Tabla de contenido
5. Verificación de configuración
Características
La función de respaldo mutuo de múltiples pares IPSEC puede cambiar automáticamente al par de respaldo (se pueden configurar múltiples pares de respaldo) para la negociación de VPN IPSEC después de que falla la negociación de VPN IPSEC con el par principal, para lograr el propósito de la copia de seguridad redundante de VPN IPSEC.
1. Requisitos de red
El enrutador de la sede está conectado a Internet a través de exportaciones duales de China Telecom y China Unicom; cuando la línea de telecomunicaciones se interrumpe anormalmente, la sucursal puede establecer una VPN IPSEC con el enrutador de la sede a través de la línea de China Unicom para garantizar la comunicación normal entre la sucursal y la sede.
2. Topología de la red
3. Puntos de configuración
1. Configurar funciones IPSEC básicas
2. Configure la función de copia de seguridad mutua multipar IPSEC en el enrutador de la sucursal.
3. Configure la función IPSEC DPD en el enrutador de la sucursal.
4. Pasos de configuración
1. Configurar funciones IPSEC básicas
De acuerdo con el entorno del sitio y las necesidades del cliente, seleccione el plan de implementación de IPSEC apropiado y consulte el capítulo " Configuración básica " de IPSEC para obtener una configuración detallada (configuración típica ---> seguridad ---> IPSEC ---> configuración básica)
1) Aplicar imágenes de cifrado IPSEC a las exportaciones de telecomunicaciones y China Unicom del enrutador de la sede
interfaz GigabitEthernet 0/0
mapa criptográfico mymap //Aplicar mapa criptográfico a la salida de telecomunicaciones
interfaz GigabitEthernet 0/1
mapa criptográfico mymap // Aplicar el mapa de cifrado a la exportación de China Unicom
2) Si utiliza la autenticación de clave precompartida, debe especificar la clave precompartida para la IP correspondiente de la exportación de Telecom y la exportación de China Unicom en la sucursal.
cripto isakmp clave 0 dirección ruijie xxxx
cripto isakmp clave 0 dirección ruijie yyyy //Especifique la clave precompartida correspondiente a Telecom IP y China Unicom IP respectivamente
2. Configure la función de copia de seguridad mutua multipar IPSEC en el enrutador de la sucursal.
mapa criptográfico mymap 5 ipsec-isakmp
set peer xxxx //Especifique la IP de la red pública de telecomunicaciones como el primer par
establecer par yyyy //Especificar la IP de la red pública de China Unicom como par alternativo
3. Configure la función IPSEC DPD en el enrutador de la sucursal.
Para conocer el método de configuración de IPSEC DPD, consulte el capítulo "Configuración de IPSEC DPD" (Configuración típica--->Seguridad--->IPSEC--->Configuración extendida--->Configuración de IPSEC DPD " )
Aviso:
Cuando utilice la función de copia de seguridad mutua multipar IPSEC, debe configurar la función DPD IPSEC en el enrutador de la sucursal para que el enrutador de la sucursal pueda detectar fallas del par y cambiar automáticamente al segundo par.
5. Verificación de configuración
1. Iniciar una conexión de datos para acceder a la sede de la sucursal, lo que activa el establecimiento de una VPN IPSEC.
En este punto, puede ver que la VPN IPSEC se ha establecido correctamente entre las IP de la red pública de telecomunicaciones de la sucursal y la sede.
Ruijie#mostrar cripto isakmp a
destino origen estado conn-id duración (segundo)
xxxx 10.0.0.1 IKE_IDLE 0 84129 //xxxx es la IP de la red pública de China Telecom
2. Desconecte el cable de salida de telecomunicaciones del enrutador de la sede y al mismo tiempo continúe iniciando el acceso a los datos de la sede en la sucursal.
En este punto, puede ver que la VPN IPSEC se ha establecido exitosamente entre las IP de la red pública Unicom de la sucursal y la sede.
Ruijie#mostrar cripto isakmp a
destino origen estado conn-id duración (segundo)
yyyy 10.0.0.1 IKE_IDLE 0 84129 //yyyy es la IP de la red pública de Unicom