最近接到的一個項目，客戶總部在惠州，分部在香港，在香港分部設有ERP服務器與郵件服務器，總部出口為鐵通10M光纖與網通1M DDN?專線（新增），原總部是用netscreen?防火墻與香港的pix 515作IPsec VPN對接，現客戶要求是新增一條網通DDN專線用來專跑ERP數據業務，就是要求平時總部去分部訪問ERP服務器的數據走DDN專線，訪問郵件服務器的數據走ipsecVPN,但當這兩條鏈路其中有出現故障中斷時，能做到鏈路自動切換，例DDN專線出現故障，原走這條線路的ERP數據能自動切換到ipsec VPN線路去，如果線路恢復線路又自動切換。

????對netscreen?作了研究它是支持策略路由，但好像不支持線路檢測（如知道者請提供資料，學習一下）。

????為滿足客戶要求，我推薦用思科1841路由器，思科支持策略路由與線路檢測，一直有看過相應的文檔，但沒實施過，呵呵，終于有機會了。

????解方案如下圖：

點擊查看大圖

??? IP分配如下：

????總部IP段為：192.168.1.0/24??網關：192.168.1.111/24
??? netscreen ssg-140?和透明接入，
??? R1配置：
??? FastEthernet0/0 -- 192.168.1.111/24
??? FastEthernet0/1 -- 192.168.2.1/24 (鐵通線路?IP?有改^_^）
??? Serial0/0 --- 192.168.3.1/24? (網通線路)

??? PIX 515配置：
??? Ethernet1 (outside) -- 192.168.2.2/24
??? Ethernet0 (inside) -- 192.168.4.1/24

??? R2配置：

??? FastEthernet0/0 -- 192.168.4.2/24
??? FastEthernet0/1-- 192.168.5.1/24
??? Serial0/0 -- 192.168.3.2/24

下面只列出重點部分：

??? VPN配置R1----PIX515

??? R1:
????第一步：在路由器上定義NAT的內部接口和外部接口
??? R1(config)#int f0/0
??? R1(config-if)#ip nat inside
??? R1(config-if)#exit
??? R1(config)#int f0/1
??? R1(config-if)#ip nat outside
??? R1(config-if)#exit
????第二步：定義需要被NAT的數據流（即除去通過VPN傳輸的數據流）
??? R1(config)#access-list 101 deny?? ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
??? R1(config)#access-list 101 deny?? ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
??? R1(config)#access-list 101 permit ip any any
????第三步：定義NAT。
??? R1(config)#ip nat inside source list 101 interface f0/1 overload
????第四步：定義感興趣數據流，即將來需要通過VPN加密傳輸的數據流。
??? R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
??? R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
????第五步：定義ISAKMP策略。
??? R1(config)#crypto isakmp enable
??? //啟用ISAKMP
??? R1(config)#crypto isakmp policy 10
??? R1(config-isakmp)#authentication pre-share
??? //認證方法使用預共享密鑰
??? R1(config-isakmp)#encryption des
??? //加密方法使用des
??? R1(config-isakmp)#hash md5
??? //散列算法使用md5
??? R1(config-isakmp)#group 2
??? //DH模長度為1024
????第六步：將ISAKMP預共享密鑰和對等體關聯，預共享密鑰為“cisco123456”。
??? R1(config)#crypto isakmp identity address
??? R1(config)#crypto isakmp key cisco123456 address 192.168.2.2
????第七步：設置ipsec轉換集。
??? R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac
??? R1(cfg-crypto-trans)#mode tunnel
????第八步：設置加密圖。
??? R1(config)#crypto map myvpnmap 10 ipsec-isakmp
??? R1(config-crypto-map)#match address 102
??? //加載感興趣流
??? R1(config-crypto-map)#set peer 192.168.2.2
??? //設置對等體地址
??? R1(config-crypto-map)#set transform-set myvpn
??? //選擇轉換集
??? R1(config-crypto-map)#set pfs group2
??? //設置完美前向保密，DH模長度為1024
????第九步：在外部接口上應用加密圖。
??? R1(config)#int f0/1
??? R1(config-if)#crypto map myvpnmap

??? PIX:

????第一步：定義感興趣數據流，即將來需要通過VPN加密傳輸的數據流。
??? PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
??? PIX(config)# access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0

