国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

最近接到的一個項目，客戶總部在惠州，分部在香港，在香港分部設(shè)有ERP服務(wù)器與郵件服務(wù)器，總部出口為鐵通10M光纖與網(wǎng)通1M DDN 專線（新增），原總部是用netscreen 防火墻與香港的pix 515作IPsec VPN對接，現(xiàn)客戶要求是新增一條網(wǎng)通DDN專線用來專跑ERP數(shù)據(jù)業(yè)務(wù)，就是要求平時總部去分部訪問ERP服務(wù)器的數(shù)據(jù)走DDN專線，訪問郵件服務(wù)器的數(shù)據(jù)走ipsecVPN,但當(dāng)這兩條鏈路其中有出現(xiàn)故障中斷時，能做到鏈路自動切換，例DDN專線出現(xiàn)故障，原走這條線路的ERP數(shù)據(jù)能自動切換到ipsec VPN線路去，如果線路恢復(fù)線路又自動切換。

    對netscreen 作了研究它是支持策略路由，但好像不支持線路檢測（如知道者請?zhí)峁┵Y料，學(xué)習(xí)一下）。

    為滿足客戶要求，我推薦用思科1841路由器，思科支持策略路由與線路檢測，一直有看過相應(yīng)的文檔，但沒實施過，呵呵，終于有機會了。

    解方案如下圖：

    IP分配如下：

    總部IP段為：192.168.1.0/24  網(wǎng)關(guān)：192.168.1.111/24
    netscreen ssg-140 和透明接入，
    R1配置：
    FastEthernet0/0 -- 192.168.1.111/24
    FastEthernet0/1 -- 192.168.2.1/24 (鐵通線路 IP 有改^_^）
    Serial0/0 --- 192.168.3.1/24  (網(wǎng)通線路)

    PIX 515配置：
    Ethernet1 (outside) -- 192.168.2.2/24
    Ethernet0 (inside) -- 192.168.4.1/24

    R2配置：

    FastEthernet0/0 -- 192.168.4.2/24
    FastEthernet0/1-- 192.168.5.1/24
    Serial0/0 -- 192.168.3.2/24

下面只列出重點部分：

    VPN配置R1----PIX515

    R1:
    第一步：在路由器上定義NAT的內(nèi)部接口和外部接口
    R1(config)#int f0/0
    R1(config-if)#ip nat inside
    R1(config-if)#exit
    R1(config)#int f0/1
    R1(config-if)#ip nat outside
    R1(config-if)#exit
    第二步：定義需要被NAT的數(shù)據(jù)流（即除去通過VPN傳輸?shù)臄?shù)據(jù)流）
    R1(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
    R1(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
    R1(config)#access-list 101 permit ip any any
    第三步：定義NAT。
    R1(config)#ip nat inside source list 101 interface f0/1 overload
    第四步：定義感興趣數(shù)據(jù)流，即將來需要通過VPN加密傳輸?shù)臄?shù)據(jù)流。
    R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
    R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
    第五步：定義ISAKMP策略。
    R1(config)#crypto isakmp enable
    //啟用ISAKMP
    R1(config)#crypto isakmp policy 10
    R1(config-isakmp)#authentication pre-share
    //認(rèn)證方法使用預(yù)共享密鑰
    R1(config-isakmp)#encryption des
    //加密方法使用des
    R1(config-isakmp)#hash md5
    //散列算法使用md5
    R1(config-isakmp)#group 2
    //DH模長度為1024
    第六步：將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。
    R1(config)#crypto isakmp identity address
    R1(config)#crypto isakmp key cisco123456 address 192.168.2.2
    第七步：設(shè)置ipsec轉(zhuǎn)換集。
    R1(config)#crypto ipsec transform-set myvpn esp-des esp-md5-hmac
    R1(cfg-crypto-trans)#mode tunnel
    第八步：設(shè)置加密圖。
    R1(config)#crypto map myvpnmap 10 ipsec-isakmp
    R1(config-crypto-map)#match address 102
    //加載感興趣流
    R1(config-crypto-map)#set peer 192.168.2.2
    //設(shè)置對等體地址
    R1(config-crypto-map)#set transform-set myvpn
    //選擇轉(zhuǎn)換集
    R1(config-crypto-map)#set pfs group2
    //設(shè)置完美前向保密，DH模長度為1024
    第九步：在外部接口上應(yīng)用加密圖。
    R1(config)#int f0/1
    R1(config-if)#crypto map myvpnmap

PIX:

    第一步：定義感興趣數(shù)據(jù)流，即將來需要通過VPN加密傳輸?shù)臄?shù)據(jù)流。
    PIX(config)# access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
    PIX(config)# access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0

