精品久久福利-中文乱码免费一区二区三区下载-HD免费看,国产一区二区免费看,欧美激情一级精品国产,侵犯丰满女教师蒲藤惠

跳轉(zhuǎn)到主要內(nèi)容

雙電信ADSL實(shí)現(xiàn)鏈路冗余和IPSec VPN

故障描述

客戶原來(lái)使用1條電信ADSL上網(wǎng),由于帶寬不夠,另外增加一條電信的ADSL??蛻羰褂靡粭lADSL鏈路時(shí), 上網(wǎng)、IPSecVPN都正常。但是同時(shí)使用兩條線路時(shí),IPSecVPN隧道建立不起來(lái),用戶上網(wǎng)相當(dāng)?shù)穆?,丟包現(xiàn)象嚴(yán)重。

http://support.huawei.com/enterprise/product/images/679726ae8fb44fbb952c469a5cf25d30

故障分析

無(wú)

處理過程

1使用一條ADSL鏈路,測(cè)試上網(wǎng)、IPSec均正常,表明每一條鏈路的網(wǎng)絡(luò)基礎(chǔ)配置正確,IPSec配置正確。
2、查看默認(rèn)路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.0 0.0.0.0 Dialer2
考慮到由于屬于同一運(yùn)營(yíng)商,兩條等價(jià)默認(rèn)路由會(huì)造成數(shù)據(jù)來(lái)回路徑不一致的問題,修改為
ip route-static 0.0.0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.0 0.0.0.0 Dialer2  preference  65
連接兩條ADSL鏈路,網(wǎng)絡(luò)穩(wěn)定情況好轉(zhuǎn)。

  1. 查看NAT策略,修改為雙鏈路互備。

原NAT策略:
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒絕IPSec流量
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192.168.1.0 0.0.0.255
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒絕IPSec流量
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192.168.2.0 0.0.0.255
 
firewall interzone trust untrust
 nat outbound 3001 interface Dialer1
 
firewall interzone trust untrust10
 nat outbound 3002 interface Dialer2
 
    該NAT策略使192.168.1.0網(wǎng)段通過Dialer1做地址轉(zhuǎn)換上網(wǎng),使192.168.2.0網(wǎng)段通過Dialer2做地址轉(zhuǎn)換上網(wǎng)。但是如果一根線斷了,就會(huì)有一個(gè)網(wǎng)段的用戶上不了網(wǎng)。為了實(shí)現(xiàn)鏈路冗余互為備份,修改用于NAT的ACL為:
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對(duì)ipsec流量不做地址轉(zhuǎn)換
rule 3 permit ip  source 192.168.1.0 0.0.0.255
rule 4  permit ip  source 192.168.2.0 0.0.0.255            //允許兩個(gè)網(wǎng)段通過,實(shí)現(xiàn)鏈路冗余
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對(duì)ipsec流量不做地址轉(zhuǎn)換
rule 3 permit  ip  source 192.168.1.0 0.0.0.255   
rule 4 permit  ip  source 192.168.2.0 0.0.0.255         //允許兩個(gè)網(wǎng)段通過,實(shí)現(xiàn)鏈路冗余
 
4、查看策略路由和配置,修改策略路由,并強(qiáng)制IPSec流量?jī)H走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0    
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Dialer2
該策略路由強(qiáng)行1網(wǎng)段走Dilar 2,但不排除2網(wǎng)段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
 acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
 apply output-interface Dialer1
 
5、修改security ACL 3000,并使兩端成鏡像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
 
6、測(cè)試兩網(wǎng)段用戶上網(wǎng),正常;測(cè)試兩網(wǎng)段用戶訪問VPN,正常。

建議/總結(jié)
  1. 如果雙鏈路為同一ISP,只有兩條默認(rèn)路由時(shí),必須將默認(rèn)路由配置為不同優(yōu)先級(jí);
  2. 該方案實(shí)現(xiàn)了在2條鏈路正常時(shí),通過策略路由實(shí)現(xiàn)分流;當(dāng)1條鏈路斷開后,能確保所有網(wǎng)段通過NAT上網(wǎng)。這里需要注意配置做NAT的ACL需要將所有網(wǎng)段都包含進(jìn)去,最簡(jiǎn)單的規(guī)則是先拒絕IPSec流量,然后rule permit ip。
  3. 為了確保IPSec正常,本例比較保守的只允許通過Dialer2口與中心建立隧道。如果修改中心和分支的security acl,并將IPSec策略應(yīng)用于兩個(gè)dialer口,還可以實(shí)現(xiàn)分支IPSec鏈路冗余。當(dāng)兩條鏈路正常時(shí),通過策略路由,所有感興趣流量通過 Dialer2口,由Dialer2口與中心建立隧道,當(dāng)Dialer2口所有鏈路down時(shí),根據(jù)默認(rèn)路由會(huì)選擇Dialer1口建立隧道。修改方法如 下:

interface Dialer1
ipsec policy map1
 
interface Dialer2
ipsec policy map1