简要说明:
R6-----10.0.0.0----R1-----10.1.1.0----R2----10.2.2.0--fa0/1--R3--fa0/0
--fa0/1-R4--fa0/0---10.3.3.0----R5
先上配置
R3:
IPSEC VPN:
crypto isakmp policy 10 //定义isakmp 策略
encr aes
authentication pre-share
group 2
lifetime 180
crypto isakmp key cisco address 10.1.1.1 //预共享密钥。ip地址为R1的s1/1端口IP地址
crypto isakmp aggressive-mode disable //取消积极模式
!
!
crypto ipsec transform-set set1 esp-aes esp-sha-hmac
!
crypto map to_R1 10 ipsec-isakmp
set peer 10.1.1.1
set transform-set set1
match address 110
HSRP:
interface FastEthernet0/0 //内部接口配置,为R5当网关
ip address 10.3.3.3 255.255.255.0
duplex auto
speed auto
standby 0 track FastEthernet0/1 //全是HSRP
standby 10 ip 10.3.3.1
standby 10 priority 105
standby 10 preempt
standby 10 name R5gateway
!
interface FastEthernet0/1 //出接口配置,为VPN做冗余
ip address 10.2.2.3 255.255.255.0
duplex auto
speed auto
standby 10 ip 10.2.2.1
standby 10 priority 105
standby 10 preempt
standby 10 name vpn //名字很重要。下面需要。必须定义
standby 10 track FastEthernet0/0
crypto map to_R1 redundancy vpn //这个很重要,必须指定关键字redundancy才能调用
HSRP,后面的名字为上文定义的 name : vpn。如果忽略
的话,变无法建立VPN了。因为上面crypto map 里面指定
的PEER地址为HSRP定义的虚IP地址
R4配置同上
R1配置为普通的IPSEC vpn配置一样
虽然这个提供了线路冗余,但是连接为无状态VPN冗余 ,在切换时,存在一段时间的丢包现象。上丢包图:
!!!!!!!!!!!!!......................................!!!!!!!!!!!!!
这是R6 ping R5 的结果,其中我shutdown掉R3的FA0/0或者FA0/1接口,就会出现线路切换。中间一段时间丢包。丢包原因是因为R4接替后需要重新和R1协商SA(安全会话),而在协商过程中牵扯到ACK问题(设置了提交位),故在协商期间所有数据均丢弃.
