cisco 双ISP线路接入,链路自动切换方案（2）

　　PIX:

　　第一步：定义感兴趣数据流，即将来需要通过VPN加密传输的数据流。

　　PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0

　　PIX(config)# access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0

　　第二步：通过VPN传输的数据包不需要做NAT，因此，将这些数据包定义到nat 0，nat 0不对数据包进行地址转换。nat0的处理始终在其他nat(例如nat1、nat2、nat3……)之前。

　　PIX(config)# nat (inside) 0 access-list no-nat

　　第三步：访问internet的数据流使用PAT出去。

　　PIX(config)# nat (inside) 1 0 0

　　PIX(config)# global (outside) 1 interface

　　第四步：定义ISAKMP策略。

　　PIX(config)# crypto isakmp enable outside

　　//在外部接口上启用ISAKMP

　　PIX(config)# crypto isakmp policy 10 authentication pre-share

　　//认证方法使用预共享密钥

　　PIX(config)# crypto isakmp policy 10 encryption des

　　//加密方法使用des

　　PIX(config)# crypto isakmp policy 10 hash md5

　　//散列算法使用md5

　　PIX(config)# crypto isakmp policy 10 group 2

　　//DH模长度为1024

　　第五步：将ISAKMP预共享密钥和对等体关联，预共享密钥为“cisco123456”。

　　PIX(config)# crypto isakmp identity address

　　PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1

　　第六步：设置ipsec转换集。

　　PIX(config)# crypto ipsec transform-set myvpn esp-des esp-md5-hmac

　　第七步：设置加密图。

　　PIX(config)# crypto map myvpnmap 10 ipsec-isakmp

　　PIX(config)# crypto map cmyvpnmap 10 match address no-nat

　　//加载感兴趣流

　　PIX(config)# crypto map myvpnmap 10 set transform-set myvpn

　　//选择转换集

　　PIX(config)# crypto map myvpnmap 10 set peer 192.168.2.1

　　//设置对等体地址

　　PIX(config)# crypto map myvpnmap 10 set pfs group2

　　//设置完美前向保密，DH模长度为1024

　　第八步：在外部接口上应用加密图。

　　PIX(config)# crypto map myvpnmap interface outside

　　第九步：指定IPsec的流量是可信任的。

　　PIX(config)# sysopt connection permit-ipsec

　　接下是本部份重点，就是路由选择与链路检测配置：

　　R1：

　　ip access-list extended lan-erp

　　permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)

　　ip access-list extended lan-mail

　　permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP)

　　定义route-map 的感兴趣流

　　ip sla monitor 1

　　type echo protocol ipIcmpEcho 192.168.3.2

　　ip sla monitor schedule 1 life forever start-time now

　　ip sla monitor 2

　　type echo protocol ipIcmpEcho 192.168.2.2

　　ip sla monitor schedule 2 life forever start-time now

　　track 123 rtr 1 reachability

　　track 124 rtr 2 reachability

　　启用思科SLA协议，动态检测链路。

　　route-map test permit 10

　　match ip address lan-erp

　　set ip next-hop verify-availability 192.168.3.2 1 track 123

　　set ip next-hop verify-availability 192.168.2.2 2 track 124

　　!

　　route-map test permit 20

　　match ip address lan-mail

　　set ip next-hop verify-availability 192.168.2.2 1 track 124

　　set ip next-hop verify-availability 192.168.3.2 2 track 123

　　启用routermap 对数据进行分流。

　　R2：

　　ip access-list extended erp-lan

　　permit ip host 192.168.5.53 192.168.1.0 0.0.0.255

　　ip access-list extended mail-lan

　　permit ip host 192.168.5.50 192.168.1.0 0.0.0.255

　　定义route-map 的感兴趣流

　　ip sla monitor 1

　　type echo protocol ipIcmpEcho 192.168.3.1

　　ip sla monitor schedule 1 life forever start-time now

　　ip sla monitor 2

　　type echo protocol ipIcmpEcho 192.168.2.1

　　ip sla monitor schedule 2 life forever start-time now

　　track 123 rtr 1 reachability

　　track 124 rtr 2 reachability

　　启用思科SLA协议，动态检测链路。

　　route-map test permit 10

　　match ip address mail-erp

　　set ip next-hop verify-availability 192.168.3.1 1 track 123

　　set ip next-hop verify-availability 192.168.4.1 2 track 124

　　!

　　route-map test permit 20

　　match ip address erp-mail

　　set ip next-hop verify-availability 192.168.4.1 1 track 124

　　set ip next-hop verify-availability 192.168.3.1 2 track 123

　　定义route-map 的感兴趣流.

　　为什么R2也要配置，请读者自己去思考了。有兴趣大家可做下实验，本文结束。