国产又粗又猛又大的视频在线播放_精品国产一区二区日韩91_日韩成人成色在线观看_日韩毛片一二三区_打扑克牌又疼又叫软件下载_欧美激情综合色综合啪啪五月_国产精品激情自拍系列_麻豆国产在线视频_fc2成人免费人成在线观看播放_那里可以免费看毛片

跳轉(zhuǎn)到主要內(nèi)容

雙電信ADSL實現(xiàn)鏈路冗余和IPSec VPN

故障描述

客戶原來使用1條電信ADSL上網(wǎng),由于帶寬不夠,另外增加一條電信的ADSL。客戶使用一條ADSL鏈路時, 上網(wǎng)、IPSecVPN都正常。但是同時使用兩條線路時,IPSecVPN隧道建立不起來,用戶上網(wǎng)相當?shù)穆?,丟包現(xiàn)象嚴重。

http://support.huawei.com/enterprise/product/images/679726ae8fb44fbb952c469a5cf25d30

故障分析

處理過程

1使用一條ADSL鏈路,測試上網(wǎng)、IPSec均正常,表明每一條鏈路的網(wǎng)絡基礎(chǔ)配置正確,IPSec配置正確。
2、查看默認路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.0 0.0.0.0 Dialer2
考慮到由于屬于同一運營商,兩條等價默認路由會造成數(shù)據(jù)來回路徑不一致的問題,修改為
ip route-static 0.0.0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.0 0.0.0.0 Dialer2  preference  65
連接兩條ADSL鏈路,網(wǎng)絡穩(wěn)定情況好轉(zhuǎn)。

  1. 查看NAT策略,修改為雙鏈路互備。

原NAT策略:
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒絕IPSec流量
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192.168.1.0 0.0.0.255
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒絕IPSec流量
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192.168.2.0 0.0.0.255
 
firewall interzone trust untrust
 nat outbound 3001 interface Dialer1
 
firewall interzone trust untrust10
 nat outbound 3002 interface Dialer2
 
    該NAT策略使192.168.1.0網(wǎng)段通過Dialer1做地址轉(zhuǎn)換上網(wǎng),使192.168.2.0網(wǎng)段通過Dialer2做地址轉(zhuǎn)換上網(wǎng)。但是如果一根線斷了,就會有一個網(wǎng)段的用戶上不了網(wǎng)。為了實現(xiàn)鏈路冗余互為備份,修改用于NAT的ACL為:
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉(zhuǎn)換
rule 3 permit ip  source 192.168.1.0 0.0.0.255
rule 4  permit ip  source 192.168.2.0 0.0.0.255            //允許兩個網(wǎng)段通過,實現(xiàn)鏈路冗余
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉(zhuǎn)換
rule 3 permit  ip  source 192.168.1.0 0.0.0.255   
rule 4 permit  ip  source 192.168.2.0 0.0.0.255         //允許兩個網(wǎng)段通過,實現(xiàn)鏈路冗余
 
4、查看策略路由和配置,修改策略路由,并強制IPSec流量僅走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0    
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Dialer2
該策略路由強行1網(wǎng)段走Dilar 2,但不排除2網(wǎng)段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
 acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
 apply output-interface Dialer1
 
5、修改security ACL 3000,并使兩端成鏡像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
 
6、測試兩網(wǎng)段用戶上網(wǎng),正常;測試兩網(wǎng)段用戶訪問VPN,正常。

建議/總結(jié)
  1. 如果雙鏈路為同一ISP,只有兩條默認路由時,必須將默認路由配置為不同優(yōu)先級;
  2. 該方案實現(xiàn)了在2條鏈路正常時,通過策略路由實現(xiàn)分流;當1條鏈路斷開后,能確保所有網(wǎng)段通過NAT上網(wǎng)。這里需要注意配置做NAT的ACL需要將所有網(wǎng)段都包含進去,最簡單的規(guī)則是先拒絕IPSec流量,然后rule permit ip。
  3. 為了確保IPSec正常,本例比較保守的只允許通過Dialer2口與中心建立隧道。如果修改中心和分支的security acl,并將IPSec策略應用于兩個dialer口,還可以實現(xiàn)分支IPSec鏈路冗余。當兩條鏈路正常時,通過策略路由,所有感興趣流量通過 Dialer2口,由Dialer2口與中心建立隧道,當Dialer2口所有鏈路down時,根據(jù)默認路由會選擇Dialer1口建立隧道。修改方法如 下:

interface Dialer1
ipsec policy map1
 
interface Dialer2
ipsec policy map1