分享一个项目经验[不错的帖子，用了新技术，其思路可被举一反三]

network · 发表于 2007-12-30 07:14:15

分享一个项目经验[不错的帖子，用了新技术，其思路可被举一反三]

转载一位好人的项目经验，大家共同学习。
谢谢作者！！

项目简介：

最近在做一个北京与深圳两地互联的项目，通过DDN互联VPN作备份，在整个项目实施中也遇到不少问题，最终借助于网络的力量，问题终于一一得到解决，完成整个项目的验收。在此特别感谢在此项目中一直指导我的烦尘子等几位版主。
拓扑图:
[img][url=http://www.sundway.com/UploadFile/20071114104337270645536.jpg]http://www.sundway.com/UploadFile/20071114104337270645536.jpg[/url][/img](哎，就是显示不了图）郁闷！
客户需求：

具体网络拓扑如上，客户要求两地通过DDN专线互联并且深圳端上网在DDN正常的情况下，深圳所有出Internet流量必须通过北京端SV2000认证，在DDN断掉的时候通过两条ADSL实现VPN备份接替DDN的业务，而当DDN线路恢复正常时VPN需要处于备份状态，完全由DDN来传输数据。（其中，北京端ADSL为固定IP，使用VPN时深圳端直接从ADSL出口，无需从北京认证出口。）

一、以下是DDN配置

北京端DDN配置：

interface Serial0/2/0（串口配置）

description lianjie shengzheng wan

ip address 192.168.100.1 255.255.255.0

interface FastEthernet0/0

description lianjie beijin lan

ip address 192.168.8.253 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

ip route 192.168.10.0 255.255.255.0 192.168.100.2 60 track 1

ip route 0.0.0.0 0.0.0.0 192.168.8.254 60 track 1

深圳只有一个网段为：192.168.10.0所有到达此网段的路由走192.168.100.2其它所有流量均来自深圳端网络，那么要经过认证以及深圳端与北京端网络的路由（192.168.8.0、192.168.9.0均在SV2000上划分并路由），所有流量均转发到SV2000上面（SV2000上面已经做好路由，所有到达192.168.10.0网段全部转发到192.168.8.253）。

深圳端DDN配置：

interface Serial0/2/0

description shengzheng wan

ip address 192.168.100.2 255.255.255.0

interface FastEthernet0/0

description shengzheng lan

ip address 192.168.10.253 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

ip route 0.0.0.0 0.0.0.0 192.168.100.1 60 track 1

以上就是整个DDN互联的配置，在调试过程中遇到一个小小的问题，开始把IP以及路由配置上去之后，测试发现两端不通，查看接口已经UP了，但是协议一直是DOWN的，查看两端的协议封装都为HDLC，改为PPP封装后还是不行，通过打环两端路由均看不到对端的环，开始怀疑问题出在电信端，于是与客户沟通让其联系电信，电信回复说经过测试没有问题，再次查看接口协议以及端口全部UP，但还是PING不通，再次与电信联系电信，电信同意两端同时派人上门，在等待电信的人同时我也查看路由接口以及HDSL发现上面闪的是黄灯，感觉问题应该出于此但当时也不感肯定（因为平时很少留心到电信所提供的设备，只是关心我们自己的产品，所以说有多大把握，但还是凭自己的感觉怀疑是不是光纤插反了而出现此类情况呢？反正死马当活马医了，两端调换一下，好家伙竟然变绿了，到路由上PING北京端路由惊喜的！出现了），通过一些路由的设定完全实现了用户要求的走DDN线路由深圳端出Internet要经过北京端SV2000认证，DDN到此基本完全结束。

