网络拓扑
组网说明
目前该网采用二层架构,既中心和网点。中心采用一台核心路由器汇聚网点设备(点对多点),各网点分别通过网络汇聚到运营商,然后运营商提供一条专线到中心核心路由器,从而达到互联互通。
新增备份网络通过Internet建立VPN.网点采用3G、adsl、宽带等方式通过Internet网络连接到中心备设备(中心设备为固定公网IP),建立ipsec-vpn,从而达到备份网络互联。中心备设备通过中心主设备接入中心局域网。
正常情况下,网点数据从主用网络通过,当主用网络出现故障时,切换到备份网络。
方案解析1、路由策略l 网点:网点采用默认静态路由,其中主线路的优先级高于备份线路的优先级。
l 中心主设备:中心主设备采用静态路由,到各网点的路由都指向运营商提供的下一跳地址。
l 中心备设备:中心备设备采用静态路由,到Internet采用默认静态路由指向运营商提供的下一跳地址,到中心局域网的路由指向中心主设备。
2、线路备份实现方法l 网点:为了保证主线路的可达性,在网点设备上启用ip-link功能,destination指向主用线路的中心地址。当主用网络出现故障时,路由切换到备份线路。
l 中心主:如果在中心主设备启用ip-link功能,那么业可以解决主备切换的问题,但是由于网点很多,数值超过了link-id值,所以无法启用该功能。当网点到中心的主线路发送故障时主备切换后,数据包从备份线路上行,但是下行数据还是从中心主设备发回网点,从而导致线路不通。
l 中心备:由于网点采用3G、adsl、宽带等接入方式,导致广域网的ip地址无法固定,所以中心备设备无法采用ip-link功能。为了实现中心备设备的网络备份功能,需要在中心备设备上采用nat功能(中心备设备的外网接口为NAT数据进方向,内网接口为NAT数据出方向),把网点的所有数据包的源地址转换为中心备设备的内网接口地址或者是接口地址所在网段内的地址。
3、主备切换流程当主线路的某一段出现故障时,网点设备通过ip-link功能检测到后,切换路由到备份线路。
l 上行方向:数据包通过ipsec-vpn到达中心备设备后,使用nat功能,把网点数据包的源地址转换成中心备设备的内网地址,然后再转发到中心网络中。
l 下行方向:数据包从服务器返回中心主设备后,目的地址为中心备设备的接口地址(nat后的源地址),经过中心备设备nat session后,把目的地址转换成网点地址,然后通过ipsec-vpn发送到网点设备。
方案中需要注意的地方l 一定要把nat转换的那个接口上的快转关闭了( undo ip fast-forwarding qff),不然从服务器回来的数据包不会走ipsec-vpn隧道。原因是先查防火墙先快转表,然后再走正常的包处理流程;
l 如果使用备份线路的话,数据只能由网点设备发起,如果是从中心发起的话,是不能建立业务连接的;
l 如果某些业务需要由中心设备发起的话,需要把中心备设备的nat改成nat server.
主要设备配置
[vpn-b]dis cur
[vpn-b]dis current-configuration
05:44:05 2000/04/02
#
sysname vpn-b
#
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound
#
vlan batch 1 to 4
#
firewall session link-state check
#
#
ip-link check enable
ip-link 1 destination 1.1.1.2 interface Vlanif2 mode icmp
#
web-manager enable
#
l2fwdfast enable
#
acl number 3000
rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 192.0.0.0 0.255.255.255
#
ike proposal 1
authentication-algorithm md5
#
ike peer ike_p
pre-shared-key hs123
ike-proposal 1
remote-address 3.3.3.1
#
ipsec proposal ipsec_p
#
ipsec policy p1 10 isakmp
security acl 3000
ike-peer ike_p
proposal ipsec_p
local-address 2.2.2.1
#
controller E1 2/0/0
cable short
#
interface Vlanif2
ip address 1.1.1.1 255.255.255.0
#
interface Vlanif3
ip address 2.2.2.1 255.255.255.0
ipsec policy p1
#
interface Vlanif4
ip address 10.10.10.1 255.255.255.0
#
interface Cellular5/0/0
link-protocol ppp
#
interface Ethernet0/0/0
#
interface Ethernet1/0/0
portswitch
port link-type access
port access vlan 2
#
interface Ethernet1/0/1
portswitch
port link-type access
port access vlan 3
#
interface Ethernet1/0/2
portswitch
port link-type access
port access vlan 4
#
interface Ethernet1/0/3
portswitch
port link-type access
#
interface Ethernet1/0/4
portswitch
port link-type access
[1] [2] [3] 下一页