Geográfica HA utilizando pares de copia de seguridad ipsec
Características técnicas:
al configurar varios pares, el cliente puede cambiar automáticamente la dirección del servidor,
es un intento, uno por uno, de arriba a abajo.
Experimento 1:
IKE Phase I Policy:
R2 (config) #crypto isakmp policy 1
R2 (config-isakmp) #authentication pre-share
R2 (config-isakmp) #hash md5
R2 (config-isakmp) #encryption 3des
R2 ( config- isakmp) #group 2
R2 (config) #crypto isakmp keepalive 20 3 <=== Cuando se rompe el primer PEER, DPD comienza a detectar {después de 60 (20 * 3) segundos, comienza a cambiar}
R2 (config ) #crypto isakmp key 0 dirección del lobo 123.1.1.1
R2 (config) #crypto isakmp key 0 dirección del lobo 123.1.1.3
....
IPSec Phase II Policy:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha-hmac
R2 (cfg-crypto-trans) #mode tunnel
R2 (config) # access-list 101 permit ip ip any any
R2 ( config) #crypto map huawei 10 ipsec-isakmp
R2 (config-crypto-map) #set peer 123.1.1.1 <=== primero establezca
R2 con el primero (config-crypto-map) #set peer 123.1.1.3 <= === Cuando el primero está roto,
compila R2 (config-crypto-map) #set transform-set cisco
R2 (config-crypto-map) #set pfs
R2 (config-crypto-map) # dirección coincidente 101
...
Aplique Configuración de VPN
R2 (config) # interfaz ethernet 0/0
R2 (config-if) #crypto map huawei
--------------------------- ---------
R3 (config) # interfaz ethernet 0/0
R3 (config-if) #crypto map huawei
La configuración R1, R3 es la misma que la anterior
Redundancia VPN
HSRP:
R2 (config) #int e0 / 0.123
R2 (config-subif) #standby 1 ip 221.1.123.100
nombre de grupo virtual IP
R2 (config-subif) #standby 1 preempt <==== Permitir preferencia de
R2 (config -subif) #standby 1 prioridad 105 <==== Establecer prioridad (el valor predeterminado es 100)
R2 (config-subif) #standby 1 nombre HSRP <==== Iniciar un nombre (requerido para Redundancy VPN)
R2 (config -subif) # standby 1 track e0 / 0.100 <=== Cuando la interfaz "e0 / 0.100" de R2 está inactiva, cambie inmediatamente al enrutador en espera
------------------ -----------------------------------------------
R3 (config ) #int e0 / 0.123
R3 (config-subif) #standby 1 ip 221.1.123.100
R3 (config-subif) #standby 1 preempt
R3 (config-subif) #standby 1 nombre HSRP
R3 (config-subif) #standby 1 pista e0 / 0.100
-------------------------------------------------- ----
R2 # show standby
Ethernet0 / 0.123 - El estado del grupo 1
es Activo
2 cambios de estado, último cambio de estado 00:37:58
La dirección IP virtual es 221.1.123.100
La dirección MAC virtual activa es 0000.0c07.ac01
La dirección MAC virtual local es 0000.0c07.ac01 (predeterminado) Tiempo de saludo
3 segundos, tiempo de espera 10 segundos
Siguiente saludo enviado en 1.276 segundos Activación previa
activada
El enrutador activo es local El
enrutador en espera es 221.1.123.3, prioridad 100 (caduca en 9.360 segundos)
Prioridad 105 (configurada 105)
Pista interfaz Ethernet 0 / 0.100 estado Decremento ascendente 10 El
nombre de redundancia IP es "HSRP" (cfgd)
R1 # ping 221.1.123.100
Escriba la secuencia de escape para abortar.
Enviando 5 Ecos ICMP de 100 bytes a 221.1.123.100, el tiempo de espera es de 2 segundos:.
!!!!
