在实际网络运用中我们时常跑GRE+IPSEC来实现我们中心到分支的远程访问回话,这样以来容易配置,而来可用性高,我们知道L2L无论是链路备份还是设备备份,都不是状态备份,当一个点断掉后,用经过几十秒甚至1分多种的时间收敛,才能切换到另一条线路上,重新构建ipsec回话。我们用GRE+IPSEC则可以用更少的时间来切换线路。

要求:

1.实现ipsec高可用性切换

2.在中心站点部署两台vpn网管,跑gre

R1:

crypto isakmp policy 10

 authentication pre-share

 group 2

crypto isakmp key cisco address 69.1.10.5 no-xauth

crypto isakmp key cisco address 88.88.8.4 no-xauth

crypto ipsec transform-set liang esp-des esp-md5-hmac 

 mode transport

crypto map mymap local-address Ethernet0/0

crypto map mymap 10 ipsec-isakmp 

 set peer 69.1.10.5

 set transform-set liang 

 match address 101

crypto map mymap 20 ipsec-isakmp 

 set peer 88.88.8.4

 set transform-set liang 

 match address 102

!interface Loopback0

 ip address 192.168.1.1 255.255.255.0

interface Loopback1

 ip address 1.1.1.1 255.255.255.255

interface Tunnel0

 bandwidth 1000

 ip address 10.1.15.1 255.255.255.0

 ip mtu 1438

 keepalive 10 3

 tunnel source Ethernet0/0

 tunnel destination 69.1.10.5

interface Tunnel1

 ip address 10.1.14.1 255.255.255.0

 ip mtu 1438

 keepalive 10 3

 tunnel source Ethernet0/0

 tunnel destination 88.88.8.4

interface Ethernet0/0

 ip address 191.1.1.1 255.255.255.0

 half-duplex

 crypto map mymap

router ospf 10

 router-id 1.1.1.1

 log-adjacency-changes

 network 1.1.1.1 0.0.0.0 area 0

 network 10.1.15.0 0.0.0.255 area 1

network 10.1.14.0 0.0.0.255 area 1

 network 192.168.1.0 0.0.0.255 area 0

ip route 0.0.0.0 0.0.0.0 191.1.1.3

access-list 101 permit gre host 191.1.1.1 host 69.1.10.5

access-list 102 permit gre host 191.1.1.1 host 88.88.8.4

R2:

