmac
    R1(cfg-crypto-trans)#mode tunnel
    第八步：設置加密圖。
    R1(config)#crypto map my***map 10 ipsec-isakmp
    R1(config-crypto-map)#match address 102
    //加載感興趣流
    R1(config-crypto-map)#set peer 192.168.2.2
    //設置對等體地址
    R1(config-crypto-map)#set transform-set my***
    //選擇轉換集
    R1(config-crypto-map)#set pfs group2
    //設置完美前向保密，DH模長度爲1024
    第九步：在外部接口上應用加密圖。
    R1(config)#int f0/1
    R1(config-if)#crypto map my***map

PIX:

    第一步：定義感興趣數據流，即未來須要經過×××加密傳輸的數據流。
    PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
    PIX(config)# access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0

    第二步：經過×××傳輸的數據包不須要作NAT，所以，將這些數據包定義到nat 0，nat 0不對數據包進行地址轉換。nat0的處理始終在其餘nat（例如nat一、nat二、nat3……）以前。     PIX(config)# nat (inside) 0 access-list no-nat     第三步：訪問internet的數據流使用PAT出去。     PIX(config)# nat (inside) 1 0 0     PIX(config)# global (outside) 1 interface     第四步：定義ISAKMP策略。     PIX(config)# crypto isakmp enable outside     //在外部接口上啓用ISAKMP     PIX(config)# crypto isakmp policy 10 authentication pre-share     //認證方法使用預共享密鑰     PIX(config)# crypto isakmp policy 10 encryption des     //加密方法使用des     PIX(config)# crypto isakmp policy 10 hash md5     //散列算法使用md5     PIX(config)# crypto isakmp policy 10 group 2     //DH模長度爲1024     第五步：將ISAKMP預共享密鑰和對等體關聯，預共享密鑰爲「cisco123456」。     PIX(config)# crypto isakmp identity address     PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1     第六步：設置ipsec轉換集。     PIX(config)# crypto ipsec transform-set my*** esp-des esp-md5-hmac     第七步：設置加密圖。     PIX(config)# crypto map my***map 10 ipsec-isakmp     PIX(config)# crypto map cmy***map 10 match address no-nat     //加載感興趣流     PIX(config)# crypto map my***map 10 set transform-set my***     //選擇轉換集     PIX(config)# crypto map my***map 10 set peer 192.168.2.1     //設置對等體地址     PIX(config)# crypto map my***map 10 set pfs group2     //設置完美前向保密，DH模長度爲1024     第八步：在外部接口上應用加密圖。     PIX(config)# crypto map my***map interface outside     第九步：指定IPsec的流量是可信任的。     PIX(config)# sysopt connection permit-ipsec