network · 发表于 2007-12-30 07:14:32

二、VPN及线路切换的配置

北京端VPN配置：

ISAKMP的配置：

crypto isakmp policy 10

hash md5

authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0

crypto isakmp keepalive 10 periodic

转换集的配置：

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

动态加密图的配置：

crypto dynamic-map cisco 10

set transform-set cisco

match address 100

把动态加密图加入到MAP上：

crypto map cisco 10 ipsec-isakmp dynamic cisco

把加密图应用到接口上：

interface FastEthernet0/1

no ip address

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

crypto map cisco

interface Dialer1

mtu 1492

ip address negotiated

ip nat outside

ip virtual-reassembly

encapsulation ppp

no ip route-cache cef

no ip route-cache

no ip mroute-cache

dialer pool 1

dialer-group 1

ppp authentication pap callin

ppp chap hostname *

ppp chap password 0 *

ppp pap sent-username * password 0 *

crypto map cisco

定义需要加密的流量：

access-list 100 permit ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 100 permit ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 100 permit ip 192.168.9.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 100 permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 100 deny
ip 192.168.7.0 0.0.0.255 any

access-list 100 deny
ip 192.168.8.0 0.0.0.255 any

access-list 100 deny
ip 192.168.9.0 0.0.0.255 any

access-list 100 deny
ip 192.168.11.0 0.0.0.255 any

定义不需要NAT转换的地址：

access-list 101 deny
ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 101 deny
ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 101 deny
ip 192.168.9.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 101 deny
ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 101 permit ip 192.168.8.0 0.0.0.255 any

深圳端VPN配置：

ISAKMP的配置：

crypto isakmp policy 10

hash md5

authentication pre-share

crypto isakmp key cisco address 222.128.50.112

crypto isakmp keepalive 30 10 periodic

转换集的配置：

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

加密码图的配置：

crypto map cisco 10 ipsec-isakmp

set peer 222.128.50.112

set transform-set cisco

match address 100

把加密图应用到接口：

interface FastEthernet0/1

no ip address

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

crypto map cisco

interface Dialer1

mtu 1492

ip address negotiated

ip nat outside

ip virtual-reassembly

encapsulation ppp

no ip route-cache cef

no ip route-cache

no ip mroute-cache

dialer pool 1

dialer-group 1

ppp authentication pap callin

ppp chap hostname *

ppp chap password 0 *

ppp pap sent-username * password 0 *

crypto map cisco

定义需要加密码的流量：

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

access-list 100 deny
ip 192.168.10.0 0.0.0.255 any

定义不需要NAT转换的地址：

access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255

access-list 101 deny
ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

access-list 101 permit ip 192.168.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit

在整个VPN配置中遇到很多问题，主要原因是开始建立VPN之时，用户不同意使用两条独立的线路来建立VPN，想使用北京端现有的Internet线路通过NAT的方式来做VPN，那么这样做就势必受到很多影响，因为要从3640上NAT到现有的2801上面要经过三次NAT，这样做就涉及到安全以及转换的问题，由于客户时间、安全的问题，我没能拿以上三台设备的管理权限，一切只能由他们来做，最终我也不能确定他们在PIX以及SV2000是否正确，最终导致整个VPN的构建失败，由于DDN前期投入到正常使用，这样的测试没有太多时间来完成测试及实验，只能建议客户在北京端申请一条固定IP的ADSL，当两边都为独立的外部线路来建立VPN，比较顺利一次成功，但在测试中SHUTDOWN掉S0/2/0后VPN能马上起来接替DDN而NO SHUTDOWN后DDN线路能起来，但是当再次SHUTDOWN掉S0/2/0接口后，而VPN一直不能建立连接，DEBUG看到一直提示：*Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 61.144.56.100 dst 61.144.56.101 for SPI 0x3A7B69BF，基本确定问题出现在ISAKMP，只能从此着手，经过查看CISCO官方网站得出结论大概是ISAKMP有一个存活时间，在此次存活时间内，有一端ISAKMP未失效而另一端又采用新的ISAKMP建立连接，出现匹配造成VPN建立不成功，通过在两端加上ISAKMP的KEEPALIVE存活时间设置，最终问题得到解决，从而实现了正常的切换。

network · 发表于 2007-12-30 07:14:50

三、DDN与VPN切换的配置

北京切换配置：

ip sla monitor 1 /建立监视组1探测深圳端的IP

type echo protocol ipIcmpEcho 192.168.100.2 /发送ICMP探测深圳端IP

timeout 999 /超时时间999MS

frequency 1 /发送一个包

ip sla monitor schedule 1 life forever start-time now /定义监视组的SCHEDULE、LIFE、FOREVER的开始时间