crypto isakmp policy 10

 authentication pre-share

 group 2

crypto isakmp key cisco address 88.88.8.4 no-xauth

crypto isakmp key cisco address 69.1.10.5 no-xauth

crypto ipsec transform-set liang esp-des esp-md5-hmac 

 mode transport

crypto map mymap local-address Ethernet0/1

crypto map mymap 10 ipsec-isakmp 

 set peer 88.88.8.4

 set transform-set liang 

 match address 101

crypto map mymap 20 ipsec-isakmp 

 set peer 69.1.10.5

 set transform-set liang 

 match address 102

interface Loopback0

 ip address 192.168.2.2 255.255.255.0

interface Loopback1

 ip address 2.2.2.2 255.255.255.255       

interface Tunnel0

 bandwidth 1000

 ip address 10.1.24.2 255.255.255.0

 ip mtu 1483

 keepalive 10 3

 tunnel source Ethernet0/1

 tunnel destination 88.88.8.4

interface Tunnel1

 ip address 10.1.25.2 255.255.255.0

 ip mtu 1438

 keepalive 10 3

 tunnel source Ethernet0/1

 tunnel destination 69.1.10.5

interface Ethernet0/1

 ip address 192.1.1.2 255.255.255.0

router ospf 10

 log-adjacency-changes

 network 10.1.24.0 0.0.0.255 area 1

 network 10.1.25.0 0.0.0.255 area 1

ip route 0.0.0.0 0.0.0.0 192.1.1.3      

access-list 101 permit gre host 192.1.1.2 host 88.88.8.4

access-list 102 permit gre host 192.1.1.2 host 69.1.10.5

R4

crypto isakmp policy 10

 authentication pre-share

 group 2

crypto isakmp key cisco address 192.1.1.2 no-xauth

crypto isakmp key cisco address 191.1.1.1 no-xauth

crypto ipsec transform-set liang esp-des esp-md5-hmac 

 mode transport

crypto map mymap local-address Ethernet0/2

crypto map mymap 10 ipsec-isakmp 

 set peer 192.1.1.2

 set transform-set liang 

 match address 101

crypto map mymap 20 ipsec-isakmp 

 set peer 191.1.1.1

 set transform-set liang 

 match address 102

interface Loopback0

 ip address 4.4.4.4 255.255.255.255

iterface Tunnel0

 bandwidth 1000

 ip address 10.1.24.4 255.255.255.0

 ip mtu 1483

 keepalive 10 3

 tunnel source Ethernet0/2

 tunnel destination 192.1.1.2

interface Tunnel1

 ip address 10.1.14.4 255.255.255.0

 ip mtu 1483

 keepalive 10 3

 tunnel source Ethernet0/2

 tunnel destination 191.1.1.1

interface Ethernet0/0

 ip address 192.168.3.4 255.255.255.0

 full-duplex

interface Ethernet0/2

 ip address 88.88.8.4 255.255.255.0

 crypto map mymap

router ospf 10

 router-id 4.4.4.4

 log-adjacency-changes

 network 4.4.4.4 0.0.0.0 area 0

 network 10.1.14.0 0.0.0.255 area 1

 network 10.1.24.0 0.0.0.255 area 1

 network 192.168.3.0 0.0.0.255 area 0

ip route 0.0.0.0 0.0.0.0 88.88.8.3

access-list 101 permit gre host 88.88.8.4 host 192.1.1.2

access-list 102 permit gre host 88.88.8.4 host 191.1.1.1

R5

crypto isakmp policy 10

 authentication pre-share

 group 2

crypto isakmp key cisco address 191.1.1.1 no-xauth       两个peer 在上为主

crypto isakmp key cisco address 192.1.1.2 no-xauth

crypto ipsec transform-set liang esp-des esp-md5-hmac 

 mode transport

crypto map mymap local-address Ethernet1/3

crypto map mymap 10 ipsec-isakmp 

 set peer 191.1.1.1

 set transform-set liang 

 match address 101

crypto map mymap 20 ipsec-isakmp 

 set peer 192.1.1.2

 set transform-set liang 

 match address 102

interface Loopback0

 ip address 5.5.5.5 255.255.255.255

interface Tunnel0

 bandwidth 1000                             GRE默认带宽是9我们指定1000 使其优先级高成为主线路

