2024年5月25日发(作者:)
MSR系列路由器
总部双出口固定IP、分支动态地址IPSec备
份
关键字:IPSec,GRE,双线路备份,VPN。
一、组网:
二、客户需求
总部使用联通、电信双出口,分支单出口。要求总部和分支之间通过IPSec建立VPN,
并进行相互备份。部分分支与总部联通线路相连,电信链路作为备份;另一部分与总部电信
线路相连,联通线路作为备份。
假设RTC是优选电信线路,RTD是优选联通线路。
三、设计方案
地址,路由设计:
1.
假设分支和总部合起来不超过126个,那么所有Loopback可以使用一个
192.168.254.0的C类网段,如果超过,就使用192.168.254.0和
192.168.253.0两个C网段。
2.
所有Loopback0对应联通线路,从192.168.254.1至192.168.254.126,如
总部可以使用192.168.254.1,其余分支从2至126。
3.
所有Loopback1对应电信线路,从192.168.254.129至192.168.253.254,
如总部可以使用192.168.254.129,其余分支从130至254。
4.
总部和各分支的Loopback0作为源、目的建立一条GRE隧道,tunnel编号
从2至126,对应分支loopback0地址末端,便于记忆,该隧道只从联通线路
建立。
5.
总部和各分支的Loopback1作为源、目的建立一条GRE隧道,tunnel编号
从130至254,对应分支loopback1地址末端,便于记忆,该隧道只从电信
线路建立。
6.
在GRE隧道上配置Keeplive,用于监测tunnel接口状态,使用Keeplive后
就不需要使用NQA探测了。
7.
总部配置各Loopback0路由ip routing-table 192.168.254.0 25 联通出口。
8.
总部配置各Loopback1路由ip routing-table 192.168.254.128.0 25 电信出
口。
9.
各分支建立两条GRE隧道,源分别是Loopback0、Loopback1,目的分别是
总部的Loopback0和Loopback1,编号分别是tunnel 2~126和tunnel
130~254,tunnel接口编号和所使用源Loopback地址最后一段一致,便于
记忆。
10.
分支由于是只有一条拨号线路,使用默认路由即可。
11.
总部将部分分支(优选联通线路)的VPN网段路由指向以Loopback0为源的
GRE隧道,优先级默认60,指向以Loopback1为源的GRE隧道,优先级为
80,作为备份。
12.
总部将部分分支(优选电信线路)的VPN网段路由指向以Loopback1为源的
GRE隧道,优先级默认60,指向以Loopback0为源的GRE隧道,优先级为
80,作为备份
13.
部分分支(优选联通线路)将总部VPN网段路由指向以Loopback0为源的
GRE隧道,优先级默认60,指向以Loopback1为源的GRE隧道,优先级为
80,作为备份。
14.
部分分支(优选电信线路)将总部VPN网段路由指向以Loopback1为源的
GRE隧道,优先级默认60,指向以Loopback0为源的GRE隧道,优先级为
80,作为备份。
IPSec设计:
1.
由于分支端地址由拨号动态获取或存在NAT设备,所以使用野蛮模式IKE。
发布评论