????第二步：通過VPN傳輸的數據包不需要做NAT，因此，將這些數據包定義到nat 0，nat 0不對數據包進行地址轉換。nat0的處理始終在其他nat（例如nat1、nat2、nat3……）之前。
??? PIX(config)# nat (inside) 0 access-list no-nat
????第三步：訪問internet的數據流使用PAT出去。
??? PIX(config)# nat (inside) 1 0 0
??? PIX(config)# global (outside) 1 interface
????第四步：定義ISAKMP策略。
??? PIX(config)# crypto isakmp enable outside
??? //在外部接口上啟用ISAKMP
??? PIX(config)# crypto isakmp policy 10 authentication pre-share
??? //認證方法使用預共享密鑰
??? PIX(config)# crypto isakmp policy 10 encryption des
??? //加密方法使用des
??? PIX(config)# crypto isakmp policy 10 hash md5
??? //散列算法使用md5
??? PIX(config)# crypto isakmp policy 10 group 2
??? //DH模長度為1024
????第五步：將ISAKMP預共享密鑰和對等體關聯，預共享密鑰為“cisco123456”。
??? PIX(config)# crypto isakmp identity address
??? PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1
????第六步：設置ipsec轉換集。
??? PIX(config)# crypto ipsec transform-set myvpn esp-des esp-md5-hmac
????第七步：設置加密圖。
??? PIX(config)# crypto map myvpnmap 10 ipsec-isakmp
??? PIX(config)# crypto map cmyvpnmap 10 match address no-nat
??? //加載感興趣流
??? PIX(config)# crypto map myvpnmap 10 set transform-set myvpn
??? //選擇轉換集
??? PIX(config)# crypto map myvpnmap 10 set peer 192.168.2.1
??? //設置對等體地址
??? PIX(config)# crypto map myvpnmap 10 set pfs group2
??? //設置完美前向保密，DH模長度為1024
????第八步：在外部接口上應用加密圖。
??? PIX(config)# crypto map myvpnmap interface outside
????第九步：指定IPsec的流量是可信任的。
??? PIX(config)# sysopt connection permit-ipsec

????接下是本部份重點，就是路由選擇與鏈路檢測配置：

??? R1：

??? ip access-list extended lan-erp
???? permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)
??? ip access-list extended lan-mail
???? permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP)

????定義route-map?的感興趣流

??? ip sla monitor 1
???? type echo protocol ipIcmpEcho 192.168.3.2
??? ip sla monitor schedule 1 life forever start-time now
??? ip sla monitor 2
???? type echo protocol ipIcmpEcho 192.168.2.2
??? ip sla monitor schedule 2 life forever start-time now

??? track 123 rtr 1 reachability
??? track 124 rtr 2 reachability

????啟用思科SLA協議，動態檢測鏈路。

??? route-map test permit 10
???? match ip address lan-erp
???? set ip next-hop verify-availability 192.168.3.2 1 track 123
???? set ip next-hop verify-availability 192.168.2.2 2 track 124
??? !
??? route-map test permit 20
???? match ip address lan-mail
???? set ip next-hop verify-availability 192.168.2.2 1 track 124
???? set ip next-hop verify-availability 192.168.3.2 2 track 123

????啟用routermap?對數據進行分流。

??? R2：

??? ip access-list extended erp-lan
???? permit ip host 192.168.5.53 192.168.1.0 0.0.0.255
??? ip access-list extended mail-lan
???? permit ip host 192.168.5.50 192.168.1.0 0.0.0.255

????定義route-map?的感興趣流

??? ip sla monitor 1
???? type echo protocol ipIcmpEcho 192.168.3.1
??? ip sla monitor schedule 1 life forever start-time now
??? ip sla monitor 2
???? type echo protocol ipIcmpEcho 192.168.2.1
??? ip sla monitor schedule 2 life forever start-time now

??? track 123 rtr 1 reachability
??? track 124 rtr 2 reachability

????啟用思科SLA協議，動態檢測鏈路。

??? route-map test permit 10
???? match ip address mail-erp
???? set ip next-hop verify-availability 192.168.3.1 1 track 123
???? set ip next-hop verify-availability 192.168.4.1 2 track 124
??? !
??? route-map test permit 20
???? match ip address erp-mail
???? set ip next-hop verify-availability 192.168.4.1 1 track 124
???? set ip next-hop verify-availability 192.168.3.1 2 track 123

????定義route-map?的感興趣流.