 ip address 10.1.15.5 255.255.255.0

 ip mtu 1438

 keepalive 10 3

 tunnel source Ethernet1/3

 tunnel destination 191.1.1.1

interface Tunnel1

 ip address 10.1.25.5 255.255.255.0

 ip mtu 1438                                              指定mtu

 keepalive 10 3

 tunnel source Ethernet1/3

 tunnel destination 192.1.1.2

interface Ethernet1/3

 ip address 69.1.10.5 255.255.255.0

 half-duplex

 crypto map mymap

interface Vlan1

 no ip address     

router ospf 10

 log-adjacency-changes

 network 5.5.5.5 0.0.0.0 area 0

 network 10.1.15.0 0.0.0.255 area 1

 network 10.1.25.0 0.0.0.255 area 1

 network 192.168.4.0 0.0.0.255 area 0

ip route 0.0.0.0 0.0.0.0 69.1.10.3

access-list 101 permit gre host 69.1.10.5 host 191.1.1.1

access-list 102 permit gre host 69.1.10.5 host 192.1.1.2

r2#show ip route 

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2

       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

       ia - IS-IS inter area, * - candidate default, U - per-user static route

       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.1.1.3 to network 0.0.0.0

1.0.0.0/32 is subnetted, 1 subnets

O IA    1.1.1.1 [110/11212] via 10.1.25.5, 00:19:40, Tunnel1   通过主链路学到的路由

     2.0.0.0/32 is subnetted, 1 subnets

C       2.2.2.2 is directly connected, Loopback1

     4.0.0.0/32 is subnetted, 1 subnets

O IA    4.4.4.4 [110/11114] via 10.1.25.5, 00:19:40, Tunnel1

     5.0.0.0/32 is subnetted, 1 subnets

O IA    5.5.5.5 [110/11112] via 10.1.25.5, 00:19:40, Tunnel1

     6.0.0.0/32 is subnetted, 1 subnets

O IA    6.6.6.6 [110/11113] via 10.1.25.5, 00:19:40, Tunnel1

O IA 192.168.4.0/24 [110/11112] via 10.1.25.5, 00:19:40, Tunnel1

     10.0.0.0/24 is subnetted, 4 subnets

O       10.1.15.0 [110/11211] via 10.1.25.5, 00:19:40, Tunnel1

O IA    10.1.14.0 [110/22224] via 10.1.25.5, 00:00:09, Tunnel1

C       10.1.25.0 is directly connected, Tunnel1

C       10.1.24.0 is directly connected, Tunnel0

C    192.1.1.0/24 is directly connected, Ethernet0/1

     192.168.1.0/32 is subnetted, 1 subnets

O IA    192.168.1.1 [110/11212] via 10.1.25.5, 00:19:40, Tunnel1

C    192.168.2.0/24 is directly connected, Loopback0

O IA 192.168.3.0/24 [110/11113] via 10.1.25.5, 00:19:40, Tunnel1

S*   0.0.0.0/0 [1/0] via 192.1.1.3

当r4出现线路故障,自动切换到r5

此图与L2L站点到站点vpn优势:

1.自动切换,时间短,

2.无须匹配加密数据流,可跑动态路由协议,自己协商,方便,我们只需配置GRE其他的让她们自己去协商

3.配置简单,方便配错,特别是对于多点配置,L2Lvpn配置起来超麻烦,站点多了要配DMVPN,在这我们只需起一条 tunnel 隧道就行了!

4.还有更加简单的配置  用ipsec pro 这个有时间我补在后面

5.等等 呵呵

本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/533202,如需转载请自行联系原作者

高可用性GRE+IPSEC中心—分支的更多相关文章

  1. Git 最佳实践:分支管理

    5月份,为统一团队git分支管理规范,刚开始准备自己写,在网上搜了下,发现不少不错的git分支管理实践.最后我为团队选择了这个git分支管理实践 A successful Git branching ...

  2. Linux TC流量控制HOWTO中文版

    <本文摘自Linux的高级路由和流量控制HOWTO中文版 第9章节>网人郭工进行再次编译: 利用队列,我们可以控制数据发送的方式.记住我们只能对发送数据进行控制(或称为整形).其实,我们无 ...

  3. Linux TC (traffic control)

    在着手学习TC采用如下单位来描述带宽: mbps = 1024 kbps = 1024 * 1024 bps => byte/s mbit = 1024 kbit => kilo bit/ ...

  4. SDN实验---OVS了解(转载)

    转载自:https://opengers.github.io/openstack/openstack-base-use-openvswitch/ 一:Open vSwitch介绍 (一)介绍 在过去, ...

  5. Networking 基本术语/概念

    目录 文章目录 目录 基本概念 冲突域(Collision Domain) 广播域(Broadcast Domain) 冲突域与广播域的区别 IP 网络数据传输方式 物理网络设备 发展简述 中继器(R ...

