Vpn冗余网关配置测试手册
Vpn冗余网关配置测试手册
说明:由于有一些总公司对外有多条链路连接,因此用户都希望分公司能建立冗余vpn,保证总公司某一条对外线路断了以后,还能保证另外一条线路vpn接入进来。这里就是举例介绍分公司204如何建立冗余vpn网关。
实验拓扑图如下:
ISG1000配置
为了简化配置,这里只是介绍vpn的具体配置
建立vpn group
VPNs > AutoKey Advanced > VPN Groups
VPN Group ID中填写1,然后add
建立cnc的ike gateway
VPNs > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: cnc
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.1.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
建立telcom的ike gateway
同样的操作
VPNs > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: telcom
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.1.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
建立cnc的ike vpn
VPNs > AutoKey IKE > New: 输入以下内容,然后单击 OK:
VPN Name: to-204-cnc
Security Level: custome
Remote Gateway: Predefined: ( 选择), cnc
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
VPN Group: VPN Group-1
Weight: 1
(注:weight值越大,优先级越大)
建立telcom的ike vpn
同样的操作
VPNs > AutoKey IKE > New: 输入以下内容,然后单击 OK:
VPN Name: to-204-tel
Security Level: custome
Remote Gateway: Predefined: ( 选择), telcom
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
VPN Group: VPN Group-1
Weight: 2
策略中引用vpn group
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.3.0/24
Destination Address:
Address Book Entry: ( 选择), 192.168.2.0/24
Service: ANY
Action: Tunnel
VPN: VPN Group-1
Modify matching bidirectional VPN policy: ( 选择)
Position at Top: ( 选择)
204防火墙配置
1、建立vpn group
VPNs > AutoKey Advanced > VPN Groups
VPN Group ID中填写1,然后add
2、建立cnc的ike gateway
VPNs > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: cnc
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 192.168.0.2
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
注意这里心跳设置,这里为了保证测试恢复比较明显,所以设置的值比较短,请根据实际需要设置,以免发生错误切换。
3、建立telcom的ike gateway
同样的操作
VPNs > AutoKey Advanced > Gateway > New: 通过输入下列值创建一个网
关,然后单击 OK。
Gateway Name: telcom
Security Level: custome
Remote Gateway Type: Static IP Address
IP Address/Hostname: 10.4.7.198
Preshared Key:111111
P1 proposal 选择pre-g1-des-md5
Advanced: 在“Heartbeat Hello”和“Heartbeat
Threshold”字段中输入新值,然后单击 OK。
4、建立cnc的ike vpn
VPNs > AutoKey IKE > New: 输入以下内容,然后单击 OK:
VPN Name: to-204-cnc
Security Level: custome
Remote Gateway: Predefined: ( 选择), cnc
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
VPN Group: VPN Group-1
Weight: 1
建立telcom的ike vpn
同样的操作
VPNs > AutoKey IKE > New: 输入以下内容,然后单击 OK:
VPN Name: to-204-tel
Security Level: custome
Remote Gateway: Predefined: ( 选择), telcom
> Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey
IKE 配置页:
Security level:选择nopfs-esp-des-md5
VPN Group: VPN Group-1
Weight: 2
策略中引用vpn group
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.3.0/24
Destination Address:
Address Book Entry: ( 选择), 192.168.2.0/24
Service: ANY
Action: Tunnel
VPN: VPN Group-1
Modify matching bidirectional VPN policy: ( 选择)
Position at Top: ( 选择)
检验
以上配置完成以后,分公司204就会有两条到总部isg1000的vpn网关,由于权重值不一样,所以首选电信为主。这样我们可以人为断开总部isg1000的电信线路,检查此时vpn连接
此时检查204端日志
发现分公司防火墙由于检测到远端点电信实效,所以将策略引用的sa由原来的电信sa转换到网通sa,并重新协商建立cookies。
总部防火墙的日志显示如下:
内容与分公司类似
通过分公司去ping总部防火墙内口,检查切换对业务影响
恢复总部电信接口
可以看出业务没有什么影响
并且同时在204上可以看到如下日志
说明已经切换过来
2001-2007 Comsenz Inc.
