服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用于VPN故障转移的多套设备
Intereting Posts
MySQL数据库被篡改而无需注入 什么是IIS 7.5最大子域数量? DirectAccess和新的PKI更新SSL? Exchange 2010中的共享邮箱 SQL Server问题:用户“用户名”login失败 引导期间,HP SmartArray磁盘在托架2中没有响应 如何处理Apache反向代理上的证书 Outlook 2010挂起,50GB的PST文件 间歇性sudo故障 – SuSE 10 如何最好地使用.default文件来重置OS X Server中的服务设置? Oracle数据库字符集与Debian上的审计表问题 在数据中心configuration交叉连接 GPO禁用浏览networking资源 软件开发人员需要注意的是,如果要负责设置生产准备就绪的服务器,那么“陷阱”是什么? 位于proxmox中的KVM guestconfiguration(xml)在哪里?

用于VPN故障转移的多套设备

我将在位置A有两台思科路由器为相同的内部networking提供服务,并在位置B提供一台路由器。

目前,我在每个位置都有一台路由器,使用IPSec站点间隧道连接它们。 它看起来像这样:

地点A: 

crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B set peer 12.12.12.12 set transform-set ESP-3DES-SHA match address internal-ips

地点B: 

 crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location A set peer 11.11.11.11 set transform-set ESP-3DES-SHA match address internal-ips

我可以通过在位置B简单添加另一个同位体来实现故障转移吗?

位置A(新的第二个路由器,在以前的路由器configuration保持不变): 

 crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B set peer 12.12.12.12 set transform-set ESP-3DES-SHA match address internal-ips

位置B(configuration更改): 

 crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location A set peer 11.11.11.11 ! 11.11.11.100 is the ip of the new second router at location A set peer 11.11.11.100 set transform-set ESP-3DES-SHA match address internal-ips

思科说:

对于使用encryption映射map -name seq-num ipsec-isakmp命令创build的encryption映射条目,可以通过重复此命令来指定多个对等体。 数据包实际发送到的对等方由路由器从给定数据stream收到的最后一个对等方(接收到的stream量或协商请求)确定。 如果第一个对等方的尝试失败,则Internet密钥交换(IKE)会尝试encryption映射列表中的下一个对等方。

但是我并不完全理解,在故障转移场景的情况下(其中一个路由器位置A炸毁)。

是的,这是正确的做法。 您也可以在set peer ...set peer ... default关键字set peer ...如果您更喜欢默认使用这两个路由器之一