    第二步：通過VPN傳輸?shù)臄?shù)據(jù)包不需要做NAT，因此，將這些數(shù)據(jù)包定義到nat 0，nat 0不對數(shù)據(jù)包進行地址轉(zhuǎn)換。nat0的處理始終在其他nat（例如nat1、nat2、nat3……）之前。
    PIX(config)# nat (inside) 0 access-list no-nat
    第三步：訪問internet的數(shù)據(jù)流使用PAT出去。
    PIX(config)# nat (inside) 1 0 0
    PIX(config)# global (outside) 1 interface
    第四步：定義ISAKMP策略。
    PIX(config)# crypto isakmp enable outside
    //在外部接口上啟用ISAKMP
    PIX(config)# crypto isakmp policy 10 authentication pre-share
    //認(rèn)證方法使用預(yù)共享密鑰
    PIX(config)# crypto isakmp policy 10 encryption des
    //加密方法使用des
    PIX(config)# crypto isakmp policy 10 hash md5
    //散列算法使用md5
    PIX(config)# crypto isakmp policy 10 group 2
    //DH模長度為1024
    第五步：將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。
    PIX(config)# crypto isakmp identity address
    PIX(config)# crypto isakmp key cisco123456 address 192.168.2.1
    第六步：設(shè)置ipsec轉(zhuǎn)換集。
    PIX(config)# crypto ipsec transform-set myvpn esp-des esp-md5-hmac
    第七步：設(shè)置加密圖。
    PIX(config)# crypto map myvpnmap 10 ipsec-isakmp
    PIX(config)# crypto map cmyvpnmap 10 match address no-nat
    //加載感興趣流
    PIX(config)# crypto map myvpnmap 10 set transform-set myvpn
    //選擇轉(zhuǎn)換集
    PIX(config)# crypto map myvpnmap 10 set peer 192.168.2.1
    //設(shè)置對等體地址
    PIX(config)# crypto map myvpnmap 10 set pfs group2
    //設(shè)置完美前向保密，DH模長度為1024
    第八步：在外部接口上應(yīng)用加密圖。
    PIX(config)# crypto map myvpnmap interface outside
    第九步：指定IPsec的流量是可信任的。
    PIX(config)# sysopt connection permit-ipsec

    接下是本部份重點，就是路由選擇與鏈路檢測配置：

    R1：

    ip access-list extended lan-erp
     permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)
    ip access-list extended lan-mail
     permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP)

    定義route-map 的感興趣流

    ip sla monitor 1
     type echo protocol ipIcmpEcho 192.168.3.2
    ip sla monitor schedule 1 life forever start-time now
    ip sla monitor 2
     type echo protocol ipIcmpEcho 192.168.2.2
    ip sla monitor schedule 2 life forever start-time now

    track 123 rtr 1 reachability
    track 124 rtr 2 reachability

    啟用思科SLA協(xié)議，動態(tài)檢測鏈路。

    route-map test permit 10
     match ip address lan-erp
     set ip next-hop verify-availability 192.168.3.2 1 track 123
     set ip next-hop verify-availability 192.168.2.2 2 track 124
    !
    route-map test permit 20
     match ip address lan-mail
     set ip next-hop verify-availability 192.168.2.2 1 track 124
     set ip next-hop verify-availability 192.168.3.2 2 track 123

    啟用routermap 對數(shù)據(jù)進行分流。

    R2：

    ip access-list extended erp-lan
     permit ip host 192.168.5.53 192.168.1.0 0.0.0.255
    ip access-list extended mail-lan
     permit ip host 192.168.5.50 192.168.1.0 0.0.0.255

    定義route-map 的感興趣流

    ip sla monitor 1
     type echo protocol ipIcmpEcho 192.168.3.1
    ip sla monitor schedule 1 life forever start-time now
    ip sla monitor 2
     type echo protocol ipIcmpEcho 192.168.2.1
    ip sla monitor schedule 2 life forever start-time now

    track 123 rtr 1 reachability
    track 124 rtr 2 reachability

    啟用思科SLA協(xié)議，動態(tài)檢測鏈路。

    route-map test permit 10
     match ip address mail-erp
     set ip next-hop verify-availability 192.168.3.1 1 track 123
     set ip next-hop verify-availability 192.168.4.1 2 track 124
    !
    route-map test permit 20
     match ip address erp-mail
     set ip next-hop verify-availability 192.168.4.1 1 track 124
     set ip next-hop verify-availability 192.168.3.1 2 track 123

    定義route-map 的感興趣流.

    為什么R2也要配置，請讀者自己去思考了。有興趣大家可做下實驗，本文結(jié)束。

    本文出自 “藍(lán)冰天下(NICK)” 博客:http://nicklyj.blog.51cto.com/81129/151291