????為什么R2也要配置，請讀者自己去思考了。有興趣大家可做下實驗，本文結束。

雙ISP接入+NAT配置實例

NAT,?ISP,?實例

雙ISP接入+NAT配置實例 雙ISP接入+NAT配置實例（多發貼，讓大家共同進步，受益大家，向趙老大以及各位版主們學習） 環境描述： 使用設備為Cisco2621XM + NE-1E模塊，該配置擁有兩個FastEthernet以及一個Ethernet端口。? 現使用Ethernet 1/0?端口連接內部局域網，模擬內部擁有100.100.23.0 255.255.0.0?與100.100.24.0 255.255.0.0?兩組客戶機情況下基于原地址的策略路由。? Fastethernet 0/0?模擬第一個ISP接入端口，Fastethernet 0/1模擬第二個ISP接入端口，地址分別為?Fastethernet 0/0的ip地址192.168.1.2 255.255.255.0?對端ISP地址192.168.1.1 255.255.255.0? Fastethernet 0/1?的ip地址192.168.2.2 255.255.255.0?對端ISP地址192.168.2.1 255.255.255.0? 通過策略路由后對不同原地址數據流量進行分流，使得不同原地址主機通過不同ISP接口訪問Internet，并為不同原地址主機同不同NAT地址進行轉換。? 具體配置：? version 12.2? service timestamps debug uptime? service timestamps log uptime? no service password-encryption? !? hostname Router? !? !? ip subnet-zero? !? !? !? call rsvp-sync? !? !? !? !? !? !? !? !? interface FastEthernet0/0 --------------------假設該端口為ISP 1接入端口? ip address 192.168.1.2 255.255.255.0 --------分配地址? ip nat outside --------指定為NAT Outside端口? duplex auto? speed auto? !? interface FastEthernet0/1 --------------------假設該端口為ISP 2接入端口? ip address 192.168.2.2 255.255.255.0 --------分配地址? ip nat outside --------指定為NAT Outside端口? duplex auto? speed auto? !? interface Ethernet1/0 --------------------假設該端口為內部網絡端口? ip address 100.100.255.254 255.255.0.0 --------分配地址? ip nat inside --------指定為NAT Inside端口? ip policy route-map t0 --------在該端口上使用route-map t0進行策略控制? half-duplex? !? ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat轉換，指定原地址為100.100.23.0的主機使用Fastethernet 0/0的地址進行轉換? ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat轉換，指定原地址為100.100.24.0的主機使用Fastethernet 0/1的地址進行轉換? ip classless? ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------靜態路由，對Internet的訪問通過192.168.2.1（ISP2）鏈路? ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------靜態路由，對Internet的訪問通過192.168.1.1（ISP1）鏈路? ip http?server? 靜太路由不起很大的作用,因為存在策略路由,主要是set int?要求有顯示的去往目的的路由? !? access-list 1 permit 100.100.23.0 0.0.0.255 ----訪問控制列表1，用于過濾原地址，允許100.100.23.0網段主機流量通過? access-list 2 permit 100.100.24.0 0.0.0.255 ----訪問控制列表2，用于過濾原地址，允許100.100.24.0網段主機流量通過? 如果做set int?備份,則acl1,acl2應該允許所有的,進行nat? route-map t0 permit 10 ----定義route-map t0，permit序列為10? match ip address 1 ----檢查原地址，允許100.100.23.0?網段地址? set interface FastEthernet0/0 ----指定出口為Fastethetnet 0/0? (set interface FastEthernet0/1)?我認為可以做備份? !? route-map t0 permit 20 ----定義route-map t0，permit序列為20? match ip address 2 ----檢查原地址，允許100.100.24.0?網段地址? set interface FastEthernet0/1 ----指定出口為Fastethetnet 0/1? !? (set interface FastEthernet0/1)?我認為可做備份?!? dial-peer cor custom? !? !? !? !? line con 0? line aux 0? line vty 0 4? !? end? 效果檢驗：? 察看路由表? Router#show ip route? Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP? D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area? N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2? E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP? i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2? ia - IS-IS inter area, * - candidate default, U - per-user static route? o - ODR, P - periodic downloaded static route? 100.0.0.0/16 is subnetted, 1 subnets? C 100.100.0.0 is directly connected, Ethernet1/0? C 192.168.1.0/24 is directly connected, FastEthernet0/0? C 192.168.2.0/24 is directly connected, FastEthernet0/1? S* 0.0.0.0/0 [1/0] via 192.168.1.1? [1/0] via 192.168.2.1? 發現靜態路由存在兩條路徑!? 察看ip Nat translations? Router#sho ip nat translations? Pro Inside global Inside local Outside local Outside global? icmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024? icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280? 由于路由器外部存在1.1.1.1的地址，用于模擬Internet公網地址，發現不同網段內部主機流量確實已經從不同出口訪問外部資源，并且使用了不同Nat進行地址轉換!? 注：大部分多ISP情況下都要使用NAT地址轉換功能，但有些特殊情況下不需使用NAT功能，如果不是用NAT，就將配置中的有關NAT的配置去掉，? 如此配置中去掉?ip nat inside source list 1 interface FastEthernet0/0 overload?和ip nat inside source list 2 interface FastEthernet0/1 overload? 以及在端口上去掉ip Nat outside和ip nat inside的配置，就可以實現不用NAT的策略路由。? 以上試驗可以實現基于原地址的策略路由功能，可以根據內網原地址進行不同流量通過不同ISP接口訪問Internet的功能，但仍沒有實現雙鏈路相互備份的功能，即當任意一條鏈路出現故障的時候無法自動使用另一條鏈路進行備份，造成一部分相應的內網主機無法訪問外網的情況。? 望各位進行討論，希望找到可行性的方法，即能解決策略路由問題，又能實現雙鏈路的自動備份功能！

本文轉自q狼的誘惑 51CTO博客，原文鏈接：http://blog.51cto.com/liangrui/365353，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的cisco 双ISP线路接入 链路自动切换方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。