跳轉到主要內容

雙電信ADSL實現鏈路冗余和IPSec VPN

故障描述

客戶原來使用1條電信ADSL上網,由于帶寬不夠,另外增加一條電信的ADSL。客戶使用一條ADSL鏈路時, 上網、IPSecVPN都正常。但是同時使用兩條線路時,IPSecVPN隧道建立不起來,用戶上網相當的慢,丟包現象嚴重。

http://support.huawei.com/enterprise/product/images/679726ae8fb44fbb952c469a5cf25d30

故障分析

處理過程

1使用一條ADSL鏈路,測試上網、IPSec均正常,表明每一條鏈路的網絡基礎配置正確,IPSec配置正確。
2、查看默認路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1?
?ip route-static 0.0.0.0 0.0.0.0 Dialer2
考慮到由于屬于同一運營商,兩條等價默認路由會造成數據來回路徑不一致的問題,修改為
ip route-static 0.0.0.0 0.0.0.0 Dialer1?
?ip route-static 0.0.0.0 0.0.0.0 Dialer2? preference ?65
連接兩條ADSL鏈路,網絡穩定情況好轉。

  1. 查看NAT策略,修改為雙鏈路互備。

原NAT策略:
acl number 3001
?description nat_dia1
?rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 ?//拒絕IPSec流量
?rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
?rule 3 permit ip source 192.168.1.0 0.0.0.255
?
acl number 3002
?description nat_dia2
?rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255? //拒絕IPSec流量
?rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
?rule 3 permit ip source 192.168.2.0 0.0.0.255
?
firewall interzone trust untrust
?nat outbound 3001 interface Dialer1
?
firewall interzone trust untrust10
?nat outbound 3002 interface Dialer2
?
??? 該NAT策略使192.168.1.0網段通過Dialer1做地址轉換上網,使192.168.2.0網段通過Dialer2做地址轉換上網。但是如果一根線斷了,就會有一個網段的用戶上不了網。為了實現鏈路冗余互為備份,修改用于NAT的ACL為:
acl number 3001
?description nat_dia1
?rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉換
rule 3 permit ip ?source 192.168.1.0 0.0.0.255
rule 4 ?permit ip ?source 192.168.2.0 0.0.0.255??????????? //允許兩個網段通過,實現鏈路冗余
?
acl number 3002
?description nat_dia2
?rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉換
rule 3 permit ?ip ?source 192.168.1.0 0.0.0.255???
rule 4 permit ?ip ?source 192.168.2.0 0.0.0.255 ????????//允許兩個網段通過,實現鏈路冗余
?
4、查看策略路由和配置,修改策略路由,并強制IPSec流量僅走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0????
undo ip fast-forwarding qff
ip policy route-policy 123
?
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
?
route-policy 123 permit node 5
?if-match acl 3003
?apply output-interface Dialer2
該策略路由強行1網段走Dilar 2,但不排除2網段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
?
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
?acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
?
route-policy 123 permit node 5
?if-match acl 3003
?apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
?apply output-interface Dialer1
?
5、修改security ACL 3000,并使兩端成鏡像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
?
6、測試兩網段用戶上網,正常;測試兩網段用戶訪問VPN,正常。

建議/總結
  1. 如果雙鏈路為同一ISP,只有兩條默認路由時,必須將默認路由配置為不同優先級;
  2. 該方案實現了在2條鏈路正常時,通過策略路由實現分流;當1條鏈路斷開后,能確保所有網段通過NAT上網。這里需要注意配置做NAT的ACL需要將所有網段都包含進去,最簡單的規則是先拒絕IPSec流量,然后rule permit ip。
  3. 為了確保IPSec正常,本例比較保守的只允許通過Dialer2口與中心建立隧道。如果修改中心和分支的security acl,并將IPSec策略應用于兩個dialer口,還可以實現分支IPSec鏈路冗余。當兩條鏈路正常時,通過策略路由,所有感興趣流量通過 Dialer2口,由Dialer2口與中心建立隧道,當Dialer2口所有鏈路down時,根據默認路由會選擇Dialer1口建立隧道。修改方法如 下:

interface Dialer1
ipsec policy map1
?
interface Dialer2
ipsec policy map1

黄色app-黄软件下载-黄软件破解版免费版_黄软件破解版下载大全