  6. MGRE及实验

    tunnel 隧道:一种的简单的VPN技术: 普通的tunnel为点到点网络类型: 生成隧道接口,流量通过路由查询后,若通过隧道接口转发时,需要在原有的三层报头前,再添加一个公有地址间的报头: 将两个 ...

  7. CCNP之二层技术

    二层技术 ---数据链路层 核心功能:介质访问控制功能,控制物理层 网络类型: 1)MA:multiple access 多路访问(指在一条链路上有多个访问点,区别于点到点或点到多点的网络) BMA: ...

  8. CCNP之MERG实验报告

    MGRE实验报告 一.实验要求: 1.R5为ISP,只能配置IP地址 2.R1--R3间建立MGRE环境,且使用EIGRP来学习各自环回 3.R4可以正常访问R5的环回 4.R1与R5进行chap认证 ...

  9. Java 框架、库和软件的精选列表(awesome java)

    原创翻译,原始链接 本文为awesome系列中的awesome java Awesome Java Java 框架.库和软件的精选列表 项目 Bean映射 简化 bean 映射的框架 dOOv - 为 ...

随机推荐

  1. 真没想到,Springboot能这样做全局日期格式化,有点香!

    最近面了一些公司,有一些 Java方面的架构.面试资料,有需要的小伙伴可以在公众号[程序员内点事]里,无套路自行领取 说在前边 最近部门几位同事受了一些委屈相继离职,共事三年临别之际颇有不舍,待一切手 ...

  2. 一天学一个Linux命令:第一天 ls

    文章更新于:2020-03-02 注:本文参照 man ls 手册,并给出使用样例. 文章目录 一.命令之`ls` 1.名字及介绍 2.语法格式 3.输出内容示例 4.参数 二.命令实践 1.`ls ...

  3. Python常见数据结构-List列表

    Python list基本特点 列表是一种有序集合,可以随时添加和删除元素. 序列中的每个元素都分配一个数字 - 它的位置. 列表的数据项不需要具有相同的类型. 创建一个列表,只要把逗号分隔的不同的数 ...

  4. redis 非关系型数据库

    redis 类型,数据存在磁盘里面,所以存储速度比较快,其他数据类型还是存储在数据库所以比较慢些 链接redis数据库: r=redis.Redis(host="%%%%%%%", ...

  5. Python 1基础语法一(注释、行与缩进、多行语句、空行和代码组)

    一.注释Python中单行注释以 # 开头,实例如下: # 第一个注释 print ("Hello, Python!") # 第二个注释 输出结果为: ============== ...

  6. Prometheus 监控MySQL

    目录 0.简介 1.mysql_exporter部署 2.mysql报警规则 0.简介 文中主要监控MySQL/MySQL主从信息 版本:mysql-5.7,mysql_exporter-0.12.1 ...

  7. 基于ffmpeg不同编码方式转码后的psnr对比

    一.测试说明: 源文件:1080psrc.mp4 时长:900秒 源文件信息:Video: h264 (High) (avc1 / 0x31637661), yuv420p, 1920x1080 [S ...

  8. sqli-labs通关教程----21~30关

    第二十一关 第二十一关我们正常登陆后看到,uname后面变成了一堆字母 这是经过base64编码之后的样子,所以就照葫芦画瓢,将我payload的uname后面的部分转码成base64,这里可以用正常 ...

  9. C - Dr. Evil Underscores CodeForces - 1285D 二进制

    题目大意:n个数,任意整数x对这n个数取异或值,然后使最大值最小. 思路:数据范围最大为pow(2,30);所以考虑二进制的话,最多有30位.对于某一位d,然后考虑数组v中每一个元素的d为是0还是1, ...

  10. Cucumber(4)——jenkins的集成

    目录 回顾 必备知识 集成方法 回顾 在上几节中,关于cucumber的知识我已经全部的介绍完了,但是近期,jenkins大行其道,在工作上面能为我们节省大量的时间. 所以在本节中,我会介绍cucum ...