目录
功能介绍
IPSEC多peer互备功能,能够在与主peer的IPSEC VPN协商失败后,自动切换到备peer(可以配置多个备peer)进行IPSEC VPN协商,以达到IPSEC VPN冗余备份的目的。
一、组网需求
总部路由器通过电信、联通双出口连接到互联网;当电信线路异常中断后,分支能够通过联通线路与总部路由器建立IPSEC VPN,以保证分支与总部间的正常通信。
二、组网拓扑
三、配置要点
1、配置基本的IPSEC功能
2、在分支路由器上配置IPSEC多peer互备功能
3、在分支路由器上配置IPSEC DPD功能
四、配置步骤
1、配置基本的IPSEC功能
根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC“基础配置”章节(典型配置--->安全--->IPSEC--->基础配置)
1)在总部路由器的电信出口和联通出口上都应用IPSEC加密图
interface GigabitEthernet 0/0
crypto map mymap //将加密图应用到电信出口
interface GigabitEthernet 0/1
crypto map mymap //将加密图应用到联通出口
2)如果使用预共享密钥认证,在分支上需要分别指定电信出口和联通出口对应IP的预共享密钥。
crypto isakmp key 0 ruijie address x.x.x.x
crypto isakmp key 0 ruijie address y.y.y.y //分别指定电信IP和联通IP对应的预共享密钥
2、在分支路由器上配置IPSEC多peer互备功能
crypto map mymap 5 ipsec-isakmp
set peer x.x.x.x //指定电信公网IP作为首先peer
set peer y.y.y.y //指定联通公网IP作为备选peer
3、在分支路由器上配置IPSEC DPD功能
IPSEC DPD配置方法参考"IPSEC DPD配置"章节(典型配置--->安全--->IPSEC--->扩展配置--->IPSEC DPD配置”)
注意:
使用IPSEC多peer互备功能时,需要在分支路由器上配置IPSEC DPD功能,以便分支路由器能够检测到peer故障,自动切到第二个peer上。
五、配置验证
1、在分支上发起访问总部的数据连接,触发建立IPSEC VPN。
此时可以看到分支与总部的电信公网IP成功建立了IPSEC VPN。
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
x.x.x.x 10.0.0.1 IKE_IDLE 0 84129 //x.x.x.x为电信公网IP
2、将总部路由器的电信出口线缆断开,同时在分支继续发起访问总部的数据。
此时可以看到分支与总部的联通公网IP成功建立了IPSEC VPN。
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
y.y.y.y 10.0.0.1 IKE_IDLE 0 84129 //y.y.y.y为联通公网IP