track 1 rtr 1 reachability /定义TRACK组

ip route 192.168.10.0 255.255.255.0 192.168.100.2 60 track 1

ip route 0.0.0.0 0.0.0.0 192.168.8.254 60 track 1

ip route 0.0.0.0 0.0.0.0 Dialer1 70

ip route 192.168.7.0 255.255.255.0 192.168.8.254 70

ip route 192.168.9.0 255.255.255.0 192.168.8.254 70

ip route 192.168.11.0 255.255.255.0 192.168.8.254 70

此处几条路由也就是整个线路切换与恢复的关健所在，依次描述。

①
当DDN正常时默认所有到达深圳端的流量都走S0/2/0端口，并由TRACK1检测是否把此条路由放入路由表中。

②
当DDN正常时，所有深圳端过来的流量全部转发到SV2000的LAN口，实现深圳出公网的认证以及深圳端与北京端路由，并由TRACK1检测是否把此条路由放入路由表中。

③
当DDN当掉后，通过TRACK1检测路由会默认关闭S0/2/0，此路由会被放到路由表中，而建立两端的VPN而实现DDN业务的接替，当TRACK1检测到DDN恢复后，此表路由会被删除。

④
其余几条基本同上一条功能一样，只是更详细的匹配了VPN建立后流量的转发，而实现深圳端与北京端内网的路由。

实现的效果：

走专线时：

pekru020#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.8.254 to network 0.0.0.0

222.128.50.0/32 is subnetted, 2 subnets

C
222.128.50.112 is directly connected, Dialer1

C
222.128.50.65 is directly connected, Dialer1

C
192.168.8.0/24 is directly connected, FastEthernet0/0

S
192.168.9.0/24 [70/0] via 192.168.8.254

S
192.168.10.0/24 [60/0] via 192.168.100.2

S
192.168.11.0/24 [70/0] via 192.168.8.254

S
192.168.7.0/24 [70/0] via 192.168.8.254

C
192.168.100.0/24 is directly connected, Serial0/2/0

S*
0.0.0.0/0 [60/0] via 192.168.8.254

走VPN时:

pekru020#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

222.128.50.0/32 is subnetted, 2 subnets

C
222.128.50.112 is directly connected, Dialer1

C
222.128.50.65 is directly connected, Dialer1

C
192.168.8.0/24 is directly connected, FastEthernet0/0

S
192.168.9.0/24 [70/0] via 192.168.8.254

S
192.168.11.0/24 [70/0] via 192.168.8.254

S
192.168.7.0/24 [70/0] via 192.168.8.254

S*
0.0.0.0/0 is directly connected, Dialer1

完全实现了线路的自动切换与恢复。

深圳端切换配置：

ip sla monitor 1

type echo protocol ipIcmpEcho 192.168.100.1

timeout 999

frequency 1

ip sla monitor schedule 1 life forever start-time now

track 1 rtr 1 reachability

ip route 0.0.0.0 0.0.0.0 192.168.100.1 60 track 1

ip route 0.0.0.0 0.0.0.0 Dialer1 70

深圳端相对简单，配置原理与北京端相同，在此也不再阐述相关配置了。

在此需要特别注意的地方是，像电信所提供的数字线路，一定需要配合使用监视组来查看业务是否中断，因为当一端DOWN后，而另一端的链路由于连接的是运营商端，只要客户端与运营商端线路正常，那么另一端协议以及端口都会处于UP状态，那么也不能使管理距离为60的路由在路由表里及时删除也会造成管理距离为70的路由被放到路由表。

zgf666 · 发表于 2009-7-31 11:21:19

ddddddddddddddddddddddddddddddddd

zgf666 · 发表于 2009-7-31 11:21:19

ddddddddddddddddddddddddddddddddd

账号		自动登录	找回密码
密码			注册