La tasa de éxito es del 80 por ciento (4/5), ida y vuelta min / avg / max = 4/4/4 ms
------------------------ -------------------------------------------------- ----
配置 路由:
R1 (config) #ip route 192.168.4.0 255.255.255.0 221.1.123.100 <==== 也 可用 反向 路由 注入
---------------- ------------
R2 (config) #router ospf 110
R2 (config-router) #net 1.1.234.0 0.0.0.255 area 0
-------------- ------------------------------------
R3 (config) #router ospf 110
R3 (config-router) #net 1.1.234.0 0.0.0.255 área 0
---------------------------------------- ----------
R4 (config) #router ospf 110
R4 (config-router) #net 1.1.234.0 0.0.0.255 area 0
R4 (config-router) #net 192.168.4.0 0.0.0.255 area 0
IKE Phase I Policy:
R2 (config) #crypto isakmp policy 1
R2 (config-isakmp) #authentication pre-share
R2 (config) #crypto isakmp key wolf address 221.1.123.1
IPSec Phase II Policy:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha-hmac
R2 (config) #crypto map huawei 10 ipsec-isakmp <=== 在 "show run" 时 出现 "! Incomplete ", 就是 没有 配置 完
R2 (config-crypto-map) #set peer 221.1.123.1
R2 (config-crypto-map) #set transform-set cisco
R2 (config-crypto-map) #match address VPN
R2 (config- crypto-map) # reverse-route <==== 反向 路由 注入
R2 (config) #ip access-list Extended VPN
R2 (config-ext-nacl) #permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0. 0.255
Llamada de interfaz:
R2 (config) #int e0 / 0.123
R2 (config-subif) #crypto map huawei redundancy HSRP <=== Después de aplicar este comando a la interfaz, al verificar la ruta: una ruta estática ("S 192.168. 1.0 / 24 [1/0] a través de 221.1.123.1 ")
La configuración de R3 anterior es la misma que R2 <=== pero R3 no tiene una ruta estática porque R3 está "en espera"
重 分布:
R2 (config) #router ospf 110
R2 (config-router) #redistribute subredes estáticas route-map s2o
R2 (config) # route-map s2o
R2 (config-route-map) #match ip address s2o
R2 (config ) #ip access-list standard s2o
R2 (config-std-nacl) #permit 192.168.1.0
----------------------------- --------------
R3 (config) #router ospf 110
R3 (config-router) #redistribute subredes estáticas route-map s2o
R3 (config) # route-map s2o
R3 (config-route -map) #match ip address s2o
R3 (config) #ip access-list standard s2o
R3 (config-std-nacl) #permit 192.168.1.0
R2 (config) #crypto isakmp keepalive 20 <=== 发送 DPD 帧, 检测
-------------------------------- ------
R3 (config) #crypto isakmp keepalive 20
----------------------------------- ---
R1 (config) #crypto isakmp keepalive 20
R1 (config) #crypto isakmp policy 10
R1 (config-isakmp) #authentication pre-share
R1 (config) #crypto isakmp key wolf address 221.1.123.100
R1 (config) #crypto ipsec transform-set cisco esp-des esp-sha -hmac
R1 (config) #crypto map huawei 10 ipsec-isakmp
R1 (config-crypto-map) #set peer 221.1.123.100
R1 (config-crypto-map) #set transform-set cisco
R1 (config-crypto-map) # dirección de coincidencia VPN
R1 (config) #ip acceso-lista extendida VPN
R1 (config-ext-nacl) #permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1 (config) #int e0 / 0
R1 (config -if) #crypto map huawei
Inyección de ruta inversa:
1. Regla RRI de Lan a Lan:
inyecte una ruta estática con el destino del flujo de interés como la red y la dirección PEER como el próximo salto
2.
Reglas de RRI en modo cliente suave / cliente EZVPN en el lado del servidor:
use la dirección asignada al cliente como la red (32 bits) y use la IP pública del cliente como el próximo salto para inyectar una ruta de host de 32 bits
3. Red de hardware EZVPN-
Regla de inyección de RRI del lado del servidor del modo de extensión :
tome la red interna del cliente como la red y use la IP de la red pública del cliente como el próximo salto para inyectar una ruta estática
4. El RRI de
la VPN remota es diferente de Lan-to-Lan: la VPN remota se inyecta cuando el cliente marca en la VPN. La
Lan-to-Lan se inyecta inmediatamente después de la configuración.
Pregunta 1: ¿Una interfaz con un mapa criptográfico recibe un paquete en texto claro?
Respuesta: Si la secuencia de interés que cumple con el mapa de interfaz se elimina en texto claro, si no está satisfecho, no se utilizará como vpn
Pregunta 2: ¿Una interfaz sin un mapa criptográfico recibió un paquete ESP?
Respuesta: Volvió a revisar su base de datos SA y luego lo descifró.
